MX-Einträge teilen den sendenden Servern mit, welche Mailserver E-Mails für Ihre Domain annehmen und in welcher Reihenfolge diese versucht werden sollen.
Key Take Away
- BEC-Angriffe sind allein durch Identitätsdiebstahl und Social Engineering erfolgreich und umgehen so die meisten technischen Sicherheitsvorkehrungen, die sich auf die Erkennung von Schadcode oder verdächtigen Links konzentrieren.
- BEC-Angreifer recherchieren ihre Ziele eingehend mithilfe von LinkedIn, Unternehmenswebseiten und öffentlichen Aufzeichnungen, bevor sie überzeugende E-Mails verfassen, die auf reale Geschäftsbeziehungen zugeschnitten sind.
- Authentifizierungsprotokolle (SPF, DKIM, DMARC) reduzieren Domain-Spoofing, aber Mitarbeiterschulungen und Verfahren zur Finanzverifizierung sind ebenso wichtig, da BEC gezielt menschliches Vertrauen ausnutzt.
Ihr Finanzmanager erhält eine E-Mail vom CEO mit der Bitte um eine dringende Überweisung noch am selben Tag. In der Nachricht wird der Name des CEOs verwendet, auf ein laufendes, konkretes Geschäft verwiesen und um Diskretion gebeten. Die E-Mail wirkt ernst und dringlich. Der Manager veranlasst die Überweisung und erfährt erst später, dass der CEO diese E-Mail nie verschickt hat.
Das ist Business-E-Mail-Kompromittierung. Und sie ist mittlerweile die finanziell schädlichste Form der Cyberkriminalität. Das FBI Internet Verbrechensbeschwerdezentrum Allein im Jahr 2023 wurden Verluste durch BEC-Angriffe in Milliardenhöhe gemeldet, und die tatsächliche Zahl dürfte höher liegen, da viele Vorfälle nicht gemeldet werden. Das Gefährliche an BEC ist seine Einfachheit. Es gibt keine Schadsoftware-Anhänge, keine offensichtlichen Sicherheitslücken – nur eine gut recherchierte und äußerst überzeugende Identitätsfälschung.
Wer versteht, was Business Email Compromise ist, wie diese Angriffe ablaufen und welche Abwehrmaßnahmen tatsächlich funktionieren, hat eine bessere Chance, seine Finanzkonten, sensiblen Daten und Kernprozesse vor den Verlusten zu schützen, die BEC verursachen soll.
Was ist ein Business-E-Mail-Kompromittierung?
Bei Business Email Compromise handelt es sich um eine ausgeklügelte Betrugsmasche, bei der Angreifer sich per E-Mail als vertrauenswürdige Personen ausgeben, darunter Führungskräfte, Lieferanten, Geschäftspartner und Kollegen, um Mitarbeiter zu Handlungen zu verleiten, die dem Angreifer finanziell oder informationell zugutekommen.
Angreifer benötigen keine technischen Fähigkeiten, um in Systeme einzudringen; sie benötigen lediglich genügend Informationen über die Struktur, die Beziehungen und die Prozesse einer Organisation, um glaubwürdige E-Mails zu verfassen, die sich an Mitarbeiter richten, die befugt sind, Gelder zu überweisen, Daten weiterzugeben oder Kontoinformationen zu ändern.
Generisches Phishing versendet identische Nachrichten an Tausende zufälliger Empfänger in der Hoffnung, dass ein gewisser Prozentsatz auf diese Täuschung hereinfällt. BEC hingegen funktioniert genau umgekehrt: Eine sorgfältig recherchierte Nachricht wird an ein bestimmtes Ziel gesendet, gibt sich als eine bestimmte, vertrauenswürdige Person aus und bezieht sich auf einen realen organisatorischen Kontext.
Dieser gezielte Ansatz macht BEC sowohl effektiver als auch kostspieliger als herkömmliches Phishing. Er funktioniert, weil Unternehmen auf E-Mail-basiertem Vertrauen beruhen. Mitarbeiter bearbeiten Zahlungsanforderungen von Führungskräften, reagieren auf Änderungen von Lieferantenrechnungen und tauschen Informationen mit Anwälten oder Wirtschaftsprüfern aus, ohne die Identität immer über andere Kanäle überprüfen zu können.
