BEC und CEO-Fraud: So schützen sich Unternehmen vor Zahlungsbetrug

Business Email Compromise — kurz BEC — zählt nach Angaben des FBI Internet Crime Complaint Centers seit Jahren zu den finanziell schädlichsten Cyberangriffen weltweit. Einzelvorfälle erreichen schnell sieben- bis achtstellige Schäden. Anders als bei klassischem Massen-Phishing investieren BEC-Angreifer Wochen in Recherche und treffen Buchungs- oder Vertragsprozesse punktgenau.

Die deutsche Unterart davon — der „CEO-Fraud“ — ist mittlerweile bei jedem mittelständischen Unternehmen mindestens einmal aufgeschlagen. Manchmal erfolgreich, oft beinahe.

Wie ein typischer BEC-Angriff abläuft

Ein Angreifer recherchiert über Wochen. Er liest LinkedIn-Profile, Pressemitteilungen, Geschäftsberichte. Er identifiziert eine konkrete Person in der Buchhaltung und ihren Vorgesetzten. Er kennt Reisepläne, Projektphasen, externe Berater.

Dann schlägt er zu — meistens an einem Freitagnachmittag, kurz vor einem Feiertag oder während die Geschäftsführung im Urlaub ist:

1. Die Mail kommt scheinbar vom CEO oder CFO. Der Tonfall passt zur internen Kommunikation.
2. Die Empfangsadresse stimmt fast — etwa [email protected] statt [email protected]. Der Unterschied wird im Stress übersehen.
3. Der Grund klingt plausibel: ein Notar wartet auf die Anzahlung, ein Lieferant droht mit Stornierung, eine Akquisition steht kurz vor Closing.
4. Die Anweisung ist konkret: eine Überweisung über 80.000 bis 250.000 Euro auf ein angeblich neues Geschäftskonto.

Warum Mitarbeitende oft mitziehen

BEC nutzt nicht primär Technik, sondern Hierarchie und Routine. Es spielt mit drei psychologischen Hebeln:

• Autorität: Der CEO bittet — also wird gehandelt.
• Dringlichkeit: Es ist eilig — also wird abgekürzt.
• Diskretion: Es ist vertraulich — also wird nicht rückgefragt.

Genau diese Hebel sind nicht durch Technik allein zu entschärfen. Sie erfordern strukturelle Maßnahmen.

Drei strukturelle Schwachstellen, die fast jedes Unternehmen hat

Fehlendes Vier-Augen-Prinzip bei Eilfällen. Ausnahmen werden zur Regel, sobald Geschäftsführung Druck signalisiert. Ein Vier-Augen-Prinzip muss genau dann halten, wenn es unbequem wird — sonst hat es keinen Wert.

Externe Bankverbindungs-Änderungen ohne Out-of-Band-Verifikation. Eine angebliche IBAN-Änderung wird per Mail bestätigt — über exakt den Kanal, der kompromittiert sein könnte. Ein klassischer Single Point of Failure.

Kein Reaction-Playbook bei Verdacht. Buchhaltungsmitarbeiter wissen oft nicht, an wen sie melden sollen, ohne den Geschäftsbetrieb zu blockieren. Im Zweifel wird lieber überwiesen als peinlich nachgefragt.

Was wirklich hilft: Strukturelle Maßnahmen

Diese fünf Maßnahmen senken das BEC-Risiko deutlich:

1. Telefonische Bestätigung über vorab hinterlegte Nummern bei jeder Änderung von Bankdaten oder Eilüberweisungen ab einem definierten Schwellwert. Die Nummer steht im internen Stammdatensystem — nicht in der verdächtigen Mail.
2. Externe Mails im Mail-Client visuell markieren (z. B. Banner „Externer Absender“). So wird sofort sichtbar, ob eine Mail tatsächlich aus dem internen Netz kommt.
3. Klar definierter Meldekanal — und psychologische Sicherheit, dass eine falsche Verdachtsmeldung nicht peinlich ist. Das ist Kulturarbeit, keine Technik.
4. Strenges Vier-Augen-Prinzip ab definierten Beträgen, ohne Ausnahme — auch nicht für die Geschäftsführung selbst.
5. Browser-Warnschicht am Login. BEC-Mails enthalten häufig Aufforderungen, sich auf angeblich internen Seiten anzumelden — etwa zur „Bestätigung der Zahlungsfreigabe“. Hier kommt Phishgate ins Spiel.

Wo Phishgate ansetzt

Phishgate prüft im Browser, ob die Login-Seite zu einer freigegebenen Domain gehört. Bei nicht freigegebenen Login-Domains erscheint eine deutliche Warnung. Im FULL Mode wird der Zugriff stärker eingeschränkt.

Konkret: Klickt ein Buchhaltungsmitarbeiter in einer BEC-Mail auf den Link zur „Zahlungsfreigabe-Plattform“ und sieht dort ein Login-Feld, schlägt Phishgate Alarm — bevor Zugangsdaten eingegeben werden. Das schenkt dem Mitarbeitenden den entscheidenden Moment des Innehaltens.

Awareness-Schulungen für Buchhaltung und Geschäftsführung

Technik allein verhindert keinen CEO-Fraud — aber sie schenkt Zeit zum Nachdenken. Ergänzend bieten wir gezielte Awareness-Schulungen für besonders gefährdete Rollen an: Buchhaltung, Vorstandsassistenz, Einkauf, Geschäftsführung. Diese Schulungen sind speziell auf BEC-Szenarien ausgelegt und werden direkt vor Ort in Ihrem Unternehmen durchgeführt.

Fazit

BEC nutzt keine Zero-Day-Lücken. Es nutzt Hierarchien, Eile und Vertrauen. Verteidigt wird BEC entsprechend nicht durch eine einzelne Technik, sondern durch ein Bündel aus Prozess, Kultur und Browser-Warnschicht. Wer alle drei Ebenen ernst nimmt, reduziert das Risiko der teuersten Cyberangriffsform massiv.