Business Email Compromise: Die teuerste Email-Bedrohung
Business Email Compromise (BEC) ist seit Jahren die teuerste Cybercrime-Kategorie laut FBI IC3 — mit jährlich mehrstelligen Milliardenschäden weltweit. CEO-Fraud, Rechnungs-Manipulation und Lohnumleitung nutzen keine technischen Lücken, sondern reine soziale Manipulation. Diese Seite zeigt, wie BEC funktioniert, welche DACH-Vorfälle dokumentiert sind und welche Maßnahmen wirklich greifen.
Was ist Business Email Compromise?
Business Email Compromise (BEC) ist ein gezielter Email-Angriff, bei dem der Angreifer eine vertrauenswürdige Person imitiert oder ein legitimes Konto übernimmt, um eine Einzelaktion auszulösen — meist eine Überweisung, eine Lohnumleitung oder die Freigabe sensibler Daten. Im Unterschied zu klassischem Phishing gibt es keine bösartigen Links oder Anhänge — die Bedrohung ist rein sozial. Das FBI Internet Crime Complaint Center (IC3) verzeichnet BEC seit Jahren als teuerste Cybercrime-Kategorie mit jährlich mehrstelligen Milliardenschäden.
BEC nutzt das Vertrauen in Geschäftsbeziehungen. Der Angreifer recherchiert die Organisationsstruktur (LinkedIn, Impressum, Pressemitteilungen), identifiziert eine Schlüssel-Person (CFO, Geschäftsführer, HR-Leitung) und konstruiert eine Situation, die eine schnelle Handlung erfordert: vermeintliche M&A-Diskretion, dringende Lieferanten-Zahlung, kurzfristige Lohnanpassung. Wolf-Agents stoppt die einfachste BEC-Variante — direktes Domain-Spoofing — mit dem Email Security Check durch DMARC-Policy-Bewertung. Gegen Look-Alike-Domains und Konto-Übernahme braucht es ergänzend MFA, CT-Log-Monitoring und Awareness-Training.
BEC in einem Satz
BEC ist ein Social-Engineering-Angriff über Email, der das Vertrauen in eine Geschäftsbeziehung ausnutzt — ohne Malware, ohne Phishing-Link. Die Verteidigung ist deshalb dreischichtig: DMARC gegen direkte Imitation, MFA gegen Konto-Übernahme, Out-of-Band-Verifikation gegen Display-Name-Manipulation.
Fünf BEC-Varianten — eine soziale Hebel-Mechanik
BEC kennt fünf etablierte Varianten, die das FBI seit Jahren klassifiziert. Alle teilen das Muster: Der Angreifer baut Vertrauen auf, erzeugt Dringlichkeit und löst eine Aktion aus, bevor der Empfänger eine Querprüfung machen kann. Die technische Bandbreite reicht von Display-Name-Spoofing (kein Konto übernommen) über Look-Alike-Domains (visuell ähnliche Domain) bis zu echter Konto-Übernahme via Credential-Phishing oder Token-Klau.
CEO-Fraud
Angreifer imitiert die Geschäftsleitung gegenüber Buchhaltung oder Assistenz. „Vertraulich, nicht weitersagen, bitte 47.500 EUR auf Konto X überweisen.“ Die soziale Hierarchie verhindert die Rückfrage.
Rechnungs-Manipulation
Eine echte Rechnung wird mit geänderter IBAN versendet. Häufig nach Übernahme eines Lieferanten-Kontos (siehe VEC) oder via Reply-Chain-Hijacking.
Payroll-Diversion
Angreifer imitiert einen Mitarbeiter gegenüber HR: „Bitte ändern Sie meine Gehaltskonto-IBAN ab nächstem Monat.“ Niedrige Schadenshöhen pro Fall, hohe Erfolgsquote.
Vendor Email Compromise
Eigener Deep-Dive — Übernahme eines Lieferanten-Kontos, Manipulation der Lieferketten-Kommunikation. Siehe VEC-Seite.
