Wie Business Email Compromise (BEC) funktioniert
Veröffentlicht am: 15 Feb. 2022
Zuletzt geändert am: 8 Sep. 2025
Business Email Compromise (BEC) ist einer der komplexesten Social-Engineering-Betrügereien, die den Tätern große Summen einbringt. Während Ransomware für Schlagzeilen sorgt, scheint BEC weniger in den Schlagzeilen zu stehen. Untersuchungen des FBI haben jedoch ergeben, dass das BEC-Volumen viermal so hoch ist wie das von Malware.
Der Verizon Data Breach Investigations Report (DBIR) weist darauf hin, dass die überwiegende Mehrheit (86 %) der Internetkriminalität finanziell motiviert ist. Im Jahr 2021 bezeichnete das FBI BEC als „eines der finanziell schädlichsten Online-Verbrechen“.
Scammer, Betrüger und Cyberkriminelle sind alle Teil einer ruchlosen Gemeinschaft, die Social-Engineering-Taktiken und Phishing-E-Mails einsetzen, um ihre Cyberverbrechenauszuführen. Wenn Sie verstehen, wie ein Betrug funktioniert, können Sie verhindern, dass Ihr Unternehmen Opfer eines solchen Cyberangriffs wird.
Hier erfahren Sie, wie Business Email Compromise funktioniert und wie Sie BEC-Betrüger davon abhalten können, das Geld Ihres Unternehmens zu stehlen.
Analyse eines typischen BEC-Angriffs
Business Email Compromise-Betrüger haben es auf Unternehmen aller Größen und Branchen abgesehen. Ein BEC-Betrug nutzt Social Engineering bis zum Äußersten und manipuliert die betroffenen Mitarbeiter, während sich die Zerstörungskette durch ein Unternehmen bewegt.
Im Jahr 2020 stellte die Ermittlungsabteilung für Cyberkriminalität des FBI, IC3, fest, dass Cyberkriminelle mit BEC-Techniken über 2 Milliarden Dollar von US-Unternehmen erbeutet haben. BEC ist in Großbritannien nicht weniger verbreitet. 2018 wurden mehr als 500 KMUs von BEC-Betrügern angegriffen.
Business Email Compromise Betrügereien sind lukrativ. Aber sie erfordern ein hohes Maß an Engagement, um an die großen Geldsummen zu gelangen, auf die es die Betrüger abgesehen haben. BEC-Betrug kann als eine fortgeschrittene E-Mail-Bedrohung betrachtet werden, da er in der Regel ein Element der E-Mail-Kompromittierung und des Phishings in einem frühen Stadium des Angriffszyklus enthält.
Hier sind die typischen Abläufe hinter einem Business Email Compromise-Betrug:
Bei einem BEC-Betrug geht es darum, bestimmte Personen innerhalb eines Unternehmens dazu zu verleiten, eine Überweisung auf das Konto eines Betrügers vorzunehmen. Es gibt verschiedene Varianten dieses Betrugs, die jedoch alle ein gemeinsames Element haben: Es muss ein Weg gefunden werden, um jemandem vorzugaukeln, dass er eine wichtige Geldüberweisung im Auftrag einer hochrangigen Person und/oder eines wichtigen Kunden durchführt. Die typischen Phasen eines BEC-Betrugs sind:
Phase Eins: Informationsbeschaffung und Strategie
BEC-Verbrechen sind ernsthafte Geldmacherei, die das Sammeln von Informationen erfordert, um das Verbrechen zu perfektionieren. Die Überwachung umfasst in der Regel das Zusammentragen allgemeiner, öffentlich zugänglicher Informationen über ein Unternehmen, über die Führungsebene, die Unternehmensstruktur usw.
In dieser Phase verschaffen sich die Cyberkriminellen einen Überblick über die Geschäftstätigkeit des Unternehmens und versuchen herauszufinden, wie und an wen Zahlungen geleistet werden. Ein BEC-Betrüger nutzt diese Informationen dann, um die zweite Phase des Angriffs zu beginnen.
Stufe zwei: E-Mail-Kompromittierung oder E-Mail-Spoofing
Anhand der in der ersten Phase gesammelten Informationen wird der BEC-Betrüger dann eine von zwei Taktiken anwenden, um den Angriff fortzusetzen:
Die Kompromittierung von E-Mail-Konten ist eine Möglichkeit. Bei der Kontoübernahme (ATO) muss der Cyberkriminelle die Anmeldedaten und das Passwort für ein bestimmtes E-Mail-Konto stehlen. Dies kann durch Spear-Phishing geschehen; komplizierter (aber nicht unmöglich) ist es, wenn ein zweiter Faktor zum Schutz eines Kontos verwendet wird.
Wenn es den Cyberkriminellen gelingt, ein Konto zu kapern, konzentrieren sie sich entweder auf einen leitenden Angestellten oder auf jemanden, der Zahlungen kontrolliert. Ein gekapertes Konto eines leitenden Angestellten ist sehr wertvoll und kann dazu verwendet werden, „dringende“ Zahlungen auf das Bankkonto des Hackers zu verlangen – und sich als „wertvoller Kunde“ auszugeben.
Im Falle des ATO-Mitarbeiters „Kreditorenbuchhaltung“ kann der Betrüger den E-Mail-Verkehr überwachen und nach Informationen darüber suchen, wer bezahlt wird, wann bezahlt wird usw. Wenn sie diese Kontrolle über die E-Mails eines Unternehmens haben, können sie auch Rechnungen abfangen und die Details ändern, um sicherzustellen, dass die Zahlungen auf das Bankkonto des Betrügers gehen.
