Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
CEO-Fraud und Business Email Compromise: Millionenschäden durch gefälschte - E-Mail-Sicherheit und Kommunikationsschutz
Threat Intelligence

CEO-Fraud und Business Email Compromise: Millionenschäden durch gefälschte E-Mails

BEC-Angriffe verursachen weltweit mehr Schaden als Ransomware. Wie CEO-Fraud funktioniert, warum technische Filter versagen, und welche Maßnahmen Ihr Unternehmen wirklich schützen.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
9 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

BEC-Angriffe verursachten 2023 allein in den USA einen Schaden von 2,9 Milliarden US-Dollar - und übertreffen damit Ransomware-Verluste jedes Jahr. CEO-Fraud, die bekannteste BEC-Variante, nutzt Autorität, Dringlichkeit und künstliche Vertraulichkeit, um Mitarbeiter in der Buchhaltung zu Überweisungen zu drängen - ohne Malware, rein durch soziale Manipulation. Technische Filter wie DMARC schützen vor direktem Domain-Spoofing, versagen aber bei Look-alike-Domains wie company-gmbh.de oder bei kompromittierten echten E-Mail-Accounts. Das Vier-Augen-Prinzip ab 5.000 Euro, Out-of-Band-Rückrufe auf vorher gespeicherte Telefonnummern und eine dreitägige Sperrfrist bei Bankdaten-Änderungen sind die wirksamen Gegenmaßnahmen.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (6 Abschnitte)

Das FBI Internet Crime Complaint Center (IC3) meldet jedes Jahr: BEC-Schäden übertreffen die Verluste durch Ransomware. 2023: über 2,9 Milliarden US-Dollar Schaden allein in den USA. In Deutschland schätzt das BKA den jährlichen Schaden auf mehrere hundert Millionen Euro - mit hoher Dunkelziffer, weil viele Unternehmen Angriffe nicht melden.

Was ist Business Email Compromise?

Business Email Compromise (BEC) ist ein soziotechnischer Angriff: Kriminelle geben sich als Führungskraft, Lieferant oder Kollege aus und veranlassen Finanztransaktionen oder Datenweitergabe. Der Schaden entsteht nicht durch Malware - sondern durch Manipulation.

CEO-Fraud ist die bekannteste BEC-Variante: Ein angeblicher Geschäftsführer weist die Buchhaltung an, dringend eine Überweisung ins Ausland durchzuführen.

Die 5 häufigsten BEC-Angriffsmuster

1. CEO-Fraud / Executive Impersonation

Von: dr.müller-ceo@company-gmbh.de (ähnlich wie company.de)
An: buchhaltung@company.de
Betreff: VERTRAULICH - Dringende Überweisung

Guten Morgen,

wir stehen kurz vor dem Abschluss einer wichtigen Übernahme.
Bitte überweisen Sie heute noch 87.500 € auf folgendes Konto
[IBAN von Briefkastengesellschaft in Estland].

Ich bin im Meeting und nicht erreichbar - bitte direkt ausführen.
Diese Transaktion ist streng vertraulich, informieren Sie
niemanden intern.

Dr. Stefan Müller
Geschäftsführer

Psychologische Manipulation:

  • Autorität (Chef)
  • Dringlichkeit (“heute noch”)
  • Vertraulichkeit (keine Rückfrage mit anderen möglich)
  • Isolation (Chef “nicht erreichbar”)

2. Supplier/Invoice Fraud

Angreifer gibt sich als bekannter Lieferant aus und ändert Bankverbindung:

Von: accounts@lieferant-gmbh.net (nicht: lieferant-gmbh.de)

Betreff: Aktualisierung unserer Bankverbindung

Sehr geehrte Damen und Herren,

ab dem 01. März bitten wir Sie, alle Zahlungen auf unsere
neue Bankverbindung zu überweisen:

IBAN: DE82 1234 5678 9012 3456 78
[kompromittiertes oder gefälschtes Konto]

Für Ihre Buchhaltung senden wir gerne die aktualisierte
Steuer-Bescheinigung zu.

Mit freundlichen Grüßen
Herr Becker, Finanzabteilung

Warum es funktioniert: Die Lieferantenbeziehung ist real, nur die E-Mail-Domain ist leicht abgewandelt.

3. Payroll Diversion

IT oder HR erhält E-Mail (angeblich vom Mitarbeiter):

Betreff: Änderung meiner Bankverbindung

Hallo,
bitte ändern Sie für die nächste Lohnzahlung meine IBAN.
Alte IBAN: DE...
Neue IBAN: DE...

Ich beantrage das formell per E-Mail da ich gerade im
Außendienst bin und das Portal nicht nutzen kann.

Viele Grüße
Peter Schmidt

4. M&A / Real Estate Fraud

Bei Immobilientransaktionen oder Unternehmenskäufen wird der Notar oder Anwalt imitiert - kurz vor der Abschlussüberweisung. Millionenbeträge in Minuten weg.

