Die Einschätzung der Cyber Academy
BEC ist ein gezielter Social-Engineering-Angriff, bei dem ein Angreifer eine Führungskraft oder einen Lieferanten imitiert, um eine Zahlung umzuleiten oder einen Mitarbeiter zur Freigabe zu verleiten. Keine Malware erforderlich; reines Pretexting. Der durchschnittliche Schaden pro Vorfall übersteigt den bei Ransomware. Prozesskontrollen (Funktionstrennung, Rückrufverifikation) erkennen ihn; Technologie allein nicht.
Was BEC vom gewöhnlichen Phishing unterscheidet
Business Email Compromise ist Betrug, der über einen Vorwand statt über eine Schadlast ausgeführt wird. Der Angreifer braucht weder einen schädlichen Link noch einen Anhang, der Malware einschleust. Er braucht eine glaubwürdige Geschichte, ein Gefühl der Dringlichkeit und ein Opfer mit der Befugnis, Geld oder Daten zu bewegen. Eine gefälschte oder ähnlich aussehende Domain, ein kompromittiertes Postfach oder eine frisch registrierte Adresse, die einem bekannten Lieferanten ähnelt, genügen, um die Szene zu setzen. Da nichts technisch Schädliches über die Leitung geht, lassen sichere E-Mail-Gateways, Virenscanner und Link-Sandboxen die Nachricht häufig durch. Der Angriff lebt vollständig in der Konversation.
Deshalb steht BEC in derselben Familie neben dem Phishing, verhält sich in der Praxis jedoch anders. Generisches Phishing ist ein breites Netz, das nach Zugangsdaten oder Klicks ausgeworfen wird. BEC ist geduldig und gezielt: Der Angreifer recherchiert das Organigramm, lernt, wer Rechnungen freigibt, studiert den Ton interner E-Mails und wartet auf einen glaubwürdigen Moment, etwa eine Übernahme, ein Immobiliengeschäft oder einen ins Ausland reisenden Finanzvorstand. Der Ertrag ist eine einzige betrügerische Überweisung oder eine umgeleitete Gehaltszahlung, oft über einen hohen Betrag, statt eines erbeuteten Passworts.
Die gängigen Varianten, die Fachleute sehen
BEC ist eine Kategorie, kein einzelner Trick. Dieselbe Vorwand-Logik wird gegen jeden Prozess wiederverwendet, der Werte innerhalb der Organisation bewegt.
- CEO-Betrug: Ein Angreifer gibt sich als hochrangige Führungskraft aus und drängt einen Mitarbeiter der Finanzabteilung, eine dringende, vertrauliche Überweisung durchzuführen, wobei er sich auf Hierarchie und Diskretion stützt, um Rückfragen zu unterbinden.
- Lieferanten- oder Vendor-Betrug, auch Rechnungsumleitung genannt: Ein vertrauenswürdiger Lieferant scheint per E-Mail neue Bankdaten mitzuteilen, sodass die nächste rechtmäßige Rechnung auf das Konto des Angreifers bezahlt wird.
- Gehaltsumleitung: Ein Mitarbeiter scheint eine Änderung des Zielkontos für sein Gehalt zu beantragen und leitet so heimlich seine eigene Bezahlung an den Betrüger um.
- Kontoübernahme: Ein echtes internes Postfach wird kompromittiert, sodass die betrügerische Anfrage von einer echten Adresse mit echter Historie eintrifft, was die meisten üblichen Warnzeichen beseitigt.
- Anwalts- oder Juristen-Imitation: Der Vorwand stützt sich auf ein vertrauliches, zeitkritisches Geschäft, bei dem Geheimhaltung erwartet wird und eine Überprüfung unhöflich wirkt.
Warum hier der Prozess die Technik schlägt
E-Mail-Authentifizierung hilft. SPF, DKIM und DMARC erhöhen die Kosten reiner Domain-Fälschung und sollten eingesetzt werden. Doch sie richten nichts aus gegen eine ähnlich aussehende Domain, eine kostenlose Webmail-Adresse oder ein tatsächlich kompromittiertes internes Postfach, also die Kanäle, die echter BEC am häufigsten nutzt. Die entscheidenden Kontrollen sind prozeduraler Natur und liegen bei Finanzwesen und Betrieb statt beim Sicherheitswerkzeug.
- Funktionstrennung, sodass keine einzelne Person eine Zahlung sowohl anfordern als auch freigeben kann.
