Was ist Business Email Compromise (BEC)?

Business Email Compromise (BEC) ist eine Art von Phishing-Betrug, die auf Unternehmen abzielt, um Geld oder wichtige Informationen zu stehlen.

Einfach erklärt: Business Email Compromise (BEC)

Durch BEC versuchen Cyberkriminelle, andere Personen durch betrügerische E-Mails dazu zu bringen, Geld zu überweisen oder vertrauliche Unternehmensdaten preiszugeben. Die Akteure geben sich als vertrauenswürdige Personen aus und verlangen die Bezahlung einer gefälschten Rechnung oder die Herausgabe vertraulicher Daten, die sie für weitere betrügerische Aktivitäten missbrauchen können. Durch die größere Verbreitung von Mobilarbeit sind BEC-Betrugsfälle auf dem Vormarsch – im vergangenen Jahr wurden dem FBI fast 20.000 BEC-Vorfälle gemeldet.¹

Arten betrügerischer Business-E-Mails

91 Prozent der Cyberangriffe beginnen mit einer E-Mail.²Mehr erfahren über die häufigsten Arten betrügerischer E-Mails.

Datendiebstahl

Manchmal nehmen Betrüger zunächst die Personalabteilung ins Visier, um Unternehmensdaten wie den Terminkalender oder die persönliche Telefonnummer einer Person zu stehlen. Mit diesen Informationen steigern sie ihre Glaubwürdigkeit, um anschließend weitere BEC-Betrügereien zu begehen.

Falsche Rechnungen

Betrüger tarnen sich als seriöse Lieferanten eines Unternehmens und verschicken gefälschte Rechnungen per E-Mail, die kaum von einer echten Rechnung zu unterscheiden sind. Manchmal enthält die Kontonummer lediglich eine falsche Ziffer. Oder man wird aufgefordert, an eine andere Bank zu überweisen, da angeblich gerade ein Audit stattfindet.

CEO-Betrug

Betrüger fälschen oder hacken E-Mail-Konten von Führungskräften und fordern Mitarbeitende in deren Namen auf, etwas zu kaufen oder Geld zu überweisen. Manchmal weisen Betrüger die E-Mail-Empfänger auch an, Geschenkgutscheine zu kaufen und dies durch ein Foto der Seriennummer zu belegen.

Vortäuschen eines Rechtsanwaltstitels

Bei dieser Betrugsmasche verschaffen sich Angreifer unter dem E-Mail-Konto einer Anwaltskanzlei unbefugten Zugriff. Anschließend schicken sie Klienten per E-Mail eine Rechnung oder einen Link zur Onlineüberweisung. Die E-Mail-Adresse ist echt, das Konto jedoch nicht.

Kontofälschung

Betrüger verschaffen sich über Phishing oder Schadsoftware Zugang zum E-Mail-Konto von Finanzfachkräften, z. B. der Leitung der Debitorenbuchhaltung. Anschließend schicken sie Lieferanten des Unternehmens per E-Mail gefälschte Rechnungen, in denen Überweisungen auf ein manipuliertes Bankkonto verlangt werden.

Wie funktioniert BEC-Betrug?

So läuft ein BEC-Betrug ab:

1. Betrüger spähen Zielpersonen aus, um herauszufinden, wie sie deren Identität fälschen können. Manchmal erstellen sie gefälschte Websites oder lassen sogar Firmen unter dem Namen des geschädigten Unternehmens in einem anderen Land registrieren.

2. Sobald sich Betrüger Zugang verschafft haben, überwachen sie E-Mails auf Namen von Personen, die Geld senden oder empfangen könnten. Außerdem halten sie Ausschau nach Gesprächsmustern und Rechnungen.

3. Während einer E-Mail-Unterhaltung gibt sich der Betrüger als einer der Gesprächspartner aus, indem er die E-Mail-Domäne fälscht. (Die E-Mail-Adresse kann einen oder zwei falsche Buchstaben enthalten, oder es handelt sich um die richtige E-Mail-Adresse, die mit einer anderen Domäne verknüpft ist, z. B. chris@contoso.com über fabrikam.com.)