5. Lawyer/Attorney Impersonation

Angeblicher Anwalt kontaktiert Unternehmen: “Im Auftrag Ihres Geschäftsführers führen wir eine vertrauliche Due-Diligence durch. Bitte senden Sie…”

Warum technische Filter versagen

E-Mail-Domain-Spoofing:

  • Kompromittierte echte Domain (Angreifer hat Zugang zur echten Mailbox)
  • Sehr ähnliche Domain: company-gmbh.de statt company.de (Look-alike)
  • Display Name Spoofing: “Stefan Müller <stefan.müller@gmail.com>” (Name ist echt, Domain nicht)

DMARC schützt nur teilweise:

  • DMARC schützt vor direktem Spoofing der eigenen Domain
  • Look-alike-Domains (company-gmbh.de) passieren DMARC
  • Kompromittierte echte Accounts: DMARC hilft nicht

Warum Mitarbeiter nicht “einfach aufpassen” können:

  • Spear-Phishing nutzt echte Informationen (LinkedIn, Pressemitteilungen)
  • Angriff oft zu einem psychologisch ungünstigen Zeitpunkt
  • Ein Irrtum reicht aus

Schutzmaßnahmen: Was wirklich hilft

1. Vier-Augen-Prinzip für Überweisungen

Die wichtigste Maßnahme: Keine einzelne Person darf ohne zweite Bestätigung Überweisungen über Betragsgrenze X genehmigen. Egal wer anfragt.

Regelung im Zahlungsprozess:

  • Überweisungen > 5.000 €: Freigabe durch 2 Mitarbeiter
  • Neue Bankverbindungen: schriftliche Bestätigung per Post + Rückruf auf bekannte Nummer
  • Bankdaten-Änderungen: 3-Tage-Sperrfrist vor Aktivierung

2. Rückruf-Verifikation (Out-of-Band)

Bei Anfragen zu Überweisungen oder Daten: Rückruf auf die bekannte, vorher gespeicherte Telefonnummer - nicht die in der verdächtigen E-Mail genannte.

  • Falsch: “Ich rufe Sie auf der in der E-Mail genannten Nummer an”
  • Richtig: “Ich rufe Sie auf Ihrer Handynummer aus unserem Telefonbuch an”

3. DMARC + DKIM + SPF für alle eigenen Domains

Vollständige E-Mail-Authentifizierung verhindert, dass andere im Namen Ihrer Domain schreiben:

SPF:   v=spf1 include:_spf.google.com -all
DKIM:  Digitale Signatur auf ausgehende E-Mails
DMARC: p=quarantine (später p=reject) - blockiert Spoofing der eigenen Domain

Plus: Monitoring und automatisches Blocking von Look-alike-Domains.

4. E-Mail-Banner für externe Absender

Eingehende E-Mails von außen werden mit deutlichem Banner versehen:

[EXTERNE E-MAIL] Diese Nachricht wurde von außerhalb Ihrer
Organisation gesendet. Seien Sie vorsichtig bei Links und Anhängen.

Besonders hilfreich: Banner wenn Absendername einem internen Mitarbeiter ähnelt.

5. Security Awareness Training mit BEC-Simulation

BEC-Simulationen zeigen Mitarbeitern das Angriffsmuster an einem echten (aber harmlosen) Beispiel. Trainingsmaßnahmen die tatsächlich wirken:

  • Interaktive Simulationen (nicht nur passive Leseinhalte)
  • Sofortiges Feedback beim “Klick” (Lernmoment direkt am Fehler)
  • Regelmäßige Wiederholung (Awareness verblasst nach 3-6 Monaten)
  • Spezifisches Training für Risikogruppen: Buchhaltung, HR, Sekretariat

6. Financial Controls und Prozess-Regeln

Verbindliche Unternehmensregel:

“Der Vorstand wird niemals per E-Mail eine sofortige Überweisung anweisen, die das normale Freigabeverfahren umgeht.”

Weitere Regeln:

  • Bankverbindungsänderungen nur nach schriftlichem Antrag + Rückruf
  • Neue Zahlungsempfänger: manuelle Freigabe durch Controller
  • Monatliche Abstimmung aller Kontoauszüge

Was tun wenn BEC erfolgreich war?

Erste 30 Minuten entscheidend:

  1. Bank sofort anrufen - IBAN der Überweisung sperren lassen, Rückruf beantragen
  2. Polizei - Strafanzeige beim LKA (Cybercrime-Abteilung), gibt Referenznummer für Versicherung
  3. Versicherung kontaktieren - Cyber-Versicherung oder Vertrauensschadenversicherung
  4. Empfänger-Bank informieren - über BIC die empfangende Bank direkt kontaktieren
  5. IT-Forensik - wie kamen Angreifer an Insider-Informationen? Kompromittierter E-Mail-Account?

Chancen: Bei schneller Reaktion (< 24h) können 20-40% der BEC-Schäden rückgebucht werden. Nach 48h sinkt die Wahrscheinlichkeit drastisch.

Risikobewertung: Welche Branchen besonders betroffen?

Laut IC3-Statistik besonders häufig angegriffen:

  • Immobilien / Notariate (Abschlussüberweisungen)
  • Maschinenbau / Export-Unternehmen (große Auslandsüberweisungen normal)
  • Rechtsanwaltskanzleien (Treuhandkonten)
  • Logistik (Zahlungsabwicklung bei Spediteuren)
  • IT-Unternehmen (Zugang zu vielen Kunden-Accounts)

Kein Unternehmen ist zu klein. BEC-Angreifer sind opportunistisch - wer eine gültige Buchhaltungs-E-Mail-Adresse und Firmenregistrierung findet, ist potentielles Ziel.

Weiterführender Artikel: Phishing-Simulation: Ein professionelles Programm aufbauen - Wie Sie BEC-Szenarien gezielt in ein dauerhaftes Simulationsprogramm einbetten und Klickraten nachhaltig senken.

Sie wollen Ihre Mitarbeiter für BEC-Angriffe sensibilisieren? Eine professionelle Phishing-Simulation mit BEC-Szenarien zeigt in 2 Wochen, wo Ihre größten Risiken liegen - und gibt Ihrem Team das Handwerkszeug für die richtige Reaktion.

Phishing-Simulation anfragen

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung