Business E-Mail Compromise ist eine Art von Phishing-Betrug per E-Mail, bei dem ein Angreifer versucht, Mitglieder einer Organisation dazu zu bringen, beispielsweise Geldmittel oder vertrauliche Daten zu übermitteln. Wie der aktuelle Arctic Wolf Labs Threat Report zeigt, hat sich diese Angriffstaktik fest etabliert.
(Bild: Arctic Wolf)
Business E-Mail Compromise ist einfach in der Umsetzung – und funktioniert: Warum sollten sich Angreifer die Mühe machen, sich Zugang zu Unternehmensanwendungen zu verschaffen, Dateien zu stehlen und zu verschlüsseln, ein Lösegeld auszuhandeln, um dann Kryptowährungen zu kassieren, wenn sie stattdessen jemanden davon überzeugen können, das Geld direkt zu überweisen?
Entsprechend sind laut dem neuen Threat Reports von Arctic Wolf Labs 29,7 Prozent aller untersuchten Fälle Business E-Mail Compromise zuzuordnen. Die Zahl der durchgeführten BEC-Untersuchungen verdoppelte sich dabei in der ersten Hälfte des Jahres 2023 – ein zusätzlicher Anstieg zu den 29 Prozent, die bereits von 2021 auf 2022, verzeichnet wurden.
Der „Arctic Wolf Labs Threat Report“ wurde auf der Grundlage von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Falldaten erstellt, die Arctic Wolf über das gesamte Security-Operations-Framework sammelt. Er gibt tiefe Einblicke in das globale Ökosystem „Cyberkriminalität“, zeigt globale Bedrohungstrends und liefert strategische Cybersecurity-Empfehlungen für 2024.
Business E-Mail Compromise – eine unterschätzte Bedrohung
Da der unmittelbare Schaden durchschnittlich niedriger ausfällt als bei Ransomware, folgt jedoch weniger häufig eine volle Incident-Response-Untersuchung. Dennoch sollten Unternehmen wachsam sein, denn im Einzelfall – wenn BEC-Betrug beispielsweise zu einer Datenpanne führt – können die Kosten ins Unermessliche steigen. Laut des „IBM Cost of a Data Breach Report 2023“ sind BEC-Betrügereien die drittteuerste Art von Datenschutzverletzungen und kosten im Durchschnitt 4,67 Millionen US-Dollar. Die schiere Zahl der BEC-Vorfälle und die damit verbundenen direkten und indirekten Kosten zeichnen ein Bild von einer Bedrohung, die mehr Aufmerksamkeit in der Geschäftswelt verdient.
Verschiedene Arten von Business E-Mail Compromise
Betrug durch Business E-Mail Compromise gibt es in vielen Formen, von denen sich einige überschneiden. Derzeit gibt es sechs Arten, auf die die meisten Vorfälle zurückgehen:
CEO/Executive Fraud: Ein Angreifer, der sich als CEO oder eine andere Führungskraft innerhalb eines Unternehmens ausgibt, sendet einer Person mit der Befugnis zur Überweisung von Geldern eine E-Mail mit der Bitte um eine Überweisung auf ein vom Angreifer kontrolliertes Konto.
Attorney Impersonation: Ein Angreifer gibt sich als Anwalt oder Rechtsvertreter des Unternehmens aus und sendet einem Mitarbeitenden eine E-Mail mit der Bitte um Übersendung von Geldmitteln oder sensible Daten. Diese Art von BEC-Angriffen zielt in der Regel auf Mitarbeiterinnen und Mitarbeiter der unteren Ebene ab.
Datendiebstahl: Ein Angreifer hat es auf Mitarbeitende der Personal- und Finanzabteilung abgesehen, um an persönliche oder sensible Informationen über einzelne Personen innerhalb des Unternehmens, z.B. Geschäftsführer und Führungskräfte, zu gelangen. Diese Daten können dann für künftige Cyberangriffe genutzt werden. In selteneren Fällen kann ein Angreifer, der sich als Kunde oder Lieferant ausgibt, einen Empfänger (z.B. in einer rechtlichen oder technischen Funktion) auffordern, geistiges Eigentum oder andere sensible oder geschützte Informationen zu übermitteln.
Account Compromise: Bei dieser Variante, die auch unter dem Synonym von Business E-Mail Compromise als E-Mail-Account Compromise bekannt ist, gibt sich ein Angreifer nicht einfach als Besitzer eines vertrauenswürdigen E-Mail-Kontos aus, sondern es gelingt ihm, Zugriff auf ein rechtmäßiges E-Mail-Konto zu erlangen. Er nutzt dieses, um den Betrug auszuführen, indem er E-Mails von dem gekaperten Konto aus versendet und beantwortet. Dabei setzt er manchmal Filterwerkzeuge und andere Techniken ein, um zu verhindern, dass der tatsächliche Kontoinhaber diese Aktivitäten bemerkt.
False Invoice Scheme/Scheinrechnungen: Ein Angreifer, der sich als bekannter Verkäufer oder Lieferant ausgibt, sendet eine E-Mail an eine Person mit der Befugnis, Geld zu überweisen und bittet um eine Überweisung auf ein vom Angreifer kontrolliertes Konto.
