Direkt zum Inhalt
Insights & Trends
Blog

Business Email Compromise: So verhindern Sie E-Mail-Betrug

Lesezeit: 12 Minuten

„Dringende Überweisung, bitte heute noch.“ – So lautet der Betreff in der E-Mail der Geschäftsführerin an den Buchhalter. Der Ton wirkt vertraut, die E-Mail-Signatur korrekt und die angegebene Begründung klingt plausibel. Der pflichtbewusste Mitarbeiter überweist mehrere tausend Euro. Doch die Geschäftsführerin weiß nichts davon, denn hier handelt es sich nicht um eine authentische E-Mail, sondern um Business Email Compromise (BEC), eine raffinierte und weit verbreitete Form des Cyberbetrugs. In unserem Blog erfahren Sie, wie Business Email Compromise funktioniert, wie KI die Cybergefahr verstärkt und wie Sie sich vor E-Mail-Betrug der neuen Generation schützen.

mailbox EVAC Blog Business Email Compromise E-Mail-Betrug

Was ist Business Email Compromise (BEC)?

Business Email Compromise bezeichnet eine Form des gezielten E-Mail-Betrugs, bei dem Angreifer entweder echte Konten übernehmen oder täuschend echte Absenderadressen verwenden, um Mitarbeitende zu betrügerischen Handlungen zu verleiten. Das Ziel ist die Erbeutung von Geld, Daten oder beidem.

Business Email Compromise zählt neben Ransomware, Phishing und DDOS-Angriffen zu den finanziell schädlichsten Cyberbedrohungen. In Deutschland entstand laut Forschungsbericht „Kosten und Schäden durch Cyber-Kriminalität in Deutschland“ des Bundeskriminalamts aus 2024 ein Schaden von knapp 110 Millionen Euro. Der Grund für die hohe Erfolgsquote liegt in der Psychologie. BEC-Angriffe nutzen:

  • Autorität: Eine Nachricht der Geschäftsführerin oder des CFO wird nicht hinterfragt.
  • Zeitdruck: „Bitte heute noch" lässt keine Zeit zum Nachdenken.
  • Vertrauen: Bekannte Namen, korrekte Signaturen, plausible Kontexte und authentisch wirkende Formulierungen.
  • Isolation: Oft wird gebeten, die Sache „diskret“ zu behandeln.

CEO Fraud & Co: Die häufigsten BEC-Angriffsmuster

Business Email Compromise ist ein Oberbegriff für verschiedene Varianten des E-Mail-Betrugs. Wir fassen Ihnen die wichtigsten im Überblick zusammen:

  • CEO Fraud (auch „Chef-Masche“ oder „Fake President Fraud“):

    CEO Fraud ist sozusagen der Klassiker unter den BEC-Angriffen. Angreifer geben sich als Geschäftsführung aus und fordern Mitarbeitende der Buchhaltung oder Finanzabteilung zu dringenden Überweisungen auf. Sie machen sich Loyalität und Vertraulichkeit der Mitarbeitenden zunutze und setzen die Betrugsopfer unter Zeitdruck, um reguläre Sicherheitsrichtlinien zu umgehen.

  • Rechnungsbetrug („Invoice Fraud“):

    Dabei werden Lieferanten-E-Mails und -Anrufe gefälscht (Lieferanten-Identitätsdiebstahl bzw. „Vendor-Impersonation“) oder echte Konten kompromittiert, um Mitarbeitende zu einer Überweisung von Geldbeträgen auf ausgetauschte Bankkonten für tatsächlich fällige Zahlungen oder aber für nie erbrachte Leistungen zu bewegen. Auch hier wird mit Druck gearbeitet, z. B. mit auffällig kurzen Zahlungsfristen oder der Androhung von Mahnverfahren und Inkassobüros.

  • Identitätsdiebstahl von Anwälten oder Beratern („Lawyer Impersonation“):

    Dabei nehmen die Cyberbetrüger die Identität einer externen Person an, die Informationen über vertrauliche interne Prozesse und Projekte besitzt. Ziel ist auch hier, Mitarbeitende zu Überweisungen zu bewegen.

  • Datenbetrug bzw. Datendiebstahl („Data Theft via BEC“):

    Bei dieser Art des Cyberbetrugs werden statt Geld gezielt Daten erbeutet. Mitarbeiter sollen damit dazu gebracht werden, vertrauliche Daten – z. B. Personal- und Gehaltsdaten, Zugangsdaten, Rechnungs- und Steuerdokumente – zu teilen, um darauf größere Cyberangriffe aufzubauen.

