Business Email Compromise (BEC) 2026: So läuft ein Angriff ab — und so schützen Sie sich

Eine einzige E-Mail im Namen des Geschäftsführers genügt, um eine Überweisung über 50.000 Euro auszulösen. Ganz ohne Schadsoftware. Genau das ist Business Email Compromise (BEC): kein technischer Einbruch, sondern gezielte Manipulation von Menschen und Geschäftsprozessen. Das FBI Internet Crime Complaint Center (IC3) listet BEC seit Jahren unter den schadensträchtigsten Cyber-Delikten, mit weltweiten Verlusten im Milliardenbereich pro Jahr. Dieser Artikel zeigt, wie ein BEC-Angriff Schritt für Schritt abläuft und mit welchen technischen und organisatorischen Maßnahmen Sie ihn stoppen — von der E-Mail-Security-Lösung bis zum geschulten Buchhaltungsteam.

Kurzantwort: Business Email Compromise ist ein Betrug, bei dem Angreifer per gefälschter oder gekaperter E-Mail eine Vertrauensperson imitieren — meist Geschäftsführung, Lieferant oder Dienstleister — und so Mitarbeiter zu Überweisungen oder zur Herausgabe sensibler Daten verleiten. Schadsoftware ist nicht nötig, weshalb klassische Virenscanner oft nichts melden.

Was ist Business Email Compromise (BEC)?

Business Email Compromise ist eine Form des Social Engineering, die gezielt auf Zahlungs- und Freigabeprozesse in Unternehmen abzielt. Der Angreifer gibt sich als jemand aus, dem das Opfer vertraut, und nutzt diese Autorität, um eine ungewöhnliche, aber scheinbar legitime Handlung anzustoßen. Anders als bei Massen-Phishing ist die Nachricht individuell auf das Opfer zugeschnitten und enthält oft korrekte Namen, Projektbezüge und einen realistischen Anlass.

Das macht BEC so gefährlich für den Mittelstand: Es greift nicht die Technik an, sondern den Geschäftsprozess. Ein Verschlüsselungstrojaner legt den Betrieb lahm und ist sofort sichtbar. Eine BEC-Überweisung fällt oft erst auf, wenn der echte Lieferant Wochen später seine Rechnung anmahnt.

Ein typisches Szenario aus dem Mittelstand: Die Buchhaltung erhält freitags um 16 Uhr eine Mail, angeblich vom Geschäftsführer, der gerade in einer vertraulichen Akquise stecke. Eine Anzahlung müsse heute noch raus, die Bankdaten kämen separat, Rückfragen bitte nur per Mail. Der Ton ist freundlich, der Name stimmt, der Druck ist hoch. Genau diese Mischung aus Autorität, Zeitdruck und Diskretionsbitte ist das Markenzeichen von BEC — und der Grund, warum auch erfahrene Mitarbeiter darauf hereinfallen.

Wie läuft ein typischer Business Email Compromise Angriff ab?

Ein BEC-Angriff läuft in vier Phasen ab: Erstens recherchieren die Täter Ziele und Zahlungsprozesse. Zweitens kapern oder fälschen sie eine Absenderadresse. Drittens bauen sie über mehrere Nachrichten Vertrauen und Zeitdruck auf. Viertens lösen sie die Überweisung oder Datenherausgabe aus — jede Phase ist auf Unauffälligkeit ausgelegt.

Im Detail sehen die Phasen so aus:

1. Aufklärung: Die Täter sammeln öffentlich verfügbare Informationen — Impressum, LinkedIn-Profile, Pressemitteilungen, Abwesenheitsnotizen. Ziel ist es, Zuständigkeiten für Finanzen und laufende Geschäftsbeziehungen zu erkennen.
2. Zugang oder Fälschung: Entweder übernehmen Angreifer ein echtes Postfach (Account Takeover, also die Kontoübernahme nach Phishing der Zugangsdaten) oder sie fälschen die Absenderadresse per Spoofing — dem Vortäuschen einer fremden Adresse — beziehungsweise über eine ähnlich aussehende Tippfehler-Domain.
3. Vertrauensaufbau: Über mehrere Nachrichten wird ein glaubwürdiger Kontext aufgebaut. Häufig wird ein vertraulicher Anlass vorgeschoben — eine Firmenübernahme, eine dringende Lieferantenzahlung, ein Anwaltsmandat.
4. Auslösung: Im richtigen Moment kommt die Aufforderung zur Überweisung auf ein neues Konto, zur Änderung von Bankdaten oder zur Herausgabe von Lohn- und Steuerunterlagen — verbunden mit Zeitdruck und der Bitte um Diskretion.

Die fünf häufigsten BEC-Varianten

Nicht jeder BEC-Angriff zielt auf die Buchhaltung. Die folgende Übersicht zeigt die gängigsten Muster und ihr jeweiliges Ziel:

Account Takeover ist dabei besonders tückisch, weil die Nachricht aus einer echten, korrekt authentifizierten Adresse stammt. Technische Absenderprüfungen wie SPF, DKIM und DMARC schlagen hier nicht an — die Mail ist formal echt.

Warum technische Filter allein nicht reichen

Ein reiner Spam-Filter erkennt BEC oft nicht, weil die Nachrichten keine schädlichen Anhänge oder Links enthalten. Es gibt keinen Virus, keine Malware-Signatur, kein verdächtiges Skript. Stattdessen ist es reiner Text mit einer plausiblen Bitte.

Moderne E-Mail-Security von Sophos und vergleichbaren Herstellern setzt deshalb auf zusätzliche Erkennungsebenen: Impersonation Protection (Identitäts-Fälschungsschutz) prüft, ob ein angezeigter Name nicht zur echten Absenderadresse passt. Anti-Spoofing-Mechanismen werten die Authentifizierungs-Standards SPF, DKIM und DMARC aus. Verhaltensanalysen erkennen ungewöhnliche Sprachmuster und Zahlungsaufforderungen.

