E-Mails sind nach wie vor das wichtigste Kommunikationsmittel im Geschäftsalltag. Gleichzeitig gehören sie zu den größten Einfallstoren für Cyberkriminelle.
Besonders gefährlich sind sogenannte Fake Mails. Diese wirken täuschend echt und scheinen von der Geschäftsführung oder vertrauten Partner:innen zu kommen.
Unter dem Begriff „Business Email Compromise“ (BEC) oder „CEO Fraud“ verbirgt sich eine perfide Betrugsmasche, die nicht auf Technik, sondern auf Psychologie setzt.
Kriminelle geben sich als Führungskraft, Geschäftspartner:in oder Lieferant:in aus und bringen Mitarbeitende dazu, Geld zu überweisen oder vertrauliche Daten preiszugeben.
Laut dem Verizon Data Breach Investigations Report 2024 geht in 68 % aller Sicherheitsvorfälle ein menschlicher Fehler voraus – etwa das unbedachte Klicken auf täuschend echte Phishing-Mails. Genau das nutzen Cyberkriminelle immer gezielter aus. Der durchschnittliche Schaden pro Phishing-Vorfall liegt laut IBM aktuell bei rund 4,88 Millionen US-Dollar. Die Täter:innen zielen dabei gezielt auf Mitarbeitende mit Zugriff auf Finanzsysteme – und tarnen sich oft als vertraute Kontaktpersonen oder Mitglieder der Geschäftsleitung.
Auch in Europa zeigt sich eine alarmierende Entwicklung: Business Email Compromise gehört inzwischen zu den häufigsten und teuersten Angriffsarten. In den Niederlanden und Schweden meldeten 92 % der Unternehmen BEC-Versuche – deutlich über dem globalen Durchschnitt. Besonders betroffen sind kleine und mittlere Unternehmen (KMU), denen oft spezialisierte IT-Sicherheitsressourcen fehlen.mittlere Unternehmen (KMU), die oft über weniger spezialisierte IT-Sicherheitsressourcen verfügen.
Was ist Business Email Compromise (BEC) und wie funktioniert es?
BEC-Angriffe beginnen meist mit sorgfältiger Vorbereitung. Angreifer:innen recherchieren öffentlich verfügbare Informationen – etwa Organigramme, Namen aus Pressemitteilungen oder Social-Media-Profilen. Anschließend fälschen sie E-Mail-Absender oder kapern echte Postfächer, um ihre Nachricht möglichst glaubwürdig aussehen zu lassen.
Typische Szenarien:
- „Dringende Überweisung“: Eine E-Mail scheinbar von der Geschäftsführung fordert eine hohe Zahlung an einen „neuen Geschäftspartner“.
- „Vertrauliche Anfrage“: Eine angebliche CFO-Mail bittet um interne Finanzdaten oder Gehaltslisten.
- „Lieferantenwechsel“: Betrüger geben sich als Zulieferer aus und teilen eine „aktualisierte“ Bankverbindung mit.
Die E-Mails wirken oft professionell. Sie enthalten korrekte Anrede, Signatur und manchmal sogar einen gefälschten Antwortverlauf. Genau das macht sie selbst für erfahrene Mitarbeitende schwer erkennbar.
Wie kann man sich vor solchen Angriffen schützen?
BEC-Angriffe lassen sich technisch nie ganz ausschließen. Aber mit gezielten Maßnahmen können Unternehmen das Risiko deutlich senken. Entscheidend ist eine Sicherheitsstrategie, die E-Mail-Infrastruktur und Benutzerkonten gemeinsam schützt.
1. Authentifizierte Absenderprüfungen (SPF, DKIM, DMARC)
Diese E-Mail-Authentifizierungsstandards verhindern, dass Unbefugte im Namen Ihrer Domain Nachrichten versenden.
Richtig implementiert, schützen sie vor Spoofing und steigern zugleich die Vertrauenswürdigkeit Ihrer geschäftlichen E-Mails.
2. Multi-Faktor-Authentifizierung (MFA)
Ein zusätzlicher Anmeldefaktor – etwa per App oder Hardware-Token – sorgt dafür, dass kompromittierte Zugangsdaten allein nicht ausreichen.