Wie Angriffe auf geschäftliche E-Mails funktionieren
BEC-Angriffe folgen einer strukturierten Methodik, von der ersten Recherche bis zur Ausführung betrügerischer Anfragen.
Schritt 1: Zielauswahl und Recherche
Angreifer identifizieren Organisationen und bestimmte Personen, die es wert sind, ins Visier genommen zu werden, typischerweise solche mit Finanzverantwortung (CFOs, Leiter der Kreditorenbuchhaltung), Zugriff auf sensible Daten (HR-Manager, Assistenten der Geschäftsleitung) oder Kontrolle über Lieferantenbeziehungen.
Zu den Recherchequellen gehören LinkedIn-Profile, die die Organisationshierarchie aufzeigen, Unternehmenswebseiten, auf denen Führungskräfte und ihre Funktionen identifiziert werden, Pressemitteilungen, die Partnerschaften und Verträge ankündigen, soziale Medien, die Reisepläne und aktuelle Prioritäten offenbaren, sowie öffentliche Finanzberichte, die die Unternehmensgröße und das Transaktionsvolumen ausweisen.
Diese Recherchephase kann Wochen dauern. Angreifer kartieren Berichtswege, ermitteln, welche Mitarbeiter Zahlungen bearbeiten, analysieren Lieferantenbeziehungen und suchen nach bevorstehenden Ereignissen wie Übernahmen, Prüfungen oder Steuerfristen, die glaubwürdige Vorwände für dringende Anfragen liefern.
Schritt 2: Kontoübernahme oder Domain-Spoofing
Angreifer erlangen die Fähigkeit, überzeugende Nachrichten zu versenden, durch zwei Hauptmethoden: Kontoübernahme und Domain-Spoofing.
Bei einer Kontoübernahme kompromittieren Angreifer ein legitimes E-Mail-Konto, häufig durch Phishing, Credential Stuffing oder den Kauf gestohlener Zugangsdaten, und versenden BEC-Nachrichten von der echten Adresse. Diese Angriffe wirken besonders überzeugend, da sie von authentischen, vertrauenswürdigen Konten zu stammen scheinen.
Wenn Angreifer keinen Zugriff auf ein Konto haben, greifen sie auf Identitätsdiebstahl zurück. Sie verwenden beispielsweise Spoofing des Absendernamens, wodurch dieser legitim erscheint, obwohl die zugrundeliegende E-Mail-Adresse abweicht. In anderen Fällen registrieren sie täuschend ähnliche Domains wie beispielsweise company-inc.com oder cornpany.com, die der echten Domain täuschend ähnlich sehen und bei einer oberflächlichen Überprüfung nicht auffallen.
Schritt 3: Soziale Manipulation und Formulierung von Botschaften
Anhand gesammelter Informationen verfassen Angreifer authentisch wirkende Nachrichten. Sie beziehen sich auf reale Projekte, reale Beziehungen, aktuelle Geschäftsereignisse und den Kommunikationsstil der Person, deren Identität sie annehmen. Die Nachrichten sind oft kurz und professionell, lang genug, um überzeugend zu wirken, und kurz genug, um Widersprüche zu vermeiden.
Schritt 4: Ausführung der betrügerischen Anfrage
Die Nachricht enthält eine Anfrage, die so konzipiert ist, dass sie schnell und mit minimaler Überprüfung bearbeitet werden kann: eine Überweisung auf ein neues Konto, eine Rechnungszahlung auf ein geändertes Bankkonto, die Umleitung der Mitarbeitergehälter auf vom Angreifer kontrollierte Konten oder die Weiterleitung sensibler Daten aus einem scheinbar legitimen Grund.
Dringlichkeit und Geheimhaltung sind gängige Druckmittel: „Bearbeiten Sie das noch heute vor Geschäftsschluss“, „Gehen Sie in diesem Fall nicht die üblichen Wege“, „Behandeln Sie dies vertraulich, bis der Deal abgeschlossen ist.“ Diese Forderungen dienen dazu, die Überprüfungsschritte zu verhindern, die den Betrug aufdecken würden.