E-Mail-Betrug im Zeitalter von KI und Deepfakes

Noch bis vor Kurzem ließ sich Business Email Compromise oft an Details erkennen: eine ungewöhnliche Formulierung, eine leicht abweichende Absenderadresse, eine seltsam wirkende Stimme am Telefon. Künstliche Intelligenz hat diese Erkennungsmerkmale teilweise beseitigt und Deepfakes wie Voice-Cloning machen sie deutlich schwerer erkennbar als zuvor.

KI bringt E-Mail-Betrug dadurch auf eine neue Bedrohungsstufe. Laut Schadensstatistik „Schachmatt durch KI?“ von Allianz Trade haben sich die Schäden durch CEO-Fraud seit 2024 verdreifacht. Auch das Bundeskriminalamt warnt in seinem „Bundeslagebild Cybercrime 2025“ vor dieser Entwicklung.

Angreifer kombinieren mithilfe von KI heute mehrere Kanäle: Einer KI-generierten E-Mail folgt ein Vishing-Anruf mit geklonter Stimme, im Extremfall sogar ein Deepfake-Video-Call. Was besonders kleinen und mittleren Unternehmen (KMU) im Tagesgeschäft Flexibilität ermöglicht – etwa flache Hierarchien und kurze Entscheidungswege –, wird gerade beim Deepfake-CEO-Fraud zur Schwachstelle.

Wichtige Begriffe

Was ist Social Engineering?

Bei BEC kommt keine Schadsoftware zum Einsatz, sondern die Angreifer machen sich Social Engineering zunutze. Social Engineering ist eine Methode, bei der Eigenschaften wie Vertrauen, Hilfsbereitschaft, Angst oder Neugier ausgenutzt werden, um Personen dazu zu bringen, sensible Daten preiszugeben, Geld zu überweisen oder unbefugten Zugriff auf IT-Systeme zu gewähren. Die bei BEC-Angriffen angewendete Kombination aus Social Engineering und gezielter Täuschung funktioniert quer durch alle Branchen und Organisationsgrößen.

Was ist Vishing?

Der Begriff „Vishing“ kombiniert „Voice“ und „Phising“, also Phishing per Telefonanruf statt per E-Mail. Bei Vishing-Angriffen der neuen Generation kommt KI-Voice-Cloning zum Einsatz. Statt einer beliebigen, generischen Stimme hören Mitarbeitende eine Stimme, die exakt nach einer bekannten Person klingt, z. B. nach ihrem CEO oder CFO.

Was ist E-Mail Spoofing?

Beim E-Mail-Spoofing fälscht der Angreifer die Absenderadresse einer E-Mail, mit dem Ergebnis, dass die Nachricht täuschend echt aussieht und vermeintlich von einem bekannten Kontakt oder einem seriösen Dienst stammt. Spoofing gelingt leichter, wenn die angegriffene Domain keine strengen Authentifizierungsstandards wie DMARC, DKIM und SPF implementiert hat.

Wie Business Email Compromise funktioniert: Die vier Phasen eines BEC-Angriffs

Ein typischer Business-Email-Compromise-Angriff läuft in mehreren Phasen ab:

Phase 1: Ausspionieren

Business Email Compromise erfordert keine Schadsoftware, dafür aber eine ausführliche Vorbereitung. Angreifer recherchieren öffentlich zugängliche Informationen, wie LinkedIn-Profile, Impressumsangaben, Pressemitteilungen oder Organigramme. Ziel dieser ersten Phase ist es, zu verstehen, wer mit wem kommuniziert, wer Zahlungen autorisiert und wer auf Anweisungen der Geschäftsführung reagiert.

Mithilfe von KI lassen sich heute automatisiert riesige Mengen öffentlicher Daten auswerten – auch Social-Media-Beiträge, Konferenzvideos, Podcast-Auftritte, Pressefotos. Audio- und Videomaterial von Führungskräften, etwa aus Vorträgen, Interviews oder Firmenvideos, liefert das Rohmaterial, das für eine spätere Stimm- oder Bildklonung benötigt wird. Schon wenige Sekunden öffentlich verfügbarer Sprachaufnahme reichen aus, um eine Stimme täuschend echt nachzubilden.

Phase 2: Manipulation durch E-Mail Spoofing, Vishing oder Kontokompromittierung

Entweder wird ein echtes E-Mail-Konto durch Phishing, schwache Passwörter oder fehlende Multi-Faktor-Authentifizierung (MFA) übernommen oder die Absenderadresse durch E-Mail Spoofing gefälscht.

Waren Phishing-Mails früher oft an Rechtschreibfehlern oder holprigen Formulierungen erkennbar, erleichtern KI-Sprachmodelle heute auch diesen Schritt: Phishing-Mails, mit denen Zugangsdaten erbeutet werden sollen, lassen sich damit in makellosem, authentischem Deutsch erstellen. Das gilt analog für Vishing.

Phase 3: Der eigentliche BEC-Angriff

Mithilfe der vorangegangenen Schritte schlagen die Angreifer zu. Sie wählen Timing und Kontext dabei sorgfältig: Kurz vor Urlauben, am Freitagnachmittag oder in Phasen hoher Arbeitsbelastung geht die täuschend echt wirkende E-Mail oder der Anruf mit der geklonten Stimme beim Betrugsopfer ein.

In besonders aufwändigen Fällen kommt sogar ein Video-Call hinzu, bei dem nicht nur die Stimme, sondern auch das Gesicht in Echtzeit synthetisch erzeugt wird. Diese Kombination aus mehreren Kanälen erhöht den psychologischen Druck beim Opfer: Eine E-Mail allein lässt sich noch hinterfragen, ein Telefonat mit der vermeintlich vertrauten Stimme der Geschäftsleitung deutlich schwerer.

Phase 4: Geldwäsche oder Datenexfiltration

Überwiesene Beträge werden – oft über mehrere Länder – sofort weitergeleitet. Je nach Zeitpunkt und Art der Überweisung, ist es schwer bis unmöglich, eine Überweisung durch E-Mail-Betrug rückgängig zu machen. Auch diese letzte Phase läuft heute zunehmend automatisiert ab: KI-gestützte Systeme verteilen Gelder in Sekundenschnelle auf zahlreiche Konten und Kryptowährungs-Wallets über verschiedene Länder, um Spuren zu verwischen und Ermittlungen zu erschweren. Die Geschwindigkeit, mit der das geschieht, lässt Banken und Behörden oft keine Zeit, eine Transaktion noch zu stoppen.

Wichtig: Die Möglichkeiten, die Künstliche Intelligenz Angreifern heute bietet, macht die Prävention umso wichtiger.

E-Mail-Betrug erkennen: So schützen Sie Ihr Unternehmen

Wenn Sie die richtigen technischen und organisatorischen Maßnahmen implementieren, können Sie das Risiko durch Business Email Compromise und KI-gestützte Betrugsversuche erheblich reduzieren:

Technische Schutzmaßnahmen

  • E-Mail-Authentifizierung mit DMARC, DKIM und SPF:

    DMARC (Domain-based Message Authentication, Reporting & Conformance), DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework) sind grundlegende Schutzmaßnahmen gegen E-Mail Spoofing. Stellen Sie sicher, dass diese Standards vollständig und korrekt konfiguriert sind, damit Angreifer Ihre Domain nicht unbemerkt für CEO Fraud missbrauchen können.

  • Multi-Faktor-Authentifizierung (MFA) für alle E-Mail-Konten:

    MFA unterstützt dabei, einen erheblichen Teil der BEC-Angriffe zu verhindern, die auf kompromittierten Zugangsdaten basieren. Gerade weil KI-gestützte Phishing-Mails heute so überzeugend formuliert sind, steigt die Wahrscheinlichkeit, dass Mitarbeitende Zugangsdaten eingeben. Multi-Faktor-Authentifizierung wird dadurch noch wichtiger. Machen Sie „Kein Konto ohne zweiten Faktor“ daher zu ihrem E-Mail-Sicherheits-Grundsatz.

  • Anomalie-Erkennung und Alerting:

    Moderne E-Mail-Sicherheitslösungen erkennen ungewöhnliche Muster, wie Anmeldungen von unbekannten Standorten aus, auffällige Weiterleitungsregeln oder Massendownloads von Postfachinhalten. Sie setzen dabei selbst KI ein, um sprachliche Auffälligkeiten, atypische Kommunikationsmuster oder Anomalien in Schreibstil und Metadaten zu erkennen. Diese Schutzmaßnahme ermöglicht Ihnen einen zeitlichen Vorsprung: Werden Sie frühzeitig alarmiert, können Sie eingreifen, bevor Schaden entsteht.

  • Souveräne E-Mail-Infrastruktur als Sicherheitsgrundlage:

    Läuft Ihre E-Mail-Kommunikation auf einer Infrastruktur mit hohen Sicherheitsanforderungen, ausschließlicher Datenspeicherung in Deutschland bzw. Europa, transparenten Sicherheits-Konfigurationsmöglichkeiten und ohne Abhängigkeiten von US-Hyperscalern, ergänzt dies die Kontrolle über Ihre Daten.

So sorgt mailbox für Ihre Sicherheit

E-Mail-Sicherheit bei mailbox
Schloss

Organisatorische Schutzmaßnahmen

  • Regelmäßige Schulungen und Simulationen:

    Mitarbeitende sind das Einfallstor für Cyberbetrug. Das macht sie zur effektivsten Verteidigung – vorausgesetzt, sie sind gut vorbereitet. Regelmäßige BEC-, Voice- und Deepfake-Simulationen und Schulungen zur Erkennung von Social Engineering erhöhen die Erkennungsrate von Vishing & Co messbar.

  • Klare Kommunikationsprotokolle:

    Halten Sie fest, welche Anfragen per E-Mail gestellt werden und welche nicht. Wer kann Zahlungen anweisen und über welchen Kanal? Welche Anweisungsarten werden grundsätzlich niemals ausschließlich per Telefon oder Video autorisiert, unabhängig davon, wie überzeugend die Stimme oder das Bild wirken? Je klarer diese Regeln sind, desto leichter fällt es, Abweichungen – und damit (KI-gestützte) BEC-Angriffe – zu erkennen.

  • Vier-Augen-Prinzip für Zahlungen:

    Lassen Sie keinen Zahlungsauftrag über einem definierten Schwellenwert ohne zweite Freigabe zu. Das Prinzip muss auch dann gelten, wenn eine Anweisung scheinbar bereits verifiziert wurde (z. B. durch einen Anruf), sonst könnte ein überzeugender Voice-Clone bei Vishing genau diese zweite Kontrollebene aushebeln, wenn Mitarbeitende denken, die Verifikation sei bereits erfolgt. Das Vier-Augen-Prinzip hilft Ihnen, einen Großteil von BEC-Schäden im Bereich CEO Fraud und Rechnungsbetrug zu verhindern.

  • Rückruf-Pflicht bei ungewöhnlichen Anfragen:

    Erhält die Buchhaltung eine ungewöhnliche Anweisung – selbst wenn sie scheinbar von der Geschäftsführung stammt – sollte gelten: Rückversicherung keinesfalls per Antwort auf dieselbe E-Mail, sondern immer telefonisch verifizieren.

Achtung bei Rückruf-Regel und Vishing: Vorsicht ist aufgrund der vermehrt durch KI gestützten Betrugsversuche geboten. Die Rückruf-Verifzierung kann an Wirkung verlieren, wenn nicht nur die E-Mail gefälscht, sondern auch die Stimme am anderen Ende der Leitung geklont ist. Ergänzen Sie die beschriebenen Maßnahmen also um zusätzliche Verifizierungsschritte, wie Codewörter und Sicherheitsfragen oder Tests in Video-Calls, an denen viele Deepfake-Tools heute noch scheitern, z. B. die Anweisung, kurz die Hand vor das Gesicht zu halten oder den Kopf zu drehen.

Warum Behörden, Kommunen und öffentliche Verwaltungen im Fokus stehen

Business Email Compromise trifft Unternehmen, doch es ist kein rein privatwirtschaftliches Problem. Auch öffentliche Verwaltungen, Kommunen und Behörden sind attraktive Ziele für Cyberangriffe per E-Mail:

1. Öffentlich dokumentierte Prozesse

Wer weiß, wie eine Stadtverwaltung intern kommuniziert oder welche Zahlungsrhythmen für Bauvorhaben gelten, kann täuschend echte Anfragen konstruieren.

2. Fehlende Cybersecurity-Ressourcen

In vielen Behörden fehlen die technischen und personellen Ressourcen für wirksame IT-Sicherheit. Davon betroffen sind auch Sicherheitsschulungen für Mitarbeitende.

3. Hohe Transaktions-Volumina

Ob Subventionsauszahlungen, Baukosten oder Fördermittel: Die Transaktionsvolumina im öffentlichen Sektor sind oft sehr hoch.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Behörden und Verwaltungen daher explizit, E-Mail-Authentifizierungsstandards wie DMARC, DKIM und SPF verbindlich umzusetzen und Mitarbeitende regelmäßig für die Erkennung von Cyberangriffen zu schulen.