Gerade bei E-Mail- und Cloud-Konten ist MFA eine der wirksamsten Schutzmaßnahmen gegen Kontoübernahmen.
3. Intelligente E-Mail-Gateways und Threat Detection
Moderne Systeme erkennen verdächtige Muster automatisch – etwa gefälschte Absender oder gefährliche Anhänge. Angriffe werden so oft gestoppt, bevor sie im Posteingang landen.
4. Protokollierung und kontinuierliches Monitoring
Ein lückenloses E-Mail-Monitoring ermöglicht es, verdächtige Aktivitäten wie unautorisierte Weiterleitungen oder Logins frühzeitig zu erkennen.
Damit schaffen Unternehmen Transparenz – und können im Ernstfall schnell reagieren.
Awareness als stärkste Schutzmaßnahme: Menschliche Fehler vermeiden
Die beste technische Lösung nützt wenig, wenn Menschen im entscheidenden Moment auf „Senden“ klicken.
Bei Angriffen vom Typ Business Email Compromise (BEC) steht nicht Technik im Mittelpunkt – sondern der Mensch.
Die Täter:innen nutzen gezielt Stress, Autorität und Vertrauen, um Mitarbeitende zu überrumpeln. Genau deshalb ist Awareness die wirksamste Verteidigungslinie gegen diese Form des Phishings.
Ein wirksames Security-Awareness-Programm verfolgt das Ziel, aus jedem Teammitglied ein aktives Sicherheitsglied zu machen – nicht durch Angst, sondern durch Wissen und Routine.
Folgende Maßnahmen sind zentral:
- Schulen Sie Mitarbeitende regelmäßig zu aktuellen Betrugsmaschen.
- Führen Sie klare Meldewege für verdächtige Nachrichten ein.
- Stärken Sie die Kultur der Rückfrage: Eine kurze Nachfrage beim Management ist besser als eine unkontrollierte Zahlung.
- Nutzen Sie interne Codes oder Freigabeprozesse, etwa bei Zahlungen über einer bestimmten Summe.
Ein wirksames Security-Awareness-Programm reduziert das Risiko erheblich – besonders in KMU, wo oft dieselben Personen mehrere Rollen übernehmen und E-Mails schnell bearbeiten müssen.
So erkennen Sie eine Fake Mail
BEC-Angriffe sind oft so gut vorbereitet, dass sie auf den ersten Blick völlig legitim wirken.
Die Absender:innen kennen interne Abläufe, erwähnen reale Projekte oder greifen Sprachmuster von Führungskräften auf. Gerade deshalb ist es wichtig, die typischen Warnsignale zu kennen – und im Zweifel lieber einmal zu viel nachzufragen.
1. Ungewöhnliche Eile oder Druckausübung
Ein klassisches Merkmal gefälschter Chef-Mails ist Dringlichkeit.
Formulierungen wie „Bitte sofort überweisen“, „Das muss noch heute erledigt werden“ oder „Ich bin gerade im Meeting, bitte ohne Rückfrage umsetzen“ sollen Stress erzeugen und kritisches Nachdenken unterbinden.
Diese emotionale Manipulation ist Teil der Strategie – wer unter Druck steht, prüft seltener Details.
2. Verdächtige E-Mail-Adresse oder Schreibweise der Domain
Auf den ersten Blick wirken viele BEC-Mails authentisch – die Absenderadresse unterscheidet sich jedoch minimal von der echten Domain.
Ein zusätzlicher Buchstabe, ein Punkt oder eine leicht veränderte Endung („@firma.co“ statt „@firma.com“) reichen aus.
Auch wenn Name und Signatur korrekt erscheinen: Prüfen Sie immer die vollständige E-Mail-Adresse, nicht nur den angezeigten Namen.
3. Änderungen bei Bankverbindungen oder Ansprechpartner:innen
Ein besonders häufiges Muster: Ein angeblicher Lieferant oder die vermeintliche Geschäftsführung teilt kurzfristig eine „neue Kontoverbindung“ mit.
Oft mit der Begründung, dass „das alte Konto geschlossen wurde“ oder „eine internationale Zahlung schneller abgewickelt werden soll“.
Solche Änderungen sollten niemals ohne telefonische Rückbestätigung umgesetzt werden – idealerweise über bekannte Kontaktkanäle, nicht über die in der E-Mail angegebenen.