Eine Lösung wie Sophos Email Advanced kombiniert diese Ebenen. Der Einstieg liegt bei rund 22 Euro pro Postfach und Jahr (Listenpreis, Stand Juni 2026). Auch sie fängt aber nicht jeden Account-Takeover-Fall ab, weil die Mail technisch sauber ist.

Daraus folgt: BEC braucht eine Kombination aus Technik und Prozess. Die Technik filtert die Masse, der geschulte Mensch und ein sauberer Freigabeprozess fangen den Rest. → Passende Produkte finden Sie in der E-Mail-Security-Kategorie.

Schutzmaßnahmen gegen BEC: technisch und organisatorisch

Wirksamer BEC-Schutz steht auf zwei Beinen. Diese Maßnahmen haben sich im Mittelstand bewährt:

• E-Mail-Authentifizierung erzwingen: SPF, DKIM und DMARC für die eigene Domain korrekt konfigurieren, DMARC mindestens auf quarantine, langfristig auf reject setzen. Das verhindert Missbrauch der eigenen Domain — gegen ähnlich geschriebene Tippfehler-Domains hilft es jedoch nicht. Das BSI gibt dazu konkrete Empfehlungen.
• Impersonation- und Spoofing-Schutz aktivieren: Eine E-Mail-Security-Lösung wählen, die angezeigte Namen gegen echte Adressen prüft und externe Absender sichtbar markiert.
• Multi-Faktor-Authentifizierung für alle Postfächer: MFA verhindert die meisten Account-Takeover-Fälle, weil gestohlene Passwörter allein nicht mehr genügen.
• Vier-Augen-Prinzip bei Zahlungen: Überweisungen ab einem Schwellenwert und jede Änderung von Bankdaten brauchen eine zweite Freigabe über einen anderen Kanal.
• Rückruf-Verifikation: Geänderte Kontodaten oder eilige Anweisungen immer telefonisch unter der bekannten Nummer prüfen — nie unter der in der Mail genannten.
• Awareness-Training: Regelmäßige Schulungen wie Sophos Phish Threat trainieren Mitarbeiter darauf, Druck und Diskretionsbitten als Warnsignal zu erkennen.

Wer beide Ebenen kombiniert, senkt das Risiko deutlich. Die organisatorische Seite ist dabei oft günstiger als die technische — und mindestens genauso wirksam.

Was tun nach einem BEC-Vorfall?

Reagieren Sie sofort. Kontaktieren Sie die eigene Bank und bitten Sie um einen Rückruf der Überweisung (Recall) — bei schnellem Handeln lassen sich Beträge manchmal noch stoppen. Erstatten Sie Anzeige bei der Polizei und sichern Sie alle E-Mails als Beweismittel. Prüfen Sie, ob ein Postfach kompromittiert wurde, und ändern Sie betroffene Zugangsdaten. Ein strukturierter Incident-Response-Plan hilft, in dieser Situation keine Zeit zu verlieren.

Häufige Fragen zu Business Email Compromise

Ist BEC dasselbe wie Phishing?

BEC ist eine gezielte Unterform. Klassisches Phishing geht breit an viele Empfänger und setzt meist auf bösartige Links. BEC ist personalisiert, kommt oft ohne Link oder Anhang aus und zielt direkt auf Zahlungs- oder Freigabeprozesse.

Erkennt ein normaler Virenscanner BEC?

In der Regel nicht. BEC-Mails enthalten häufig keine Schadsoftware, sondern nur Text. Erst spezialisierte E-Mail-Security mit Impersonation- und Anti-Spoofing-Erkennung erhöht die Trefferquote.

Was ist CEO-Fraud?

CEO-Fraud ist die bekannteste BEC-Variante: Ein Angreifer gibt sich als Geschäftsführung aus und weist die Buchhaltung zu einer eiligen, vertraulichen Überweisung an. Der Hebel ist Autorität kombiniert mit Zeitdruck.

Welche Unternehmen sind besonders betroffen?

Gefährdet sind vor allem Betriebe mit hohen Rechnungssummen und vielen externen Zahlungen — etwa Bauträger, Steuerkanzleien, Immobilienverwaltungen und produzierende Mittelständler. Je standardisierter der Zahlungsprozess, desto leichter lässt er sich von außen nachahmen.

Hilft Multi-Faktor-Authentifizierung gegen BEC?

MFA hilft vor allem gegen Account Takeover, also die Übernahme echter Postfächer. Gegen reines Spoofing über fremde Domains wirkt sie nicht direkt — dafür braucht es Authentifizierung per DMARC und geschulte Mitarbeiter.

Wie groß ist der Schaden durch BEC?

Laut den Jahresberichten des FBI IC3 verursacht BEC weltweit Verluste im Milliardenbereich und zählt regelmäßig zu den Kategorien mit den höchsten Gesamtschäden — in mehreren Jahren über dem gemeldeten Ransomware-Schaden.

Fazit: Prozesse schlagen Technik allein

Business Email Compromise lässt sich nicht mit einer einzelnen Software abwehren. Die wirksamste Verteidigung verbindet eine moderne E-Mail-Security-Lösung mit einem klaren Freigabeprozess und geschulten Mitarbeitern. Welcher Zahlungsprozess in Ihrem Unternehmen würde einer gefälschten Geschäftsführer-Mail standhalten? In zwei Minuten zeigt Ihnen unser Produktberater, welche E-Mail-Security zu Ihrer Unternehmensgröße passt — ohne Vertriebsgespräch.