Vendor Email Compromise: Wenn der Lieferant das Einfallstor ist

Vendor Email Compromise (VEC) ist die Lieferketten-Variante von BEC: Der Angreifer übernimmt das Konto eines Lieferanten und manipuliert Rechnungen aus der echten, legitimen Quelle. Technische Filter sehen nichts — die Email ist DKIM-signiert, DMARC-aligned, SPF-pass. Nur Verhaltens-Anomalien und Out-of-Band-Verifikation helfen. Diese Seite zeigt den Angriff, NIS2-Implikationen und konkrete Schutzmaßnahmen.

Lieferanten-DMARC prüfen Plattform entdecken
Bedrohung · MITRE T1199
Von Wolf-Agents Security Team · Aktualisiert: 13. Mai 2026
Definition

Was ist Vendor Email Compromise?

Vendor Email Compromise (VEC) ist eine BEC-Untervariante mit Übernahme eines Lieferanten- oder Geschäftspartner-Kontos. Der Angreifer manipuliert dann die Lieferketten-Kommunikation aus der echten, legitimen Quelle — IBAN-Änderungen auf bestehenden Rechnungen, neue Zahlungs-Forderungen, gefälschte Material-Bestellungen. Technische Email-Authentifizierung greift nicht, weil die Email tatsächlich vom legitimen Server kommt. VEC ist deshalb die schwerste Untervariante von BEC: SPF-pass, DKIM-pass, DMARC-aligned — und trotzdem ein Angriff.

Im MITRE ATT&CK-Framework ist VEC eine Kombination aus T1199 (Trusted Relationship) und T1566.002 (Spearphishing Link). NIS2 Art. 21 Abs. 2 lit. d (Lieferkette) verlangt explizit Schutzmaßnahmen für genau diese Bedrohungs-Klasse. Wolf-Agents bietet einen Lieferanten-DMARC-Check, mit dem Sie die DMARC-Hygiene Ihrer Top-Lieferanten regelmäßig prüfen können — eine schwache DMARC-Konfiguration beim Partner ist ein direktes Lieferketten-Risiko für Ihre eigene Organisation.

VEC in einem Satz

VEC ist die Email-Manifestation des Lieferketten-Risikos: Der Angreifer kompromittiert nicht Sie, sondern Ihren Partner — und nutzt das Vertrauen in die etablierte Geschäftsbeziehung als Hebel. Schutz erfordert deshalb Lieferanten-Sicherheits-Anforderungen, nicht nur eigene Maßnahmen.

Angriffs-Mechanik

Wie funktioniert ein VEC-Angriff?

Der VEC-Angriff besteht aus zwei Phasen: Erst die Konto-Übernahme beim Lieferanten (typischerweise via klassisches Phishing, MFA-Bypass oder Stolen-Token), dann die Beobachtungsphase mit Reply-Chain-Hijacking und schließlich die Manipulation. Häufig dauert die Beobachtungsphase Wochen — der Angreifer lernt Sprache, Ablauf und Volumen kennen, bevor er die manipulierte Rechnung schickt.

1

Konto-Übernahme beim Lieferanten

Klassisches Credential-Phishing, MFA-Bypass via Token-Klau oder OAuth-Consent-Phishing. Häufig bei Lieferanten ohne FIDO2-MFA für Buchhaltungs-Konten.

2

Beobachtung der Konversation

Angreifer liest mit, identifiziert Ansprechpartner in der Buchhaltung, lernt Rechnungs-Frequenz und IBAN-Format. Mailbox-Regeln verstecken auffällige Nachrichten vor dem echten Account-Inhaber.

3

Manipulation der Rechnung

Eine echte, anstehende Rechnung wird mit geänderter IBAN versendet — vom legitimen Konto, in der etablierten Reply-Chain. Optional: gefälschtes PDF-Anhang mit identischem Layout.

4

Überweisung + Spurenverwischung

Empfänger zahlt auf die geänderte IBAN. Angreifer löscht die manipulierte Email aus „Gesendet“ beim Lieferanten — der echte Account-Inhaber merkt nichts. Der Schaden wird erst beim nächsten Lieferanten-Anruf bekannt.

Manipulierte Rechnung (anonymisiertes Beispiel) VEC-Pattern 
From: Buchhaltung Lieferant GmbH <buchhaltung@lieferant-gmbh.de>
To: rechnungen@ihre-firma.de
Subject: Re: Rechnung 2026-0412-RG4711
Authentication-Results: spf=pass; dkim=pass; dmarc=pass

Sehr geehrte Damen und Herren,

bitte beachten Sie, dass wir unsere Bankverbindung gewechselt haben.
Künftige Zahlungen bitte an folgendes Konto:

NEU: IBAN DE89 ... (statt: DE12 ...)
BIC: ...

Die anhängige Rechnung 2026-0412-RG4711 über 27.450,00 EUR bitte
auf das neue Konto überweisen. Eine bereinigte PDF liegt bei.

Mit freundlichen Grüßen,
Buchhaltung Lieferant GmbH
Dokumentierte Vorfälle

VEC-Trends 2023–2026

VEC hat seit etwa 2022 als eigene Kategorie an Sichtbarkeit gewonnen. Abnormal Security veröffentlicht jährliche VEC-Threat-Reports mit Kampagnen-Analysen, Proofpoint dokumentiert Vendor-Risk-Trends, und der BSI-Lagebericht 2025 weist Lieferketten-Email-Risiken als wachsendes Problem aus. Anders als bei klassischem BEC mit FACC und Leoni gibt es bei VEC weniger einzelne Headline-Fälle — dafür eine steigende Zahl kleinerer Vorfälle in der mittleren Schadensgröße.

2024+

Abnormal Security 2024 — 83 % der Großunternehmen betroffen

Die Abnormal Security „CISO Guide to Vendor Email Compromise 2024“ dokumentiert: 83 % der Großunternehmen erlebten 2024 mindestens einen VEC-Angriff. Im H1 2024 waren wöchentlich 41 % der Kunden Ziel von VEC; die Wahrscheinlichkeit, mindestens einen VEC-Angriff pro Woche zu erhalten, lag bei 70 %. Innerhalb von 12 Monaten versuchten Angreifer über 300 Mio. USD via VEC zu stehlen. Branchen-Spitzenreiter: Retail/Consumer Goods (70 %) und Construction/Engineering (68 %) — H1 2024. Quelle: Abnormal Security CISO Guide to VEC (PDF).

2024

Proofpoint Human Factor Report — Vendor-Risk

Proofpoint dokumentiert in seinen jährlichen Human-Factor-Reports den Trend zu Vendor-/Supplier-Identity-Spoofing als wachsendes Untersegment des klassischen Email-Threat-Spectrums.

2024

BSI-Lagebericht 2025 — Lieferketten-Risiko

Der BSI-Lagebericht 2025 stuft Lieferketten-Angriffe als hochrelevant ein. VEC ist die Email-spezifische Manifestation, andere Manifestationen umfassen SBOM-Manipulation, Tooling-Trojan-Pferde und Software-Update-Hijacking.

2025

Abnormal 2025 — 44 % Engagement-Rate bei VEC-Mails

Der Abnormal-Threat-Report „Read, Replied, Compromised“ (Juni 2025) zeigt: Rund 44,2 % aller gelesenen VEC-Mails führen zu einer aktiven Interaktion (Klick, Antwort, Weiterleitung). In Großunternehmen mit über 50.000 Mitarbeitern stieg die Zweit-Schritt-Engagement-Rate auf 72,3 % — VEC ist damit der erfolgreichste Social-Engineering-Vektor 2025. Quelle: Abnormal Security Read-Replied-Compromised Report (PDF, 2025).

Erkennung

Wie erkenne ich VEC-Manipulation?

VEC ist deshalb so schwer zu erkennen, weil alle technischen Authentifizierungs-Signale grün sind. Die Erkennung muss auf der Verhaltens- und Prozess-Ebene erfolgen: IBAN-Änderung-Schwelle, Reply-To-Konsistenz, Zeitstempel-Abweichungen, Anhang-Hash-Vergleiche. Beim Lieferanten selbst sind UEBA-Tools (User Entity Behavior Analytics) der primäre Erkennungs-Hebel — abweichende Login-Zeiten, ungewohnte IPs, neue Mail-Filter-Regeln.

Prozess-Indikatoren

  • IBAN-Wechsel auf bestehender Rechnung (zentral)
  • Plötzliche Beschleunigungs-Aufforderung
  • Neuer Ansprechpartner ohne Übergabe-Email
  • Reply-To weicht von From ab
  • Andere PDF-Hash bei Wiederholungs-Rechnung

UEBA beim Lieferanten

  • Login aus untypischem Land
  • Neue Mailbox-Regel mit Lösch-Verhalten
  • Massen-Abruf der „Gesendet“-Folder
  • OAuth-Consent für unbekannte App
  • MFA-Reset durch nicht-IT-Personal

Wolf-Agents-USP für VEC

Der Wolf-Agents Lieferanten-DMARC-Check prüft Ihre Top-20-Lieferanten auf DMARC-Hardness — eine schwache Konfiguration beim Partner ist ein direktes VEC-Vorrisiko. Das Monitoring (alle 6 Stunden) erkennt zudem neue Stack-Erkennungen beim Lieferanten — wenn plötzlich eine andere Sendendomain in den DMARC-Reports auftaucht, ist das ein Frühwarnsignal.

Schutzmaßnahmen

Wie schütze ich mich vor VEC?

VEC-Schutz ist Lieferketten-Sicherheit. Die eigene DMARC-Konfiguration hilft hier nur indirekt — der Hebel liegt bei den Sicherheits-Anforderungen, die Sie an Ihre Lieferanten stellen, beim Out-of-Band-Verifikations-Prozess für IBAN-Änderungen und beim 4-Augen-Prinzip für mittelgroße Überweisungen. NIS2 Art. 21 Abs. 2 lit. d ist hier der direkte Compliance-Anker.

1

Lieferanten-DMARC-Anforderung

DMARC mit p=quarantine oder p=reject als Vertragsbestandteil. Verhindert, dass Angreifer den Lieferanten von außen direkt imitieren — die einfachste VEC-Vorstufe. Siehe DMARC-Kapitel für die Anforderungs-Sprache im Lieferanten-Vertrag.

2

Eigenes DMARC-Enforcement

Verhindert, dass Ihre eigene Domain für VEC-Angriffe gegen Ihre Kunden missbraucht wird. Ein Lieferant, der von Ihrer Domain VEC bekommt, ist auch Ihr Reputations-Problem.

3

IBAN-Out-of-Band

Jede IBAN-Änderung wird über einen anderen Kanal verifiziert — Anruf an die bekannte Lieferanten-Nummer, NICHT über die Email-Adresse aus der manipulierten Nachricht.

4

4-Augen-Prinzip + IBAN-Whitelist

Neue IBANs werden vom System nicht angenommen, ohne Freigabe durch eine zweite Person. Banken-Software bietet IBAN-Whitelists und Schwellenwerte für mittelgroße Beträge.

5

Lieferanten-Sicherheits-Audit

Top-Lieferanten erhalten einen jährlichen Sicherheits-Fragebogen mit DMARC-Status, MFA-Coverage und Incident-Response-Plan. Schlechte Antworten triggern Risiko-Aufschläge.

6

Reply-Chain-Analyse

Mail-Gateway-Regel: bei IBAN-Pattern in Reply auf bestehender Konversation eine Bestätigungs-Anforderung an den Bearbeiter senden. Verhindert die häufigste VEC-Aktions-Trigger-Variante.

Incident-Response

Was tun bei einem VEC-Vorfall?