4. Vertraulichkeitsaufforderungen und Abweichungen vom Normalprozess
Wenn eine E-Mail betont, dass ein Vorgang „streng vertraulich“ sei oder „keine weiteren Personen eingebunden werden sollen“, ist besondere Vorsicht geboten.
Gerade diese Isolation soll verhindern, dass jemand den Vorgang hinterfragt.
BEC-Mails brechen bewusst mit internen Standards – etwa indem sie Freigabeprozesse umgehen oder neue Kommunikationswege vorschlagen.
5. Sprachliche Auffälligkeiten oder ungewohnter Tonfall
Viele betrügerische Nachrichten sind sprachlich auffällig – manchmal durch kleine Grammatikfehler, unübliche Anredeformen oder einen Tonfall, der nicht zum üblichen Kommunikationsstil der Führungskraft passt.
Aber Vorsicht: Durch den Einsatz von KI werden solche Mails zunehmend professioneller formuliert.
Daher gilt: Selbst, wenn Sprache und Format stimmig wirken, sollte bei ungewöhnlichen Inhalten oder Handlungsaufforderungen immer ein kurzer Plausibilitätscheck erfolgen.
6. Unerwartete Anhänge oder Links
Auch wenn BEC-Angriffe meist ohne Schadsoftware auskommen, enthalten manche E-Mails Anhänge oder Links zu gefälschten Anmeldeportalen.
Diese dienen dazu, Zugangsdaten abzugreifen oder zusätzliche Informationen zu erlangen.
Öffnen Sie solche Dateien oder Links nur, wenn Sie deren Ursprung zweifelsfrei kennen – und niemals über private Geräte oder Netzwerke.
BEC-Vorbeugung für KMU: Schritt für Schritt
Gerade kleine und mittlere Unternehmen (KMU) sind besonders anfällig für Business Email Compromise – oft fehlen spezialisiertes IT-Personal oder strukturierte Prüfprozesse. Mit überschaubarem Aufwand lässt sich das Risiko jedoch deutlich senken:
- E-Mail-Domains absichern (SPF, DKIM, DMARC) Die Basis jeder E-Mail-Sicherheit ist eine korrekt konfigurierte Domain. Durch SPF, DKIM und DMARC stellen Sie sicher, dass nur autorisierte Server im Namen Ihres Unternehmens E-Mails versenden dürfen. Diese Standards erschweren Spoofing-Angriffe erheblich – also das Fälschen der Absenderadresse.
- Multi-Faktor-Authentifizierung aktivieren
MFA schützt sensible Zugänge, selbst wenn Passwörter kompromittiert wurden – vor allem für Microsoft 365 oder Google Workspace ein Muss.
- Klare Freigabeprozesse etablieren
Ein Vier-Augen-Prinzip bei Zahlungen und Datenfreigaben verhindert, dass Einzelpersonen auf gefälschte Mails hereinfallen.
- Mitarbeitende sensibilisieren
Schulen Sie Ihr Team regelmäßig anhand realer Betrugsbeispiele – so werden Warnsignale frühzeitig erkannt.
- Incident-Response-Plan definieren
Im Ernstfall zählt jede Minute. Legen Sie fest, wer zu informieren ist – und wie schnell reagiert werden kann.
Fazit: Vertrauen ist gut, Kontrolle ist besser
Business Email Compromise ist kein Nischenproblem, sondern eine reale Bedrohung für Unternehmen jeder Größe.
Die Angriffe werden immer professioneller, die Schäden immer größer – und die beste Verteidigung ist eine Kombination aus Technik, Prozessen und Bewusstsein.
Wer seine E-Mail-Systeme absichert, Freigabeprozesse definiert und Mitarbeitende regelmäßig schult, senkt das Risiko erheblich – und schützt nicht nur das eigene Unternehmen, sondern auch Kund:innen und Partner:innen.
Dabei gilt: Nicht alles muss intern gelöst werden. Gerade für KMU lohnt sich der Blick nach außen – ein kompetenter IT-Partner unterstützt dabei, Sicherheitslücken zu identifizieren, wirksame Maßnahmen umzusetzen und das Unternehmen strukturell widerstandsfähiger aufzustellen.