IT-Lexikon
BECCybersecurity

Business Email Compromise

Betrugsmasche, bei der Angreifer über gefälschte oder übernommene Geschäfts-E-Mail-Konten Mitarbeitende zu betrügerischen Überweisungen oder zur Preisgabe sensibler Daten verleiten — meist ganz ohne Schadsoftware.

Business Email Compromise (BEC) bezeichnet eine Gruppe von Betrugsmaschen, bei denen Angreifer über den Kommunikationskanal E-Mail eine vertrauenswürdige Geschäftsidentität vortäuschen oder übernehmen, um Mitarbeitende zu einer schädlichen Handlung zu bewegen — typischerweise einer Überweisung auf ein betrügerisches Konto oder der Herausgabe vertraulicher Daten. Anders als beim klassischen Phishing enthält eine BEC-Nachricht meist keinen schädlichen Anhang und keinen Link, sondern nur Text. Genau das macht BEC so gefährlich: Es gibt keine technische Nutzlast, die ein Filter erkennen könnte. Laut dem FBI Internet Crime Complaint Center (IC3) gehört BEC regelmäßig zu den schadensträchtigsten Cyberdelikten überhaupt.

Die häufigsten BEC-Varianten

BEC ist ein Sammelbegriff für mehrere Betrugsmuster, die sich im vorgetäuschten Absender und im Ziel unterscheiden. Allen gemeinsam ist die Ausnutzung von Vertrauen und Autorität statt technischer Schwachstellen.

Variante Vorgetäuschter Absender Ziel
CEO-Fraud Geschäftsführung / Vorstand Dringende Überweisung durch die Buchhaltung
Rechnungsbetrug Echter Lieferant Umleitung einer Zahlung auf ein neues Konto
Kontoübernahme Kompromittiertes internes Postfach Betrug aus einem echten, vertrauenswürdigen Konto heraus
Gehaltsumleitung Mitarbeitende an die Personalabteilung Änderung der Bankverbindung für die Gehaltszahlung
Anwalts- oder M&A-Betrug Externer Berater bei „vertraulichen" Vorgängen Schnelle, geheime Zahlung unter Zeitdruck

Der CEO-Fraud ist dabei eng mit dem Whaling verwandt: Beim Whaling ist die Führungskraft das Ziel, beim CEO-Fraud wird sie als Absender imitiert, um Mitarbeitende zu täuschen.

Warum BEC technische Filter umgeht

Ein BEC-Angriff ist im Kern reines Social Engineering. Weil keine Malware und oft kein Link enthalten ist, greifen signaturbasierte E-Mail-Filter nicht. Angreifer nutzen entweder Spoofing der Absenderadresse, täuschend ähnliche Domains (etwa firma-gmbh.de statt firma.de) oder ein tatsächlich übernommenes Postfach, aus dem heraus die Nachricht vollständig legitim erscheint. Kombiniert mit Zeitdruck, Autorität und Vertraulichkeit entsteht ein Vorwand, der die üblichen Prüfreflexe aushebelt. Generative KI verschärft die Lage zusätzlich, indem sie den Schreibstil der imitierten Person überzeugend nachbildet und fehlerfreie, kontextgenaue Nachrichten in Sekunden erzeugt.

Wirksame Gegenmaßnahmen

Weil BEC den Menschen und den Prozess angreift, muss die Verteidigung dort ansetzen. Die wirksamste Einzelmaßnahme ist ein verbindliches Vier-Augen-Prinzip mit Zweitkanal-Verifikation: Jede Zahlungsanweisung und jede Änderung einer Bankverbindung wird über einen zweiten, unabhängigen Kanal bestätigt — etwa einen Rückruf unter der bekannten Nummer, niemals über die in der E-Mail angegebenen Kontaktdaten. Technisch flankieren E-Mail-Authentifizierung mit DMARC im Enforcement-Modus (verhindert das Fälschen der eigenen Domain), MFA mit phishing-resistenten Methoden gegen Kontoübernahmen sowie das Monitoring auf ähnlich geschriebene Look-alike-Domains diese organisatorische Kontrolle.

Relevanz für KMUs

Der Mittelstand ist besonders gefährdet, weil dort klare Freigabeprozesse für Zahlungen oft fehlen und die Wege zur Geschäftsführung kurz sind. Ein einziger erfolgreicher CEO-Fraud oder Rechnungsbetrug kann fünf- bis sechsstellige Schäden verursachen — und da kein System „gehackt" wurde, greift häufig auch keine Cyberversicherung ohne entsprechende Klausel. Der Schutz erfordert keine teure Technik, sondern vor allem verbindliche Prozesse: dokumentierte Zahlungsfreigaben, Zweitkanal-Verifikation bei Kontoänderungen, DMARC auf der eigenen Domain und eine Kultur, in der das Hinterfragen einer ungewöhnlichen Anweisung ausdrücklich erwünscht ist — auch gegenüber Vorgesetzten.