Product Theft: Eine relativ neue Masche – auf die das FBI im März 2023 aufmerksam machte – bei der ein Angreifer, der sich als Kunde ausgibt, ein Unternehmen dazu bringt, eine große Menge an Produkten auf Kredit zu verkaufen (und zu versenden).
Wie sich Mitarbeiter vor Betrug schützen
Unternehmen sollten alle ihre Mitarbeiter über die Betrugsmasche Business E-Mail Compromise aufklären und eine Sicherheitskultur etablieren, die dazu einlädt, Sicherheitsbedenken jederzeit zu äußern und zu überprüfen. Mitarbeitende sollten zudem bei jeder E-Mail darauf achten, ob die E-Mailadresse korrekt oder aber verkürzt oder abgeändert ist und ob die Tonalität der Nachricht der Unternehmenskultur oder dem Schreibstil des jeweiligen (angeblichen) Absenders entspricht.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Außerdem ist es hilfreich für bestimmte Prozesse, wie im Accounting, einen klaren Freigabeprozess zu definieren, um zusätzliche Sicherheitsnetze einzubauen. Im Verdachtsfall sollten alle Mitarbeitenden zudem den Kommunikationskanal wechseln und zum Beispiel über eine bekannte Telefonnummer checken, ob eine Überweisungsaufforderung an ein neues Konto wirklich von dem angegebenen Absender innerhalb des Unternehmens stammt.
:quality(80)/p7i.vogel.de/wcms/26/7f/267fe7086a35a99a8746d5328bc34387/souver-c3-a4nit-c3-a4t-antto-ai-adobestock-935874090-mitki-1197x673v1.jpeg "(Bild: © Antto-AI/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e2/fe/e2fecc72262f24cdac5e7d269cbc19af/it-trends-imageflow-adobestock-1767411415-neu-1200x675v1.jpeg "(Bild: © ImageFlow/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/06/7306fe7290414df91b2a4f5a89eee7ee/easy-20software-dms-teaser-16-9-1133x637v1.jpeg "(Bild: Easy Software)")
:quality(80)/p7i.vogel.de/wcms/fc/92/fc9219fe63a11cbd77472b28798c7e73/stackit-cybus-partnerschaft-16-9-727x409v1.jpeg "Stackit und Cybus vereinbaren eine strategische Partnerschaft für europäische Smart-Factory-Lösungen. (Bild: Cybus)")
:quality(80)/p7i.vogel.de/wcms/ed/a3/eda36bff4eab74b47f38ae9c2f5962f8/cloud-erp-mahat-adobestock-835645806-mitkiv1.jpeg "(Bild: © mahat/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/a3/faa35b3be508b1bafeae8e481dad808c/hr-ipopba-adobestock-451361135-neu-780x439v1.jpeg "(Bild: © ipopba/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/10/851074900a9e0eabf32944642cc2272f/adobestock-1270513612-vectorwin-colocation-996x560v1.jpeg "(Bild: © vectorwin/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/06/cc06928e9d81a3ae02f66889f453bb00/aws-modell-20availability-20zone-16-9-1200x675v1.jpeg "Die AWS European Sovereign Cloud basiert auf dem Modell der AWS Availability Zone. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/4a/c3/4ac353ac9ecdfc9c07cb9cd559a578a0/genai-krot-studio-adobestock-1335835272-neu-1200x675v1.jpeg "(Bild: © Krot_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/af/35/af35b7a70474e8d447c57993e0146b38/kit-quantentechnologien-karlsruhe-1230x691v1.jpeg "Die optische Schnittstelle für einen Quantenspeicher wird ein wichtiger Bestandteil von künftigen Quantennetzwerken sein. Der erste Teil davon wurde Anfang 2025 am KIT gebaut. (Bild: Markus Breig/KIT)")
:quality(80)/p7i.vogel.de/wcms/aa/09/aa0954018ba5f37cfdfcfa30ad809da7/quantenc--20www-freund-foto-de-adobestock-652196310-mitki-1067x600v1.jpeg "(Bild: © www.freund-foto.de/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/97/7c9771d964d17b3b15df85b23b81f41f/bundesdruckerei-pqc-personalausweis-16-9-1200x674v1.jpeg "Demonstrator des quantensicheren Personalausweises. (Bild: Bundesdruckerei GmbH)")
:quality(80)/p7i.vogel.de/wcms/3e/06/3e064c6104f3b0e5e74f8d5f06fbec86/kritis-leowolfert-adobestock-227539102-neu-878x494v1.jpeg "(Bild: © leowolfert/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/43/5843c738a7f9e1643d5b6a125a538e5e/akamai-nocc-pano-16-9-1200x674v1.jpeg "Akamai betreibt ein eigenes Network Operations Command Center. (Bild: Akamai)")
:quality(80)/p7i.vogel.de/wcms/1d/6f/1d6fa6c8604a36abf5a0bf7679e44c1b/genua-genuline-bild-3390x1908v1.jpeg "Mit einer FPGA-Hardwarebeschleunigung verbindet das BSI-zugelassene VPN-Gateway genuline von genua Standorte mit quantensicherer Verschlüsselung. (Bild: genua GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/77/167784e2707d79bd104241764b3c370d/cyberresilienz-delques-adobestock-783757721-neu-996x560v1.jpeg "(Bild: © Delques/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/88/9e884cac1f5ea1b21159ac7c3bf73b76/flexera-it-management-2026-freepik-7360x4142v1.jpeg "(Bild: Freepik)")
:quality(80)/p7i.vogel.de/wcms/9c/3a/9c3a866def18ca8aebbe659276a18b81/consense-release-2025-2-16-9-1400x787v1.jpeg "Praktische Funktionen und die KI-Integration in der ConSense Release 2025.2 optimiert die Arbeit mit QMS- und IMS-Systemen. (Bild: insta_photos)")
:quality(80)/p7i.vogel.de/wcms/22/dd/22dd3877ab935747f146a760d14315d6/ki-agent-thapana-studio-adobestock-1281084264-neu-1200x675v1.jpeg "(© Thapana_Studio/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/aa/b3aa340d5ac168ee0fee01f42035ff4d/dji-20mavic-204-20pro-bild-16-9-1680x944v1.jpeg "Die Drohne Mavic 4 Pro von DJI ermöglicht neue Perspektiven von Luftaufnahmen.