Ein VEC-Vorfall hat zwei Seiten: Ihr eigener Schaden (falsche Überweisung) und die Lieferanten-Kompromittierung (deren Konto wurde übernommen). Beide brauchen separate Reaktionen — bei der eigenen Bank den Überweisungs-Rückruf versuchen, beim Lieferanten die Kompromittierung melden und ggf. die Lieferketten-Beziehung neu absichern.

  1. Bank-Rückruf — die eigene Hausbank informieren und den Überweisungs-Rückruf einleiten. Erfolgsquote sinkt nach 24h drastisch, danach hängt es vom Empfänger-Land ab.
  2. Lieferant informieren — über einen verifizierten Kanal (Telefon an bekannte Nummer, NICHT auf die manipulierte Email antworten). Der Lieferant muss die eigene Konto-Kompromittierung untersuchen.
  3. Eigene Email-Beweismittel sichern — vollständige Header, Versand-Metadaten, PDF-Anhang-Hashes. Korrelations-Vergleich mit früheren legitimen Rechnungen.
  4. Anzeige bei der zuständigen Cybercrime-Stelle — in DE: ZAC der Bundesländer. Internationale Überweisungen brauchen die FBI-Financial-Fraud-Kill-Chain-Anbindung über das BKA.
  5. Lieferketten-Reassessment — sind weitere Lieferanten dieser Klasse gefährdet? Trigger einen Out-of-Band-Verifikations-Sweep für alle anstehenden Zahlungen.
  6. NIS2 Art. 23 Meldepflicht prüfen — bei erheblichem Schaden oder Lieferketten-Implikation greift die 24h-Frühwarnung. Lit. d (Lieferkette) ist hier zentral.
Compliance

VEC-Schutz nach NIS2 lit. d (Lieferkette)

NIS2 Art. 21 Abs. 2 lit. d verlangt explizit Sicherheit der Lieferkette. VEC ist die Email-spezifische Manifestation dieses Risikos und damit eine direkt anwendbare Pflicht-Schicht. Die deutsche NIS2UmsuCG-Umsetzung ergänzt §38 BSIG-Geschäftsleitungs-Haftung — die Sorgfaltspflicht umfasst nachweisbar auch die Lieferketten-Sicherheit.

NIS2 Art. 21 Abs. 2 lit. d

Sicherheit der Lieferkette. Die VEC-spezifische Auslegung: Lieferanten-DMARC-Anforderungen, IBAN-Out-of-Band-Verfahren, Reply-Chain-Analyse, Lieferanten-Sicherheits-Audits.

BSI Lieferketten-Empfehlungen

Die BSI-Empfehlungen zur Lieferketten-Sicherheit decken neben Software- und Hardware-Lieferketten auch die Kommunikations-Sicherheit ab. VEC fällt unter die Email-Kommunikations-Kategorie.

DSGVO Art. 28 + Art. 32

Art. 28 regelt Auftragsverarbeitung — Lieferanten, die personenbezogene Daten verarbeiten, brauchen einen AVV. Art. 32 fordert technische Maßnahmen — Lieferanten-Email-Sicherheit gehört dazu, wenn dort personenbezogene Daten fließen.

Mit dem Wolf-Agents Lieferanten-DMARC-Check prüfen Sie die Top-Lieferanten auf DMARC-Hardness. Das Monitoring alarmiert bei neuen Stack-Erkennungen, die auf eine Konto-Übernahme beim Lieferanten hinweisen können.

Wie steht Ihre Domain bei Vendor Email Compromise?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten

Häufig gestellte Fragen

Was ist Vendor Email Compromise (VEC)?

VEC ist eine Untervariante von Business Email Compromise (BEC), bei der der Angreifer ein Lieferanten- oder Geschäftspartner-Konto übernimmt und im Namen dieses vertrauenswürdigen Partners Manipulationen vornimmt — typischerweise IBAN-Änderungen auf bestehenden Rechnungen, Forderung neuer Zahlungen oder Auslösen von Material-Bestellungen unter falschem Namen. Im Unterschied zu klassischem BEC kommt die manipulierte Email aus einem ECHTEN, legitimen Konto — DMARC, SPF und DKIM signalisieren „authentifiziert“.

