🚨 Im Notfall: Polizei: 110 Bank/Karten-Sperre: 116 116 → Was jetzt zu tun ist
Unternehmen

BEC und CEO-Fraud

Die teuerste Betrugsmasche gegen Unternehmen 2026. Wie sie funktioniert, wer Ziel ist, wie du dich schützt.

Was BEC und CEO-Fraud sind

BEC (Business E-Mail Compromise) ist eine Gruppe von Betrugsmaschen, bei denen Täter sich per E-Mail als Mitarbeiter, Geschäftsführer oder Lieferanten ausgeben, um Überweisungen oder Daten zu erwirken.

CEO-Fraud ist eine Variante davon: der Täter gibt sich speziell als Geschäftsführer aus und drückt Mitarbeiter zu eiligen Überweisungen.

BEC ist 2026 die finanziell schadhafteste Betrugsform gegen Unternehmen weltweit. FBI-Zahlen 2024: über 2,7 Milliarden USD gemeldete Schäden allein in den USA - mit hoher Dunkelziffer.

Die typischen Varianten

1. Klassischer CEO-Fraud

Eine E-Mail an die Buchhaltung: „Bitte überweise heute 87.000 Euro an folgende IBAN. Vertrauliche M&A-Transaktion, sprich mit niemandem darüber. Detail-Vertrag folgt. Eilig.“ - signiert vom angeblichen Geschäftsführer.

2. Vendor Email Compromise

Echte Lieferanten-E-Mails werden gekapert. Der Lieferant schreibt „wir haben unsere Bankverbindung geändert, bitte überweise zukünftig auf diese neue IBAN“. Tatsächlich gehört die IBAN dem Täter.

3. Account Compromise

Ein Mitarbeiter-Account wird übernommen (Phishing, schwaches Passwort) und für betrügerische Anweisungen genutzt - mit echter Mail-Adresse, schwer zu erkennen.

4. Lawyer Impersonation

Anruf oder Mail von einem angeblichen Anwalt mit dringender Notwendigkeit, einen Geschäfts-Deal zu schließen. Geschäftsführer sei nicht erreichbar, Mitarbeiter soll selbst entscheiden.

5. W-2-Fraud / Daten-Diebstahl

Statt Geld werden Daten erbeutet: Lohnsteuer-Listen, Mitarbeiter-Daten, Kunden-Datenbanken - für späteren Identitätsdiebstahl oder Verkauf im Darknet.

Wie die Maschen vorbereitet werden

  1. Recherche: LinkedIn, Unternehmens-Website, Impressum, Sozialprofile - wer ist Geschäftsführer, wer ist Buchhaltung, wer hat Anweisungs-Befugnis
  2. Sprachmuster: Tonalität des Geschäftsführers wird aus offiziellen Schreiben, Interviews, LinkedIn-Posts extrahiert
  3. Timing: oft Freitagnachmittag oder vor Feiertagen, wenn Rückfragen schwer sind
  4. Domain-Fälschung: ähnliche Domain (firma.com vs. fimra.com)
  5. Deepfake-Audio: 2025-2026 zunehmend - KI-Stimmen-Klone für telefonische Bestätigung

Warn-Signale für Mitarbeiter

  • Eile-Druck bei Überweisungen
  • Geheimhaltungs-Aufforderung („sprich mit niemandem darüber“)
  • Änderung der bekannten Bankverbindung per E-Mail
  • Unüblicher Empfänger, oft im Ausland
  • Antwort-Adresse weicht ab vom Display-Namen
  • Stilbruch: Geschäftsführer schreibt sonst förmlich, hier plötzlich kollegial - oder umgekehrt
  • Unüblicher Kanal: Geschäftsführer schreibt sonst aus dem Unternehmens-System, hier plötzlich aus Gmail
  • Erstkontakt mit großer Forderung