4. Der Betrüger versucht, sich das Vertrauen der Zielperson zu erschleichen, und fordert dann Geld, den Kauf von Geschenkgutscheinen oder die Herausgabe von Informationen.

Ziele betrügerischer E-Mails

Jeder kann ins Visier von BEC-Betrügern geraten. Unternehmen, Behörden, gemeinnützige Organisationen und Schulen sind gefährdet, insbesondere folgende Berufsgruppen:

1. Führungskräfte, da Details über sie auf öffentlichen Unternehmenswebsites zu lesen sind. Angreifer könnten deshalb vorgeben, sie zu kennen.

2. Finanzfachkräfte wie Controller und Mitarbeitende der Kreditorenbuchhaltung, die über Bankdaten, Informationen zu Zahlungsmethoden und Kontonummern verfügen.

3. Personalmanager, die über Personalunterlagen einschließlich Sozialversicherungsnummern, Steuererklärungen, Kontaktinformationen und Dienstplänen verfügen.

4. Neue oder unerfahrene Firmenangehörige, die noch nicht erkennen können, ob der Absender einer E-Mail seriös ist.

Die Risiken von BEC

Ein erfolgreicher BEC-Angriff kann diese negativen Folgen für Ihr Unternehmen haben:

1. Finanzielle Verluste in Millionenhöhe

2. Groß angelegter Identitätsdiebstahl, falls personenbezogene Informationen gestohlen werden

3. Versehentliche Offenlegung vertraulicher Daten wie z. B. geistigem Eigentum

Genauso wie BEC-Betrugsmaschen entwickeln sich auch Strategien zum Bedrohungsschutz weiter. Tatsächlich hat Microsoft im vergangenen Jahr 32 Mrd. E-Mail-Bedrohungen blockiert.³ Mehr erfahren über Microsoft-Lösungen für den Schutz vor E-Mail-Bedrohungen.

Beispiele für betrügerische Business-E-Mails

Beispiel 1: Dringende Zahlungsaufforderung

Angenommen, Sie arbeiten in der Finanzabteilung eines Unternehmens und der Finanzchef schickt Ihnen eine E-Mail mit einer dringenden Anfrage zu einer überfälligen Rechnung – doch der Absender ist gefälscht. Oder der Betrüger gibt sich als Reparaturbetrieb oder Internetanbieter aus und übermittelt Ihnen eine täuschend echt aussehende Rechnung per E-Mail.

Beispiel 2: Erkundigen nach der Telefonnummer

Ein Vorgesetzter schickt Ihnen eine E-Mail: "Ich brauche dringend Ihre Hilfe. Bitte schicken Sie mir Ihre Telefonnummer, damit ich Ihnen eine SMS senden kann." Eine SMS erscheint vertrauenswürdiger und persönlicher als eine E-Mail, sodass der Betrüger hofft, dass Sie ihm Zahlungsinformationen oder andere vertrauliche Informationen per SMS senden. Diese Betrugsmasche ist unter dem Begriff "Smishing" oder Phishing per SMS bekannt.

Beispiel 3: Angebliches Vertragsende

Ein Betrüger verschafft sich Zugang zu E-Mails eines Immobilienunternehmens und stößt dabei auf laufende Transaktionen. Er schickt den Kunden folgende E-Mail: "Beiliegend übersende ich Ihnen die Rechnung für die Verlängerung Ihres Büromietvertrags um ein weiteres Jahr" oder "Bitte verwenden Sie diesen Link zur Überweisung Ihrer Mitkaution". Unlängst haben Betrüger auf diese Weise mehr als 500.000 US-Dollar ergaunert.⁴

Beispiel 4: Streng geheime Übernahme

Ein Vorgesetzter weist Sie an, eine Vorabzahlung für die Übernahme eines Konkurrenzbetriebs zu veranlassen. Er schreibt in der E-Mail: "Das bleibt unter uns", um weitere Fragen zu vermeiden. Da Übernahmedetails meist bis kurz vor Abschluss geheim gehalten werden, erscheint diese Betrugsmasche auf den ersten Blick unverdächtig.

