Business Email Compromise (BEC)
Business Email Compromise (BEC) ist eine der kostspieligsten Cyberbedrohungen: Angreifer kompromittieren oder faelschen Geschaeftsmails um Überweisungen, Datenweitergaben oder Zugangsdaten zu erschleichen - oft ohne Malware, rein durch Social Engineering.
Business Email Compromise (BEC) ist nach FBI-Angaben der finanziell schädlichste Cyberkriminalitaetsbereich weltweit: Die Schadensummen übersteigen regelmäßig alle anderen Malware-Kategorien zusammen - 2023 wurden weltweit über 2,9 Milliarden USD durch BEC verloren (FBI Internet Crime Report).
BEC-Untertypen
BEC-Kategorien (FBI-Klassifizierung):
1. CEO-Fraud / Executive Impersonation:
Szenario: Angreifer posiert als CEO, fordert CFO zur dringenden Überweisung auf
Beispiel: "Ich bin im Ausland, benotige sofort EUR 80.000 für diskreten Deal"
Kein Account-Kompromittierung nötig - nur gefälschte Absenderadresse
2. Vendor/Invoice Fraud:
Szenario: Angreifer kompromittiert E-Mail eines echten Lieferanten
Dann: IBAN-Änderung im nächsten echten Rechnungsversand
Erkennung: schwierig - echte E-Mail-Domain, echter Ansprechpartner
3. Credential Phishing via BEC:
Szenario: Kompromittiertes internes Konto versendet Phishing-Mails an Mitarbeiter
Vorteil für Angreifer: interne Absenderadresse umgeht E-Mail-Filter
4. Legal/Attorney Impersonation:
Szenario: Angreifer posiert als Anwalt/Notar bei vertraulicher Transaktion
Kontext: M&A-Prozesse, Immobilientransaktionen
5. W2/HR-Data Theft:
Szenario: HR-Abteilung wird aufgefordert, Mitarbeiterdaten/Gehaltsinfos zu senden
(Weiterverwertung für Steuerbetrug, Identitätsdiebstahl)Technische Abwehrmassnahmen
Technische BEC-Preaevention:
E-Mail-Authentifizierung (fundamentaler Schutz):
SPF: Verhindert E-Mail-Spoofing der eigenen Domain
DKIM: Signiert ausgehende E-Mails kryptografisch
DMARC (p=reject): Blockiert ungeprüft eingehende Spoofed-Mails
Wichtig: schutzt NUR gegen Spoofing - nicht gegen kompromittierte Konten!
Display-Name Spoofing erkennen:
Problem: "Thomas Müller <attacker@gmail.com>" - Name ist gefaelscht, nicht Domain
Lösung: E-Mail-Gateway-Regel: externe E-Mails mit internen Display-Namen markieren
Microsoft 365: Anti-Phishing Policy → Impersonation Protection
Multi-Faktor-Authentifizierung:
MFA verhindert Account-Kompromittierung (die Basis für Vendor Fraud)
Besonders kritisch: Finance-Abteilung, Buchhaltung, CFO
IBAN-Änderungen verifizieren:
Prozess: Jede IBAN-Änderung beim Lieferanten → Rueckruf auf bekannte Nummer
NICHT: Rueckruf auf die in der E-Mail angegebene Nummer (könnte Angreifer sein)Prozessuale Schutzmassnahmen
Technik allein genügt nicht - BEC ist hauptsaechlich ein Prozessproblem:
4-Augen-Prinzip für Überweisungen:
→ Alle Überweisungen > [Schwellwert] benötigen 2 Freigaben
→ Neue Bankverbindungen: zusätzliche Verifikation per Telefon (bekannte Nummer!)
→ "Dringende" Anfragen: immer misstrauisch sein - Dringlichkeit ist BEC-Taktik
Mitarbeiter-Sensibilisierung:
→ Spezifisches BEC-Training (nicht generisches Phishing-Training)
→ Szenario: CFO-Simulation: "CEO ruft an und bestätigt die E-Mail"
(Spear-Phishing + Vishing-Kombinationsangriff - reale Taktik!)
→ Red-Flag-Erkennung: Drucksituationen, Geheimhaltungsanforderungen, neue IBANs
Incident-Reaktion:
→ Sofortmassnahme bei vermuteter BEC-Überweisung:
1. Eigene Bank kontaktieren: SWIFT-Recall innerhalb 24h möglich
2. Empfänger-Bank kontaktieren (via INTERPOL/BKA bei internationalen Fällen)
3. Strafanzeige: Polizei + BKA-Cybercrime (oft Voraussetzung für Versicherungsleistung)
4. BSI informieren (bei KRITIS-Unternehmen: Pflicht)BEC ist kein technisches Problem - es ist ein Vertrauens- und Prozess-Problem. Die beste Verteidigung ist eine Unternehmenskultur in der niemand eine Sicherheitsüberprüfung scheut, weil “der Chef es ja so wollte”. CEO-Fraud lebt davon, dass Mitarbeiter bei vermeintlichen Vorgesetzten nicht nachfragen wollen.