Gängige Arten von BEC-Betrugsfällen
BEC-Angriffe treten in verschiedenen Formen auf, wobei jede auf unterschiedliche Schwachstellen in Organisationen abzielt.
CEO Betrug
Die bekannteste Variante des BEC-Betrugs, der CEO-Betrug, besteht darin, dass Angreifer sich als Geschäftsführer eines Unternehmens ausgeben, um Mitarbeiter niedrigerer Ebenen zu dringenden Handlungen zu drängen. Ein Finanzmanager erhält beispielsweise eine E-Mail, die scheinbar vom CEO stammt und in der eine sofortige Überweisung für eine vertrauliche Akquisition unter Umgehung der üblichen Genehmigungsprozesse gefordert wird.
CEO-Betrug nutzt das Autoritätsverhältnis zwischen Führungskräften und Mitarbeitern aus. Die meisten Menschen hinterfragen direkte Anweisungen ihres CEOs nicht, insbesondere wenn diese dringend sind und um Diskretion gebeten wird.
Betrug mit Lieferantenrechnungen
Angreifer geben sich als bekannter Händler oder Lieferant aus und informieren das Zielunternehmen über geänderte Bankdaten. Sie bitten darum, zukünftige Zahlungen auf ein neues Konto umzuleiten. Da die Kommunikation auf reale Geschäftsbeziehungen und laufende Geschäfte verweist, wirkt sie routinemäßig.
Diese Variante ist besonders effektiv, da die Rechnungsverarbeitung eine regelmäßige Kommunikation mit externen Parteien erfordert, was es den Kreditorenbuchhaltungsteams erschwert, jede Änderung über sekundäre Kanäle zu überprüfen.
Lohnabrechnungsumleitung
Personalabteilungen erhalten E-Mails, die scheinbar von Mitarbeitern stammen und in denen diese Änderungen der Gehaltszahlung per Direktüberweisung auf neue Bankkonten beantragen. Wird diese Anfrage bearbeitet, wird der nächste Gehaltsscheck oder mehrere Gehaltszahlungen des Mitarbeiters auf das Konto des Angreifers anstatt auf das Konto des Mitarbeiters überwiesen.
Diese Angriffe zielen eher auf die Personalabteilung als auf die Finanzabteilung ab und nutzen die Routinehaftigkeit der Anträge auf Gehaltsänderung aus, die die Personalabteilungen regelmäßig bearbeiten.
Anwaltsfälschung
Angreifer geben sich als Anwälte, Anwaltskanzleien oder Rechtsberater aus, die sensible Angelegenheiten (Fusionen, Übernahmen, Compliance-Fragen oder Rechtsstreitigkeiten) bearbeiten, und fordern dringende Finanzüberweisungen oder vertrauliche Informationen. Durch die vorgetäuschte juristische Autorität wird die Bereitschaft der Empfänger, Fragen zu stellen oder die Angaben zu überprüfen, verringert.
In Anfragen wird häufig auf die gesetzlichen Vertraulichkeitsbestimmungen hingewiesen, um Mitarbeiter davon abzuhalten, Kollegen zu konsultieren, die möglicherweise Fragen aufwerfen.
Datendiebstahl BEC
Nicht alle BEC-Angriffe zielen auf Geld ab. Manche nehmen sensible Daten ins Visier: Lohnsteuerbescheinigungen mit Sozialversicherungsnummern und Gehaltsinformationen von Mitarbeitern, geistiges Eigentum, Kundendatenbanken oder vertrauliche Geschäftsstrategiedokumente.
Datendiebstahl und BEC gehen Finanzbetrug oft voraus. Wenn Angreifer Mitarbeiterdaten wie Gehaltsabrechnungen oder Bankverbindungsdaten stehlen, können sie diese später nutzen, um Gehälter oder Sozialleistungen umzuleiten. Gleichzeitig liefern interne Dokumente, Kontaktlisten und Kommunikationsmuster Angreifern die nötigen Informationen, um in zukünftigen Angriffen glaubwürdigere E-Mails im Namen ihrer Identität zu verfassen.