Business Continuity nach einem Cyberangriff

Egal, ob mit klassischem Business Email Compromise oder mithilfe von Deepfakes: Selbst gut aufgestellte Organisationen können Opfer eines BEC-Angriffs werden. Müssen interne Systeme oder Kommunikationskanäle deshalb isoliert werden, stellt sich die Frage, wie Ihre Organisation dann noch handlungsfähig bleibt. Im Rahmen Ihres Business Continuity Managements (BCM) müssen Sie sicherstellen, dass kritische Kommunikationsprozesse auch dann weiterlaufen, wenn die primäre Infrastruktur kompromittiert oder im Zuge eines Vorfalls vorübergehend nicht verfügbar ist.

Das betrifft auch Szenarien, in denen die Kommunikationskanäle selbst zur Waffe werden: Wurde ein E-Mail-Konto kompromittiert, eine Stimme geklont oder ein Video-Call gefälscht, lässt sich oft erst nach eingehender Prüfung feststellen, welche internen Systeme noch vertrauenswürdig sind und welche vorsorglich isoliert werden müssen. Genau in dieser Phase der Unsicherheit entscheidet sich, wie viel Schaden ein Angriff tatsächlich anrichtet. Bleiben Sie dann ohne verlässlichen Kommunikationskanal zurück, verlieren Sie Zeit und die Fähigkeit, den Vorfall koordiniert aufzuklären.

Business Continuity bedeutet in diesem Kontext konkret: Kommunikation aufrechtzuerhalten, wenn das primäre Kommunikationssystem nicht genutzt werden kann oder darf, weil etwa unklar ist, ob ein Konto weiterhin unter Kontrolle der Angreifer steht. Dafür benötigen Sie eine vom kompromittierten Primärsystem komplett unabhängige und sofort einsetzbare sekundäre Kommunikationsplattform, die es Ihnen ermöglicht, Krisenmanagement zu koordinieren, ohne auf möglicherweise unterwanderte Kanäle angewiesen zu sein. Nur dann können Sie Mitarbeitende, Kunden, Behörden und Partner informieren und Forensik bzw. Incident Response ermöglichen.

Sorgen Sie für Business Continuity: Organisationen, die diesen Aspekt vernachlässigen, verlieren nach einem BEC- bzw. Deepfake-Angriff wertvolle Zeit, um Schäden und Vertrauensverluste einzudämmen.

Fazit: Sie können sich vor Business Email Compromise schützen

Bei den Spielarten von BEC missbrauchen Angreifer zutiefst menschliche Eigenschaften und sie nutzen aus, dass E-Mail grundsätzlich als vertrauenswürdig gilt. Mit einer Kombination folgender Ebenen minimieren Sie die Verwundbarkeit Ihrer Organisation:

  • Technische Schutzmaßnahmen, die E-Mail Spoofing und Kontoübernahmen erschweren (SPF, DKIM, DMARC, MFA),
  • organisatorische Prozesse, die verdächtige Anfragen abfangen, bevor sie Schaden anrichten,
  • regelmäßige, KI berücksichtigende Schulungen von Mitarbeitenden, die dadurch in der Lage sind, E-Mail-Betrug zu erkennen,
  • eine souveräne, DSGVO-konforme E-Mail-Infrastruktur, die keine unnötigen Angriffsflächen bietet,
  • und eine Business-Continuity-Strategie, die den Betrieb auch im Ernstfall sicherstellt.

Wie bleibt Ihr Unternehmen im Notfall handlungsfähig?

Whitepaper jetzt downloaden
mailbox EVAC Whitepaper Business Continuity KMU Cover

Insights & Trends

Entdecken Sie weitere Beiträge rund um das Thema Sicherheit.
Alle Beiträge
mailbox E-Mail-Verschlüsselung in Organisationen etablieren
Best Practice, Sicherheit

E-Mail-Verschlüsselung im Unternehmen: So entsteht aus Bewusstsein echte Sicherheitskultur

Read more about E-Mail-Verschlüsselung im Unternehmen: So entsteht aus Bewusstsein echte Sicherheitskultur
Blog mailbox EVAC Geschäftsfortführungsplan nach BSI Standard 200-4 BCM für KMU
Business Continuity, Sicherheit

Geschäftsfortführungsplan nach BSI-Standard 200-4: So sichern KMU ihre Business Continuity

Read more about Geschäftsfortführungsplan nach BSI-Standard 200-4: So sichern KMU ihre Business Continuity
mailbox Mail: Übersicht des Posteingangs

Auf einen Blick: Übersicht aller Module

Zur Übersicht →
mailbox EVAC Blog Business Email Compromise E-Mail-Betrug

Business Email Compromise: So verhindern Sie E-Mail-Betrug

Zur Übersicht →
mailbox
Jetzt starten