Attorney Impersonation
Angreifer imitiert einen Anwalt in der M&A- oder Litigation-Phase. „Diskretion zwingend, sofortige Überweisung der Treuhand-Summe an die Anderkonto-IBAN...“
From: "Max Mustermann, Geschäftsführer" <mmustermann.7421@outlook.com>
Reply-To: mmustermann.7421@outlook.com
Subject: Vertraulich — Urgent
Hallo Petra,
bin im Termin und kann nicht telefonieren. Bitte überweise heute
noch 47.500 EUR an folgendes Konto, ist für die M&A-Akquisition
(noch nicht offiziell). Vertraulich — auch keine Rücksprache mit
Werner. Danke!
IBAN: DE89 ...
BIC: ...
Verwendungszweck: Beratung 04/2026
Gruß,
MaxBEC-Angriffsfluss — Sequence-Diagram 5 Lifelines × 6 Schritte
Multimodale Sequence-Visualisierung: 5 Lifelines (Angreifer / Recon-Quellen / Spoofing-Infrastruktur / Empfänger CFO/HR / Bank) durchlaufen 6 Schritte: Recon (LinkedIn/Impressum/Presse) → BEC-Variante (5: CEO/Invoice/Payroll/VEC/Attorney) → Email-Versand mit Vertrauens-Hebel → Empfänger triggert Überweisung → Auszahlung → Spurenverwischung. Schutz-Marker: Out-of-Band-Verifikation + DMARC-Enforcement + MFA.
DMARC-Triangle gegen Spoofing — SPF + DKIM + DMARC Trust-Architektur
Multimodales Trust-Triangle: 3 RFC-Ecken (SPF RFC 7208 oben / DKIM RFC 6376 links unten / DMARC RFC 7489 rechts unten) verbunden durch Alignment-Pfeile (aspf relaxed/strict + adkim relaxed/strict) zum Email-Zentrum. DMARC-Policy: p=none (Monitoring) → p=quarantine (Quarantäne) → p=reject (Block). Wiederverwendbar in spoofing/bec/vec/phishing/echospoofing-subdomailing.
DACH-BEC-Vorfälle: Mio-Schäden seit 2015
DACH ist seit Jahren ein attraktives Ziel für BEC-Angreifer. Die Kombination aus hierarchischer Geschäftskultur, schnellen Überweisungsmöglichkeiten und vergleichsweise wenig Awareness-Training in KMU führt zu prominenten Einzelschäden im hohen Mio-Bereich. Das FBI IC3 veröffentlicht jährliche Aggregate, der BSI-Lagebericht 2025 stuft BEC als hochrelevant ein.
FBI IC3 2024 — BEC bei 2,77 Mrd. USD, zweitgrößter Schadensposten
Der FBI IC3 Annual Report 2024 dokumentiert 2,77 Mrd. USD Schaden allein durch BEC — die zweitgrößte Cybercrime-Kategorie nach Investment Fraud. Das Total-Cybercrime-Aggregat lag bei 16,6 Mrd. USD (+33 % vs. 2023) mit 859.532 Beschwerden. Der 3-Jahres-Aggregat-Verlust durch BEC erreicht laut Nacha-Auswertung über 8,5 Mrd. USD. Quellen: FBI IC3 Annual Report 2024 (PDF) + Auswertung Abnormal AI 2024.
FACC AG (Österreich) — 42 Mio EUR durch CEO-Fraud
Der österreichische Luftfahrt-Zulieferer FACC verlor durch einen CEO-Fraud-Angriff rund 42 Mio EUR. Der Vorfall führte zur Entlassung des CFO und des CEO sowie zu jahrelangen Gerichtsverfahren. Bis heute einer der prominentesten BEC-Schäden in DACH.
Leoni AG (Deutschland) — 40 Mio EUR durch Fake-President-Trick
Der Kabelhersteller Leoni verlor 40 Mio EUR durch einen sogenannten Fake-President-Trick — die deutsche Variante des CEO-Fraud. Der Vorfall wurde von Heise und der Wirtschaftspresse ausführlich dokumentiert.