Warnzeichen eines BEC-Angriffs
BEC-Nachrichten sind so gestaltet, dass sie legitim aussehen, doch bei genauerer Betrachtung enthüllen bestimmte Muster ihre wahre Natur.
Inkonsistenzen zwischen Absender und Domäne:
- Der angezeigte Name stimmt nicht mit der tatsächlichen E-Mail-Adresse überein, wenn Sie mit der Maus darüberfahren oder auf die Ansicht klicken.
- Die Domain verwendet subtile Variationen: company-inc.com, cornpany.com, company.co anstelle von company.com
- Kostenlose E-Mail-Anbieter (Gmail, Yahoo) werden angeblich für die Kommunikation von Führungskräften genutzt.
- Die Antwortadresse unterscheidet sich von der Absenderadresse, wodurch Antworten an vom Angreifer kontrollierte Konten umgeleitet werden.
Sprachliche und tonale Anomalien:
- Schreibstil, Wortwahl oder Formalitätsgrad stimmen nicht mit der üblichen Kommunikationsweise des vermeintlichen Absenders überein.
- Allgemeine Begrüßungen („Hallo“, „Hallo Team“) von Führungskräften, die üblicherweise Ihren Namen verwenden
- Etwas ungelenke Formulierungen, die nicht den Sprachmustern von Muttersprachlern entsprechen.
- Verweise auf Beziehungen oder Projekte, die sich etwas seltsam anfühlen oder allgemein beschrieben werden
Ungewöhnliche Finanzanfragen:
- Anfragen zur Überweisung von Geldern auf neue, nicht verifizierte Konten
- Zahlungsanweisungen des Lieferanten mit geänderten Bankdaten
- Anfragen zum Kauf von Geschenkkarten und Codes (ein nahezu universelles Warnsignal für BECs)
- Dringlichkeit bei Transaktionen, die normalerweise etablierten Genehmigungsprozessen folgen
Dringlichkeits- und Geheimhaltungsdruck:
- „Muss heute erledigt werden“, „vor Geschäftsschluss“ oder anderer künstlicher Zeitdruck.
- Anträge auf Umgehung der üblichen Genehmigungsverfahren
- Anweisung zur vertraulichen Behandlung der Anfrage bis zum Abschluss der Transaktion.
- Unbehagen oder Entmutigung, wenn Sie vorschlagen, die Überprüfung über Standardkanäle durchzuführen.
Ungewöhnlicher Anfragekontext:
- Finanzanfragen von Führungskräften, die normalerweise keine Zahlungen direkt veranlassen.
- Lieferantenwechselanfragen ohne vorherige Ankündigung oder Kontext
- Mitteilungen von Anwälten über Angelegenheiten, von denen Sie zuvor keine Kenntnis hatten
- Anfragen, die eingehen, wenn bekannt ist, dass der vermeintliche Absender verreist oder nicht erreichbar ist.
Pflege sauberer, geprüfter Kontaktlisten und Verwendung zuverlässiger E-Mail-Verifizierungstools Hilft Organisationen dabei, zu erkennen, wann Nachrichten von Adressen eingehen, die nicht mit den bestehenden Kontaktdatensätzen übereinstimmen. Dies ist ein frühes Anzeichen für potenzielle BEC-Aktivitäten.
Wie man die Kompromittierung von Geschäfts-E-Mails verhindert
Eine wirksame Prävention von Business Ethics erfordert mehrschichtige Kontrollmechanismen, die technische Systeme, das Verhalten der Mitarbeiter, Finanzprozesse und die Unternehmenspolitik umfassen.
Technische Kontrollen
Keine einzelne technische Lösung kann BEC allein stoppen, daher müssen Unternehmen Authentifizierung, Überwachung und Zugriffskontrollen kombinieren, um das Risiko zu reduzieren.