- Out-of-Band-Rückrufverifizierung: Bestätigen Sie jede neue oder geänderte Bankverbindung und jede ungewöhnliche Überweisung über eine bereits hinterlegte Telefonnummer, niemals über eine Nummer oder einen Kontakt, der innerhalb der Anfrage selbst angegeben wurde.
- Eine strikte Regel, dass Dringlichkeit und Vertraulichkeit niemals den standardmäßigen Freigabeweg umgehen; diese beiden Emotionen sind die Werkzeuge des Angreifers.
- Schwellenwerte für die doppelte Autorisierung bei Überweisungen und Änderungen von Lieferanten-Bankdaten.
Wo BEC im regulatorischen Bild steht
BEC ist eine Hauptursache für finanzielle Verluste im Zusammenhang mit E-Mail, was es klar in den Geltungsbereich rückt, den ein Informationssicherheits-Managementsystem adressieren soll. Unter einem ISO 27001 ISMS ist die einschlägige Behandlung eine Mischung aus Awareness-Schulungen, Kontrollen der Lieferantenbeziehungen und den operativen Verfahren, die Zahlungen regeln. Wenn BEC gelingt und personenbezogene Daten offengelegt werden, etwa durch ein kompromittiertes Postfach voller Korrespondenz, kann es zudem Pflichten zur Meldung einer Verletzung des Schutzes personenbezogener Daten nach der DSGVO auslösen, weshalb der Reaktionsplan die Rechtsabteilung und die Datenschutzfunktion einbeziehen muss, nicht nur Finanzwesen und IT.
Für Fachleute lautet die Erkenntnis, dass die Abwehr von BEC eine geteilte Verantwortung ist. Die Sicherheit verantwortet E-Mail-Authentifizierung, Überwachung und Awareness. Das Finanzwesen verantwortet die Zahlungskontrollen, die den Betrug tatsächlich stoppen. Es als rein technisches Problem zu behandeln, das durch ein besseres Gateway gelöst wird, ist der Fehler, der die Verluste in Gang hält.
Frequently asked questions
01Wie unterscheidet sich BEC von Phishing?
BEC ist ein gezielter Untertyp des Phishings, der auf den Vorwand statt auf eine Schadlast setzt. Generisches Phishing wirft ein breites Netz nach Zugangsdaten oder Klicks aus, während BEC eine bestimmte Organisation recherchiert und sich als bekannte Führungskraft oder bekannter Lieferant ausgibt, um eine Zahlung umzuleiten. BEC trägt meist keinen schädlichen Link und keinen Anhang, weshalb technische Filter es oft übersehen.
02Warum übersehen E-Mail-Sicherheitsgateways BEC?
Weil es häufig nichts technisch Schädliches zu erkennen gibt. Eine ähnlich aussehende Domain, ein kostenloses Webmail-Konto oder ein tatsächlich kompromittiertes internes Postfach können eine saubere Nachricht ohne Link oder Anhang senden. Authentifizierung wie DMARC stoppt Spoofing, aber nicht diese Kanäle, weshalb die entscheidenden Kontrollen prozeduraler Natur sind.
03Welche einzelne Kontrolle stoppt die meisten BEC-Betrugsfälle?
Die Out-of-Band-Rückrufverifizierung. Bevor Sie ein neues oder geändertes Bankkonto bezahlen oder eine ungewöhnliche Überweisung ausführen, bestätigen Sie die Anweisung telefonisch über eine bereits hinterlegte Nummer, niemals über eine Kontaktangabe, die innerhalb der Anfrage selbst angegeben wurde.
04Ist BEC eine meldepflichtige Datenpanne?
Das kann sein. Wenn ein kompromittiertes Postfach personenbezogene Daten offenlegt, kann BEC Pflichten zur Meldung einer Verletzung des Schutzes personenbezogener Daten nach der DSGVO auslösen. Der Reaktionsplan sollte die Rechtsabteilung und die Datenschutzfunktion neben Finanzwesen und IT einbeziehen.
05Verhindert MFA BEC?
MFA, idealerweise phishing-resistente MFA, hilft, die Kontoübernahme-Variante zu verhindern, bei der ein echtes Postfach gekapert wird. Sie richtet nichts aus gegen ähnlich aussehende Domains oder externe Imitation, weshalb sie mit Kontrollen des Zahlungsprozesses kombiniert werden muss.