SonicWall 2025 Threat Report — BEC +33 % am Jahresende 2024
Der SonicWall 2025 Cyber Threat Report dokumentiert einen 33-prozentigen Anstieg der BEC-Angriffe gegen Ende 2024. Beinahe ein Drittel aller in 2024 gemeldeten Cyber-Events wurden BEC zugeordnet — gegenüber nur 9 % in 2023. Quelle: SonicWall 2025 Cyber Threat Report. Die APWG verzeichnet zudem 128.980 USD als Durchschnitts-Wire-Transfer im BEC Q4 2024 — nahezu doppelt so hoch wie der Q3-Durchschnitt von 67.145 USD (APWG Q4 2024 PDF).
Wie erkenne ich BEC-Versuche?
BEC-Erkennung ist halb technisch, halb verhaltensbasiert. Technisch: Header-Analyse auf Display-Name-Spoofing, Look-Alike-Domain-Erkennung, neue Sender-Identität. Verhaltensbasiert: Dringlichkeits-Signale, Bypass-Aufforderungen („nicht mit X sprechen“), unbekannte IBANs, Reply-To-Drift. Wer beide Ebenen schult, fängt 80 % der BEC-Versuche ab.
Technische Indikatoren
- Display-Name passt nicht zur Domain (
From: "CEO" <mmustermann.7421@outlook.com>) - Reply-To weicht von From ab
- Look-Alike-Domain (
mircosoft.comstattmicrosoft.com) - Unbekannte sendende IP im Authentication-Results
- Neuer Sender ohne bisherige Konversations-Historie
Soziale Indikatoren
- Dringlichkeit („sofort“, „heute noch“, „vertraulich“)
- Bypass-Aufforderung („nicht mit X sprechen“)
- Neue IBAN auf bekannter Lieferanten-Rechnung
- Kanal-Wechsel-Verbot („nicht anrufen, bin im Meeting“)
- Abweichung vom üblichen Sprachstil oder Ablauf
Wolf-Agents-USP für BEC
Der Email Security Check erkennt die technische BEC-Vorstufe: Ist Ihre eigene Domain direkt spoofbar (kein DMARC, p=none)? Das ist die einfachste BEC-Angriffsfläche. Wolf-Agents bewertet DMARC-Policy, SPF-Hardness und DKIM-Stärke — und das Monitoring alarmiert bei CT-Log-Funden für homograph-ähnliche Domains, die später für BEC-Imitation genutzt werden könnten.
Wie schütze ich mich vor BEC?
BEC-Schutz ist mehrschichtig. Die technische Schicht (DMARC mit p=reject, MFA, Look-Alike-Monitoring) schließt die einfachen Angriffe. Die organisatorische Schicht (Out-of-Band-Verifikation, 4-Augen-Prinzip bei großen Beträgen, Awareness-Training) schließt die sozialen Hebel. Beide Schichten zusammen reduzieren die BEC-Erfolgsquote drastisch.
DMARC veröffentlichen
DMARC mit p=quarantine oder p=reject stoppt direkte Domain-Imitation. Starten Sie mit p=none + rua-Reports, prüfen Sie 4–8 Wochen, dann Stufe für Stufe enforcement.
DMARC-Enforcement (p=reject)
Erst mit p=reject sind alle direkten Domain-Spoofings — die einfachste BEC-Variante — technisch unmöglich. Die 4-Phasen-Roadmap führt sicher dorthin.
MFA für privilegierte Konten
FIDO2 oder TOTP für alle Konten mit Überweisungs-Vollmacht. NIS2 Art. 21 Abs. 2 lit. j verlangt MFA für „sichere Sprach-, Video- und Textkommunikation“.
Out-of-Band-Verifikation
Jede Überweisungs-Anweisung aus einer Email muss über einen anderen Kanal verifiziert werden — Anruf an die bekannte Nummer, persönliche Rücksprache. Niemals per Email-Reply bestätigen.
4-Augen-Prinzip + Schwellenwerte
Überweisungen oberhalb eines definierten Schwellenwerts erfordern zwei Freigaben. IBAN-Änderungen auf bestehenden Lieferanten-Konten brauchen separate Verifikation.
Awareness-Training
Regelmäßige Schulung von Buchhaltung, HR und Geschäftsleitung. Phishing-Simulationen mit BEC-Szenarien. NIS2 Art. 21 Abs. 2 lit. g (Cyberhygiene + Schulung) ist hier direkt anwendbar.