E-Mail-Authentifizierungsprotokolle
Korrekte Konfiguration von SPF-Einträgen, DKIM und DMARC Eine Durchsetzungsrichtlinie reduziert Domain-Spoofing deutlich und verhindert, dass Angreifer nicht authentifizierte Nachrichten senden, die scheinbar von Ihrer Domain stammen. DMARC p=reject stellt sicher, dass nicht authentifizierte Nachrichten, die vorgeben, von Ihrer Domain zu stammen, die Empfänger nicht erreichen. So werden sowohl Ihre Mitarbeiter vor eingehendem Spoofing als auch Ihre Kunden vor Angreifern geschützt, die sich als Ihr Unternehmen ausgeben.
Erweiterte E-Mail-Sicherheitsplattformen
KI-gestützte E-Mail-Sicherheitstools überwachen das typische Kommunikationsverhalten von Nutzern und suchen nach Aktivitäten, die von diesen Mustern abweichen. Beispielsweise kennzeichnen sie E-Mails, die sich deutlich vom üblichen Tonfall oder Wortlaut des Absenders unterscheiden, oder Anmeldeversuche von unbekannten Standorten oder IP-Adressen. Da diese Systeme das Verhalten analysieren, anstatt lediglich nach bekannten schädlichen Links oder Anhängen zu suchen, können sie auch ausgeklügelte BEC-Angriffe erkennen, die von herkömmlichen signaturbasierten Filtern oft nicht erfasst werden.
Multi-Faktor-Authentifizierung (MFA)
Die Multi-Faktor-Authentifizierung (MFA) für alle E-Mail-Konten hilft, Kontoübernahmen zu verhindern, eine der überzeugendsten Formen von BEC (Business Enforcement Crime). Wenn Angreifer Zugriff auf das Postfach eines Mitarbeiters erlangen, wirken ihre Nachrichten völlig legitim, da sie von einer authentischen, vertrauenswürdigen Adresse gesendet werden. MFA fügt einen zweiten Verifizierungsschritt hinzu, sodass Angreifer selbst dann, wenn sie ein Passwort durch Phishing stehlen, sich nicht anmelden und das Konto nicht zum Versenden betrügerischer Nachrichten missbrauchen können.
Domänenüberwachung
Registrieren Sie gängige, ähnliche Varianten Ihrer Unternehmensdomain, beispielsweise leicht abweichende Schreibweisen oder Varianten mit Bindestrichen, um deren Missbrauch durch Angreifer zu verhindern. Überwachen Sie außerdem die Domainregistrierung neuer Domains, die Ihrer Marke stark ähneln. Die frühzeitige Erkennung solcher Domains kann auf eine bevorstehende BEC-Kampagne hinweisen und Ihnen Zeit für Untersuchungen und Abwehrmaßnahmen geben, bevor betrügerische E-Mails versendet werden.
Angestellten Training
Regelmäßige, szenariobasierte Schulungen mit Schwerpunkt auf BEC (Business Enforcement Control) befähigen Mitarbeiter, subtile Warnsignale zu erkennen, die automatisierte Sicherheitstools möglicherweise übersehen. Mitarbeiter sollten üben, Folgendes zu identifizieren:
- Falsche Anzeigenamen im Vergleich zu tatsächlichen Absenderadressen
- Drucktaktiken durch Dringlichkeit und Geheimhaltung
- Ungewöhnliche Muster bei Finanzanfragen
- Wie man Anfragen über sekundäre Kanäle verifiziert
BEC-Simulationsübungen, bei denen die IT kontrollierte, gefälschte BEC-Nachrichten versendet, um die Reaktionen der Mitarbeiter zu testen, Schulungslücken zu identifizieren und praktische Erkennungsfähigkeiten effektiver aufzubauen als reiner Unterricht im Klassenzimmer.
Finanzkontrollen
Finanzielle Schutzmechanismen gewährleisten, dass selbst wenn eine irreführende E-Mail einen Mitarbeiter erreicht, diese nicht sofort irreversible Zahlungsmaßnahmen auslöst.