Wie unterscheidet sich VEC von klassischem BEC?

Klassisches BEC nutzt Display-Name-Spoofing oder Look-Alike-Domains — die Email kommt also von einer fremden Adresse, die nur ähnlich aussieht. VEC kommt aus dem ECHTEN Lieferanten-Konto, das der Angreifer per Phishing oder Credential-Klau übernommen hat. Technische Filter (DMARC, SPF, DKIM, URL-Defense) zeigen alle grün. Nur Verhaltens-Anomalien (geänderte IBAN, ungewöhnlicher Zeitpunkt, abweichender Sprachstil) und Out-of-Band-Verifikation helfen.

Warum ist VEC eine NIS2-Lieferketten-Frage?

NIS2 Art. 21 Abs. 2 lit. d verlangt explizit „Sicherheit der Lieferkette“. VEC ist die Email-spezifische Manifestation dieses Risikos: Ein kompromittierter Lieferant wird zum Einfallstor in Ihre eigene Organisation. Die NIS2-Pflicht zur Lieferketten-Sicherheit umfasst deshalb auch das Lieferanten-DMARC-Monitoring, Sicherheits-Anforderungen in Verträgen und einen klaren Eskalations-Pfad bei Verdacht auf Konto-Kompromittierung beim Partner.

Wie erkenne ich eine VEC-Manipulation?

Achten Sie auf vier Muster: (1) IBAN-Wechsel auf einer bestehenden Lieferanten-Rechnung („wir haben das Konto gewechselt“), (2) Plötzliche Beschleunigungs-Aufforderung („bitte heute noch begleichen“), (3) Email aus dem Lieferanten-Konto an Personen, die normalerweise keine Korrespondenz haben, (4) Reply-To, das auf eine andere Domain zeigt als die ursprüngliche Konversation. Bei IBAN-Änderungen IMMER Out-of-Band verifizieren — Anruf an die bekannte Lieferanten-Nummer, nicht aus der Email.

Was sollte in einem Lieferanten-Vertrag stehen?

Mindestens vier Punkte: (1) Lieferant verpflichtet sich zu DMARC-Enforcement mit p=quarantine oder p=reject, (2) Lieferant betreibt MFA für alle Konten mit Buchhaltungs-Zugriff, (3) IBAN-Änderungen werden ausschließlich Out-of-Band kommuniziert (z.B. über das Vertragsdokument-Portal, NICHT per Email), (4) Lieferant meldet Konto-Kompromittierung unverzüglich. Diese Klauseln sind Teil eines NIS2-konformen Lieferketten-Risikomanagements.

Welche Reports sind die maßgebliche Quelle zu VEC?

Mehrere Email-Security-Anbieter haben VEC seit etwa 2022 als eigene Kategorie etabliert: Abnormal Security veröffentlicht jährliche VEC-Threat-Reports mit Kampagnen-Analysen, Proofpoint dokumentiert Vendor-Risk-Trends in der jährlichen Human Factor Reihe, Microsoft Defender for Office 365 verfolgt Übernahme-Muster in M365-Tenants. Diese Anbieter-Reports ergänzen Verizon DBIR (Trusted-Relationship-Vektoren) und den BSI-Lagebericht für DACH-Lagebild.

Wie hilft Wolf-Agents gegen VEC?

Der Email Security Check prüft, ob Ihre eigene Domain für VEC-Reuse missbraucht werden könnte: DMARC mit p=reject macht es Angreifern unmöglich, IHRE Domain als VEC-Köder zu nutzen. Das Monitoring (alle 6 Stunden) erkennt neue Stack-Erkennungen — etwa, wenn ein Lieferant plötzlich aus einem anderen Cloud-Tenant sendet. Wolf-Agents bietet außerdem einen Lieferanten-DMARC-Check, mit dem Sie die DMARC-Hygiene Ihrer Top-20-Lieferanten regelmäßig prüfen können.