Was tun bei einem BEC-Vorfall?
Wenn eine Überweisung an einen BEC-Angreifer geflossen ist, zählt jede Stunde. Die Empfänger-Bank kann eine Überweisung bei rechtzeitiger Meldung noch zurückrufen. Parallel laufen Beweissicherung, interne Eskalation und ggf. NIS2-Meldung. Die deutsche LKA-Initiative „BEC sofort melden“ gibt Hinweise zur Erstreaktion.
- Bank sofort kontaktieren — Rückruf der Überweisung versuchen. Erfolgsquote sinkt nach 24h drastisch. Bei internationalen Überweisungen FBI-Financial-Fraud-Kill-Chain anstoßen (über deutsche Polizei).
- Email-Beweismittel sichern — vollständige Header, Versand-Metadaten, Reply-Chain. Nicht löschen, nicht beantworten. Forensik-Backup anlegen.
- Anzeige bei der zuständigen Cybercrime-Stelle — in DE: ZAC (Zentrale Ansprechstellen Cybercrime) der jeweiligen Bundesländer. In AT: BK Cybercrime. In CH: NEDIK.
- Eigene Konto-Integrität prüfen — wurde ein Konto kompromittiert? Audit-Logs, MFA-Status, OAuth-Apps prüfen. Verdächtige Sessions terminieren.
- Lieferanten und Empfänger informieren — falls Lieferanten-Konto betroffen, Lieferketten-Risiko prüfen (siehe VEC).
- NIS2 Art. 23 Meldepflicht — 24h-Frühwarnung, 72h-Vorfallsmeldung, 1-Monats-Bericht. §38 BSIG-Geschäftsleitungs-Haftung beachten — Dokumentation während des Vorfalls anlegen.
BEC-Schutz nach NIS2, BSI und DSGVO
NIS2 Art. 21 Abs. 2 verlangt für BEC-Schutz mehrere Buchstaben gleichzeitig — lit. b (Vorfall-Bewältigung), lit. g (Cyberhygiene + Schulung) und lit. j (MFA für sichere Kommunikation). Wer keine MFA, kein DMARC-Enforcement und kein Out-of-Band-Verfahren etabliert hat, riskiert nicht nur den Vorfall, sondern auch §38-BSIG-Sorgfaltspflichtsverletzung. Der BSI-Lagebericht 2025 stuft BEC als hochrelevant ein.
NIS2 Art. 21 Abs. 2 lit. b
Bewältigung von Sicherheitsvorfällen. Ein BEC-Erfolgsfall braucht einen klaren Incident-Response-Plan (siehe Sektion 6). Tabletop-Übungen mit BEC-Szenarien sind Teil eines NIS2-konformen ISMS.
NIS2 lit. g + lit. j
lit. g (Cyberhygiene + Schulung) verlangt regelmäßige Awareness-Trainings inklusive Phishing-Simulationen. lit. j (MFA + sichere Kommunikation) verlangt Multi-Faktor-Authentifizierung für privilegierte Konten.
DSGVO Art. 33/34
Wenn BEC-Erfolg zu Datenabfluss führt (z.B. Kundendaten in einem Anhang), greifen die 72h-Meldung an die Aufsicht (Art. 33) und ggf. die Benachrichtigung der Betroffenen (Art. 34).
Der Wolf-Agents Email Security Check bewertet die technische BEC-Vorstufe. Das Monitoring alarmiert bei DMARC-Drift, neuen Stack-Erkennungen und CT-Log-Funden für homograph-ähnliche Domains — alles, was eine spätere BEC-Imitation ermöglicht.
Wie steht Ihre Domain bei Business Email Compromise?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.
Häufig gestellte Fragen
Was ist Business Email Compromise (BEC)?
BEC ist ein gezielter Email-Angriff, bei dem der Angreifer eine vertrauenswürdige Person imitiert oder ein legitimes Konto übernimmt, um den Empfänger zu einer Einzelaktion zu bewegen — meist eine Überweisung, eine Lohnumleitung oder die Freigabe sensibler Daten. Im Unterschied zu klassischem Phishing nutzt BEC keine bösartigen Links oder Anhänge, sondern reine soziale Manipulation. Klassische URL-Filter und Anhang-Scanner greifen nicht. Das FBI IC3 weist BEC seit Jahren als teuerste Cybercrime-Kategorie weltweit aus.