Die zweite Möglichkeit ist die Fälschung der E-Mail-Adresse der Zielperson auf C-Level-Ebene. Das Fälschen einer E-Mail ist eine gängige Form des Phishings und eine anerkannte Methode, um den Empfängern vorzugaukeln, dass die E-Mail von einer bestimmten Person stammt. Ein Beispiel für eine gefälschte E-Mail-Adresse wäre [email protected] oder [email protected] – Sie verstehen schon… leicht zu fälschen, schwer zu erkennen, besonders wenn Sie ein vielbeschäftigter Mitarbeiter in der Kreditorenbuchhaltung sind.
Dritte Stufe: Das Geld herausholen
In der dritten Phase wird das Geld auf das Bankkonto des Betrügers überwiesen. Dies kann in verschiedenen Formen geschehen und ist Teil der ursprünglichen Strategie für die Ausführung, die in den Phasen eins und zwei festgelegt wurde. Typische Vorgehensweisen für die Ausführung von Phase drei sind:
CEO-Betrug: Unter Verwendung eines gefälschten oder gehackten C-Level-Kontos sendet der Betrüger eine als „dringend“ gekennzeichnete E-Mail, in der er erklärt, dass ein wichtiges Kundenkonto verloren geht, wenn nicht bis zu einem bestimmten Zeitpunkt die E-Mail von £££££ gesendet wird.
Rechnungsbetrug: Wenn ein E-Mail-Konto gehackt wird, hält der Betrüger Ausschau nach Rechnungen, die bei dem Unternehmen eingehen, fängt sie ab und ändert dann die Zahlungsdaten auf der Rechnung.
Wie können Sie das Risiko von BEC reduzieren?
Der BEC-Betrug beginnt mit dem Sammeln von Informationen über das Ziel und wird durch einen fortgeschrittenen E-Mail-Angriff verbreitet. Letzteres hängt in der Regel von einer erfolgreichen Spear-Phishing-Kampagne ab. Niemand ist von einem BEC-Angriff ausgenommen: 2018 verlor die Wohltätigkeitsorganisation Save the Children 800.000 £ durch einen BEC-Betrüger. Der Angreifer hatte das E-Mail-Konto eines Mitarbeiters gekapert und über dieses Konto gefälschte Rechnungen verschickt.
Es gibt mehrere Möglichkeiten, Ihr Unternehmen vor einem BEC-Angriff zu schützen. Jede davon ist Bestandteil eines mehrschichtigen Ansatzes zur Verringerung des Risikos von BEC-Kampagnen:
Schulen Sie Ihre Mitarbeiter darüber, wie BEC-Angriffe funktionieren
Business Email Compromise ist ein von E-Mails abhängiger Angriff, der Wachsamkeit erfordert, um ihn zu erkennen und zu verhindern. Nutzen Sie Sicherheitsschulungen und Phishing-Simulationsübungen, um sicherzustellen, dass alle Mitarbeiter die Tricks und Taktiken von Phishern verstehen.
Erstellen Sie BEC-spezifische Schulungsprogramme, die sich an Ihre Führungskräfte und Mitarbeiter richten, z.B. an diejenigen in der Buchhaltung, die mit Zahlungen zu tun haben. Wenn Ihre Zahlungen von Dritten oder Lieferanten abgewickelt werden, sollten Sie auch diese in Ihre Schulungen einbeziehen.
Verwenden Sie die Zwei-Faktor-Authentifizierung
Die Übernahme von E-Mail-Konten ist eine Möglichkeit für BEC-Betrüger. Stellen Sie sicher, dass Ihre Firmen-E-Mail-Konten so konfiguriert sind, dass der Zugriff über einen zweiten Faktor erfolgen muss, z.B. müssen Benutzer einen auf einem mobilen Gerät basierenden Einmalcode sowie ein Passwort verwenden, um auf ihr E-Mail-Konto zuzugreifen.
Sichern Sie Ihre Unternehmensdomain
BEC-Betrüger registrieren oft Domänennamen, die der Domäne des Opfers ähneln, z.B. www. micr0soft.com oder www.amason.com. Die Betrüger können dann E-Mails versenden, die so aussehen, als ob sie von einem legitimen E-Mail-Konto gesendet wurden. Um dies zu verhindern, registrieren Sie Domains, die Ihrer offiziellen Unternehmensdomain ähneln.
Richten Sie Mechanismen zur doppelten Überprüfung von Zahlungen ein
Schaffen Sie ein Verfahren, bei dem die Mitarbeiter vor einer Geldüberweisung oder der Weitergabe vertraulicher oder persönlicher Informationen mit einem anderen Mitarbeiter Rücksprache halten müssen.
Achten Sie auf Änderungen oder Aktualisierungen
Schaffen Sie eine Sicherheitskultur, indem Sie sicherstellen, dass alle Mitarbeiter wachsam sind, wenn sich das Verhalten von Mitarbeitern oder Lieferanten ändert. Diese Sicherheitskultur sorgt dafür, dass die Mitarbeiter auf Betrug aufmerksam werden und ungewöhnliches Verhalten erkennen, bevor es zu einem Vorfall kommt.
Business Email Compromise ist ein lukratives und erfolgreiches Verbrechen. Dieser Erfolg bedeutet, dass es unwahrscheinlich ist, dass das Volumen in den nächsten Jahren abnimmt. Die einzige Möglichkeit, damit umzugehen, besteht darin, wachsam zu bleiben und Ihre Mitarbeiter, einschließlich der Führungskräfte, darüber aufzuklären, wie BEC funktioniert.