(Bild: DJI)")
:quality(80)/p7i.vogel.de/wcms/62/1a/621a89cd2d07f631880e43cda889118b/adobestock-1644426553-karina-digital-health-969x545v1.jpeg "(Bild: © KARINA/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/cd/30cd86fcb5d329cc823b8a6114db8189/dmea-20berlin-202025-16-9-2000x1124v1.jpeg "Die diesjährige DMEA findet vom 21. bis 23. April 2026 in der Messe Berlin statt. (Bild: © Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/3a/d6/3ad6ea137cead57bf9d1d9517dd5f8d7/stackit-sana-20kliniken-16-9-1749x983v1.jpeg "Sana Kliniken setzt auf die souveräne Cloud-Infrastruktur von Stackit. (Bild: Sana Kliniken AG)")
:quality(80)/p7i.vogel.de/wcms/94/eb/94eb9f2fa3eda7c475bbc15ab0a37d7e/digital-20health-sdecoret-adobestock-178705480-neu-999x562v1.jpeg "(Bild: © sdecoret/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/f5/64f5013e4eedfa4f98b795e30cac7adc/it-sa-expo-26congress-eingang-3-2-1400x788v1.jpeg "(Bild: NürnbergMesse GmbH)")
:quality(80)/p7i.vogel.de/wcms/e6/db/e6dbf6cd77bbb7d46954d17450354c62/ot-oulaphone-adobestock-1069683089-5798x3264v1.jpeg "(Bild: © Oulaphone/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/b7/a2b78c24a10a843fe4456112371dff7d/cybersecurity-looker-studio-adobestock-563886800-neu-875x492v1.jpeg "(Bild: © Looker_Studios/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/07/b407aec50a1c555341b71483c58d954a/resilienz-srite-20khatun-adobestock-821261728-neu-880x495v1.jpeg "(Bild: © Srite Khatun/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/37/0c3795d561b32378f5a1728f3efcedaa/esker-scott-20mcdermott-16-9-1200x674v1.jpeg "Scott McDermott ist neuer Chief Financial Officer von Esker. (Bild: Esker)")
:quality(80)/p7i.vogel.de/wcms/46/b2/46b26d5ed883ada5b43309c2b4c76011/arbeitsplatz-exnoi-adobestock-808744861-mitki-996x560v1.jpeg "(Bild: © Exnoi/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/e7/c2/e7c24ae49b93587a03e144ce71866eaf/digitalisierung-wrightstudio-adobestock-235419903-neu-1500x843v1.jpeg "(Bild: © WrightStudio/stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/66/27/66276a182029e/dvelop-logo-grey.jpeg "dvelop-logo-grey (d.velop AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/ca/5fca223f78cb5/xsuite-logo-rgb.jpg "XSUITE_LOGO_RGB.jpg (xSuite)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/fe/67fe14a4d78d3/esker-corporate-logo-c--002-.jpeg "esker-corporate-logo-c--002- (Esker Software)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/f5/1b/f51be1bd98a73b7cf4271d25b8cc8cf9/arctic-wolf-office-3-2.jpeg "arctic-wolf-office-3-2 (Quelle: Arctic Wolf)")
:quality(80)/p7i.vogel.de/wcms/1e/41/1e41f925d4419a31b3f4bd2bf6bd85d9/phishing-johannes-adobestock-1095967851-mitki-1197x673v1.jpeg "phishing-johannes-adobestock-1095967851-mitki-1197x673v1 (Bild: © Johannes/stock.adobe.com - generiert mit KI)")
:quality(80)/p7i.vogel.de/wcms/fb/1a/fb1a0dda522fd97de4a7ae157039773e/soc-vadym-adobestock-1337750513-mitki-1200x675v1.jpeg "soc-vadym-adobestock-1337750513-mitki-1200x675v1 (Bild: © Vadym/stock.adobe.com - generiert mit KI)")