Welche BEC-Varianten gibt es?
CEO-Fraud (Angreifer imitiert die Geschäftsleitung gegenüber Buchhaltung oder Assistenz), Rechnungs-Manipulation (Anwesensänderung des Empfänger-Kontos auf einer echten Rechnung), Payroll-Diversion (Lohnumleitung über gefälschte HR-Anfragen), Vendor Email Compromise (siehe eigene Seite — Übernahme von Lieferanten-Konten) und Attorney Impersonation (Anwalt-Imitation in der M&A-Phase). Alle Varianten teilen das Muster: gezielt, kein technisches Artefakt, soziale Hebel.
Stoppt DMARC mit p=reject BEC?
Nur teilweise. DMARC mit p=reject stoppt direktes Domain-Spoofing — niemand kann mehr E-Mails mit Ihrer Domain im Header-From versenden. BEC-Angreifer nutzen aber häufig Look-Alike-Domains (mircosoft.com statt microsoft.com), Display-Name-Spoofing (legitime Domain wie outlook.com, gefälschter Anzeigename „CEO Max Mustermann“) oder Übernahme echter Konten via Credential-Phishing. Gegen diese Varianten hilft nur Awareness-Training, MFA, Out-of-Band-Verifikation und CT-Log-Monitoring.
Welche Rolle spielt MFA bei BEC-Schutz?
Eine zentrale. Sobald ein Angreifer Credentials für ein echtes Email-Konto hat (z.B. via Phishing-Kampagne), kann er als legitimer Nutzer auftreten — DMARC, SPF und DKIM sind dann wirkungslos. MFA verhindert die Konto-Übernahme. NIS2 Art. 21 Abs. 2 lit. j verlangt MFA explizit für „sichere Sprach-, Video- und Textkommunikation“. Wolf-Agents empfiehlt hardware-basierte MFA (FIDO2, YubiKey) für privilegierte Konten — SMS-MFA ist anfällig für SIM-Swapping.
Was ist Out-of-Band-Verifikation und warum reicht eine Email-Bestätigung nicht?
Out-of-Band-Verifikation bedeutet: Eine Anweisung aus einer Email wird über einen anderen Kanal überprüft — Anruf an die bekannte Nummer (nicht aus der Email), persönliche Rücksprache, Messenger an die gespeicherte Nummer. Eine Bestätigung per Email-Reply hilft nicht: Der Angreifer kontrolliert genau diesen Kanal. Wenn die Konversation über das kompromittierte Konto läuft, ist auch die Reply gefälscht. Out-of-Band ist die einzige zuverlässige Verifikation bei Überweisungs-Aufträgen.
Wann ist ein BEC-Vorfall NIS2-meldepflichtig?
Wenn der Vorfall erheblich ist. NIS2 Art. 23 definiert „erheblich“ als Vorfall, der die Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit beeinträchtigt und/oder zu Schaden führt. Ein erfolgreicher BEC-Vorfall mit Geldverlust, Datenabfluss oder Lieferketten-Manipulation erfüllt diese Kriterien typischerweise. Die deutsche NIS2UmsuCG-Umsetzung ergänzt §38 BSIG mit persönlicher Geschäftsleitungs-Haftung. Beginnen Sie die Dokumentation während des Vorfalls — die 24-Stunden-Frühwarnpflicht läuft schnell ab.
Was leistet Wolf-Agents gegen BEC?
Der Email Security Check bewertet die technische Vorstufe von BEC: ein direkt spoofbarer Domain (kein DMARC, p=none) ist die einfachste BEC-Angriffsfläche. DMARC mit p=reject macht direkte Imitation unmöglich. Das Monitoring (alle 6 Stunden) alarmiert bei DMARC-Drift, MFA-Lücken in OAuth-Apps und neuen Domain-Stack-Erkennungen (CT-Log-Watching für ähnliche Domains). BEC ist letztlich ein organisatorisches Problem — Wolf-Agents schließt die technische Lücke.