Schutz auf Unternehmens-Ebene

1. Technische Schutzmaßnahmen

  • DMARC, DKIM, SPF auf eigenen Domains korrekt konfigurieren - schützt vor Spoofing der eigenen Domain
  • Anti-Phishing-Filter mit Verhaltensanalyse
  • External-Mail-Tags in E-Mails sichtbar machen („EXTERN“ im Betreff)
  • Multi-Faktor-Authentifizierung für alle Geschäfts-Accounts
  • Änderungs-Warnung bei ähnlichen Domain-Schreibweisen

2. Organisatorische Schutzmaßnahmen

  • Vier-Augen-Prinzip bei allen Überweisungen ab Schwellenwert - mehr in Vier-Augen-Prinzip
  • Telefonische Rückbestätigung bei außergewöhnlichen Anweisungen - auf bekannte Nummer, nicht aus der Mail
  • IBAN-Änderung nur schriftlich auf Briefpapier mit Unterschrift, plus telefonische Bestätigung
  • Klare Prozesse dokumentiert, kein „aus dem Bauch“-Handeln
  • Eskalations-Wege klar definiert

3. Verhaltens-Sensibilisierung

Mehr in Mitarbeiter-Sensibilisierung.

  • Regelmäßige Schulungen
  • Phishing-Simulationen
  • Kultur: Mitarbeiter dürfen Geschäftsführer-Anweisungen hinterfragen
  • „Wenn unsicher: nicht überweisen“

Der Prüf-Workflow für Mitarbeiter

Vor jeder Überweisung über Schwellenwert (z.B. 5.000 Euro):

  1. Absender prüfen: nicht nur Anzeigename, auch tatsächliche E-Mail-Adresse
  2. Domain prüfen: Ähnlichkeiten, Schreibweisen
  3. Bei Auffälligkeit: telefonische Bestätigung beim Auftraggeber, aber auf bekannter Nummer
  4. IBAN prüfen: Stimmt mit dem hinterlegten Stammdaten-Konto überein? Falls neu: separate Verifizierung
  5. Bei Eile-Druck: hellhörig werden, eher nicht überweisen
  6. Geheimhaltungs-Aufforderung: Alarm-Signal, sofort eskalieren
Wichtig: Echte Geschäftsführer haben kein Problem damit, dass Mitarbeiter Rückfragen stellen oder Vier-Augen-Prinzip einhalten. Wer sich daran stört, signalisiert ein Problem.

Schäden 2024 (BKA und Versicherer)

  • Durchschnittlicher BEC-Schaden in DE: 280.000 Euro pro Vorfall
  • Spitzenwerte: über 10 Millionen Euro in Einzelfällen
  • Erfolgsrate der Geld-Rückholung: ca. 12 % bei rechtzeitigem Handeln, sonst niedriger
  • Versicherungs-Deckung: zunehmend in Cyber-Policen abgedeckt (mehr in Cyber-Versicherung)

Falls ein Vorfall passiert

  1. Sofort Bank kontaktieren (Recall-Verfahren - SEPA-Überweisungen können manchmal bis 24-48 h zurückgeholt werden)
  2. Polizei und LKA (Zentralstelle Cybercrime des Bundeslands)
  3. IT-Forensik einschalten - oft sitzt der Account-Compromise noch im System
  4. Alle Mitarbeiter informieren - oft kommen Folgeangriffe
  5. Passwörter ändern für alle betroffenen Accounts
  6. Cyber-Versicherung informieren
  7. Aufsichtsbehörde bei Datenleck (DSGVO-Meldepflicht 72 h)
  8. Internal Post-Mortem: was hat versagt, was muss geändert werden

Der entscheidende Punkt

BEC nutzt menschliche, nicht technische Schwachstellen. Die teuersten Vorfälle passieren, weil ein Mitarbeiter unter Druck eine Geschäftsführer-Anweisung ausführt, ohne nachzufragen. Schutz heißt: Prozesse, die Nachfragen verpflichtend machen, und Kultur, die Nachfragen belohnt.

IT-Sicherheit für dein Unternehmen?

SEO NW arbeitet seit 2012 als Agentur für technische Prävention, Mitarbeiter-Sensibilisierung und IT-Sicherheit.

SEO NW Agentur