Tipps zur BEC-Prävention

Folgen Sie diesen fünf Best Practices, um betrügerische Business-E-Mails abzuwehren:

Sichere E-Mail-Lösung verwenden

Verdächtige E-Mails werden von E-Mail-Anwendungen wie Office 365 automatisch gekennzeichnet und gelöscht. Oder Sie werden benachrichtigt, falls der Absender nicht verifiziert werden kann. Daraufhin können Sie bestimmte Absender blockieren und E-Mails als Spam melden. Defender for Office 365 bietet noch mehr Funktionen zur BEC-Prävention wie erweiterten Phishing-Schutz und Erkennung verdächtiger Weiterleitungen.

Multi-Faktor-Authentifizierung (MFA) einrichten

Minimieren Sie die Angreifbarkeit von E-Mails, indem Sie die Multi-Faktor-Authentifizierung aktivieren, die neben einem Kennwort auch die Anmeldung per Code, PIN oder Fingerabdruck erfordert.

Mitarbeitende für Warnsignale sensibilisieren

Stellen Sie sicher, dass jeder weiß, wie man Phishing-Links, nicht übereinstimmende Domänen- und E-Mail-Adressen sowie andere Warnsignale erkennt. Simulieren Sie einen BEC-Betrugsfall, damit Mitarbeitende ihn im Ernstfall erkennen.

Sicherheitsstandards festlegen

Administratoren können Sicherheitsanforderungen unternehmensweit verschärfen, indem sie MFA für alle Mitarbeitenden vorschreiben, neue oder riskante Zugriffe durch Authentifizierung erschweren und die Rücksetzung von Kennwörtern erzwingen, nachdem Informationen nach außen gelangt sind.

Tools für die E-Mail-Authentifizierung einsetzen

Erschweren Sie E-Mail-Spoofing, indem Sie Absender authentifizieren – z. B. mithilfe von SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-Based Message Authentication, Reporting, and Conformance).

Sichere Zahlungsplattform einführen

Erwägen Sie den Umstieg von Rechnungen, die per E-Mail verschickt werden, auf ein System, das authentifizierte Zahlweisen unterstützt.

Schutz vor betrügerischen Business-E-Mails

Schützen Sie Ihr Unternehmen mit Lösungen zur Erkennung verdächtiger E-Mails wie Microsoft Defender for Office 365, und profitieren Sie von folgenden Funktionen:

1. Automatische Überprüfung von E-Mail-Authentifizierungsstandards, Spoofing-Erkennung und Senden von E-Mails an Quarantäne- oder Junk-E-Mail-Ordner

2. KI-gesteuerte Modellierung der E-Mail-Muster einzelner Personen und Kennzeichnen ungewöhnlicher Aktivitäten

3. Konfigurieren des E-Mail-Schutzes nach Benutzer, Domäne und Postfach

4. Untersuchen von Bedrohungen sowie Erkennen von Zielpersonen, falsch-positiven Meldungen und Betrügern mit dem Threat Explorer

5. Untersuchen domänenweiter E-Mail-Muster und Hervorheben ungewöhnlicher Aktivitäten mit komplexen Spoof-Intelligence-Algorithmen

Weiterführende Informationen zu Microsoft Security

Sechs Tipps für sichere E-Mails

Folgen Sie den Best Practices für E-Mail-Sicherheit, um sich vor BEC zu schützen.

Tipps lesen

Betrug mit Geschenkgutscheinen erkennen

Lesen Sie echte betrügerische E-Mails, die auf BEC-Betrug abzielen, damit Sie vorbereitet sind.

Taktiken erkennen

BEC-Angriffe durchschauen

Erfahren Sie, wie Betrüger in der Realität mit gefälschten Business-E-Mails agieren.