Doppelte Autorisierung für Überweisungen
Für Überweisungen oberhalb der festgelegten Schwellenwerte sind zwei unabhängige Genehmigungen erforderlich. BEC-Angriffe nutzen häufig Situationen aus, in denen nur eine Person zur Freigabe von Geldern berechtigt ist, wodurch diese Person ein leichtes Ziel für Betrug darstellt. Die Pflicht zur doppelten Autorisierung gewährleistet, dass selbst im Falle einer Irreführung eines Mitarbeiters eine zweite Prüfung eine wichtige Sicherheitsmaßnahme darstellt, bevor das Geld das Unternehmen verlässt.
Out-of-Band-Verifizierung
Führen Sie eine Richtlinie ein, die eine telefonische Verifizierung über bekannte, vorab festgelegte Telefonnummern für alle Zahlungsanweisungen im Zusammenhang mit neuen Konten, geänderten Bankverbindungen oder ungewöhnlichen Beträgen vorschreibt. Mitarbeiter sollten sich bei der Bestätigung solcher Anfragen niemals auf die in der E-Mail selbst angegebenen Kontaktdaten verlassen. Ein einfacher Verifizierungsanruf über einen vertrauenswürdigen Kanal kann viele Finanzbetrugsversuche (BEC) verhindern, bevor Gelder überwiesen werden.
Verfahren für Anträge auf Zahlungsänderung
Legen Sie ein strukturiertes Verfahren für Änderungsanträge von Lieferanten fest, das mehrere Prüfschritte vor der Genehmigung von Aktualisierungen umfasst. Dies sollte die direkte Kontaktaufnahme mit den festgelegten Ansprechpartnern beim Lieferanten sowie Wartezeiten vor der Bearbeitung beinhalten. Routinemäßige Änderungsprozesse verringern die Effektivität von Angreifern.
Richtliniendurchsetzung
Klare, schriftliche Richtlinien zu Finanzgenehmigungen, Zahlungsänderungsanträgen und ungewöhnlichen Datenweitergabeanfragen geben Mitarbeitern einen Rahmen, um verdächtige Situationen zu handhaben, ohne das Gefühl zu haben, die legitime Autorität in Frage zu stellen. Richtlinien, die ausdrücklich festlegen, dass „wir niemals dringende Überweisungen ausschließlich per E-Mail anfordern“, reduzieren den Druck, den BEC-Angriffe ausnutzen.
Bereinigung von E-Mail-Listen unterstützt regelmäßig eine effektive BEC-Erkennung, da hohe prallen Hohe Gebühren und eine schlechte Absenderreputation können die Sicherheitsfilter schwächen, die dazu beitragen, verdächtige Nachrichten zu erkennen.
Fazit
Beim Business-E-Mail-Compromise (BEC) kommt es nicht auf technische Schwachstellen an, sondern auf das ausgenutzte Vertrauen innerhalb der Organisation. Angreifer investieren in Recherche, erstellen überzeugende Identitätsfälschungen und zielen gezielt auf die Personen und Prozesse ab, die Finanztransaktionen und sensible Daten verarbeiten – ganz ohne eine einzige Zeile Schadcode.
Zur Prävention bedarf es mehrerer Schutzmechanismen, die dieser Raffinesse entsprechen: Authentifizierungsprotokolle, die Domain-Spoofing verhindern, MFA, die die Kontoübernahme blockiert, Mitarbeiterschulungen, die BEC-spezifische Erkennungsfähigkeiten aufbauen, und Finanzkontrollen, die eine außerbandige Überprüfung vor der Bearbeitung ungewöhnlicher Anfragen erfordern.
Die Aufrechterhaltung einer sauberen E-Mail-Infrastruktur ist Teil Ihrer BEC-Abwehrstrategie. Nutzen Sie Entprellung Um Kontaktlisten zu überprüfen und die Anzahl unzustellbarer E-Mails zu reduzieren, die die Reputation des Absenders schwächen, ist es wichtig, korrekte Kontaktdaten und richtig konfigurierte Authentifizierungskontrollen zu verwenden. Dadurch lassen sich Nachrichten, die nicht von etablierten Lieferanten- und Partnerbeziehungen stammen, leichter erkennen, was BEC-Angriffe deutlich erschwert.