Details erfahren

Kennwortsprayangriffe vermeiden

Erfahren Sie, wie Sie diese E-Mail-Angriffe stoppen können und welche Personen in Ihrem Unternehmen gefährdet sind.

Beitrag lesen

Wichtige Informationen für CISOs

Erfahren Sie mehr über aktuelle Schulungen zur Sicherheitssensibilisierung und wie Sie Ihr Team über Phishing aufklären können.

Phishing mit MFA wirksam bekämpfen

Ergreifen Sie eine der schnellsten und einfachsten Maßnahmen, um BEC-Betrug zu bekämpfen: die Multi-Faktor-Authentifizierung.

Mehr erfahren

Digital Crimes Unit bei der Arbeit erleben

Erfahren Sie, wie das Cybercrime-Team von Microsoft mit Produktinnovation, Forschung und KI gegen BEC vorgeht.

DCU kennenlernen

Häufig gestellte Fragen

Melden Sie den Vorfall dem Internet Crime Complaint Center (IC3) des FBI. Alternativ können Sie die E-Mail über Ihren E-Mail-Anbieter melden, indem Sie sie als Junk-E-Mail oder Spam markieren. Wenn eine solche Option in Ihrem E-Mail-Dienst fehlt, dann wenden Sie sich an Ihren Vorgesetzten.
Phishing ist ein Teilbereich von Business Email Compromise. BEC ist der Oberbegriff für eine Angriffsart, die häufig Phishing, Spoofing, Identitätsdiebstahl und gefälschte Rechnungen umfasst.
Schützen Sie Business-E-Mails mit folgenden Best Practices für E-Mail-Sicherheit: Wahl eines sicheren E-Mail-Anbieters, Multi-Faktor-Authentifizierung, Festlegen und Ändern eines starken E-Mail-Kennworts sowie Unterbinden der Onlineweitergabe personenbezogener Details. Als Administrator sollten Sie E-Mail-Sicherheitslösungen wie Defender for Office 365 in Betracht ziehen, mit denen Sie Sicherheitseinstellungen konfigurieren und Aktivitäten auf Anomalien überwachen können.
Sie erkennen BEC-Betrug, indem Sie ungewöhnliche Vorkommnisse beobachten: z. B. eine E-Mail, die außerhalb der Geschäftszeiten gesendet wird, falsch geschriebene Namen, nicht übereinstimmende Absender- und -Antwortadressen in E-Mails, eine gewisse Dringlichkeit, auffällige Links und Anlagen sowie geänderte Zahlungs- oder Rechnungsdaten. Weitere Anzeichen für BEC-Betrug liefern gelöschte E-Mails in Ihrem E-Mail-Konto sowie Weiterleitungsregeln, die auf ein manipuliertes Konto hinweisen könnten. Wenn Ihre E-Mail-Anwendung bestimmte E-Mails als verdächtig oder unbestätigt kennzeichnet, kann dies ebenfalls auf BEC-Betrug hindeuten.
E-Mail-Spoofing beschreibt das Fälschen einer E-Mail-Adresse, damit E-Mails so aussehen, als kämen sie von einer anderen Person. Manche Spoof-E-Mails sehen täuschend echt aus, obwohl sie von einer anderen Domäne stammen, die erst bei genauerem Hinsehen erkennbar ist (chris@contoso.com über fabrikam.com). Manche Adressen enthalten auch kleine Schreibfehler (chris@cont0so.com) oder werden von einer ganz anderen Domäne (chris@fabrikam.com) gesendet.

1. FBI. "Internet Crime Report 2021." Internet Crime Complaint Center. 2021.

2. Ganacharya, Tanmay. "Protecting against coronavirus themed phishing attacks." Microsoft Security-Blog 20. März 2020.

3. Microsoft. "Digital Defense Report." Oktober 2021.

4. US Department of Justice. "Rhode Island Man Pleads Guilty to Conspiracy to Launder Funds of Email Compromise Fraud Targeting Massachusetts Lawyer." 15. Juli 2020.