Phishing in der Beschaffung
Phishing in der Beschaffung
Phishing in der Beschaffung beschreibt gezielte Mail-, SMS- oder Voice-Angriffe auf Einkäufer, Buchhaltung und Stammdatenpflege, die Zugangsdaten, Bankverbindungen oder Vertragsdokumente abgreifen sollen. Laut Anti-Phishing Working Group wurden 2024 weltweit über 1,03 Mio einzigartige Phishing-Sites erfasst; das BSI warnt seit dem Lagebericht 2023 explizit vor Spear-Phishing gegen B2B-Einkaufsabteilungen.
Detaillierte Erklärung
Phishing zielt im Beschaffungskontext fast immer auf den Geldfluss zum Lieferanten oder auf den Zugang zu Lieferantenportalen wie SAP Ariba, Coupa oder Jaggaer. Das Bundesamt für Sicherheit in der Informationstechnik unterscheidet drei Stufen: breit gestreutes Phishing, Spear-Phishing mit recherchierten Personeninformationen und Whaling auf Vorstands- oder Geschäftsführungsebene. Strafrechtlich greift §202a StGB (Ausspähen von Daten), §202c StGB (Vorbereiten von Datenausspähung) und bei erfolgreicher Tat §263a StGB. Die typischen Köder sind gefälschte DHL-, DKB- oder Hausbank-Mails mit dringendem Handlungsbedarf, gefälschte Microsoft-365-Login-Seiten sowie als PDF getarnte Office-Makros. Im B2B-Bereich liegt die Klickrate ohne gezieltes Awareness-Training laut Verizon Data Breach Investigations Report 2024 bei rund 8,4 Prozent; nach strukturiertem Training mit mindestens vier Übungen pro Jahr sinkt sie unter 2 Prozent.
Praxisbeispiel (konkretes Einkaufsszenario)
Eine strategische Einkäuferin in einem Werkzeugbauunternehmen mit 240 Mitarbeitenden erhält eine Mail vom angeblichen Onboarding-Tool eines Großlieferanten. Die Mail bittet um Erneuerung der Login-Daten, weil ein Sicherheitsupdate eingespielt worden sei. Der Link führt auf eine pixelgenau nachgebaute Domain mit dem Zusatz -portal-login.eu statt der echten .com-Domain. Die Mitarbeiterin fällt zunächst auf die Mail herein, bemerkt aber bei der Eingabe des zweiten Faktors, dass kein Push auf der Authenticator-App ankommt. Sie meldet den Vorfall an den Compliance Officer und das CSIRT, beide verifizieren über DMARC- und DKIM-Auswertung den Spoofing-Versuch. Stammdaten und Lieferantenportal werden vorsorglich gesperrt, die Vorgangsnummer wird im SIEM hinterlegt und über das CERT-Verbund Deutschland an betroffene Branchenpartner weitergegeben.
Typische Fehler & Verhandlungskontext
Klassischer Fehler ist es, Phishing-Awareness ausschließlich der IT zu überlassen, statt sie als Compliance-Aufgabe nach ISO 27001 Annex A.6.3 (Information Security Awareness, Education and Training) zu führen. Ebenso kritisch ist ein fehlender Zweitfaktor auf Lieferantenportalen oder die Wiederverwendung von Buchhaltungs-Passwörtern in Mail-Konten, die häufig auf Have-I-Been-Pwned als kompromittiert gelistet sind. In Lieferantenverhandlungen sollte vertraglich verankert sein, dass IBAN-Änderungen und Rechnungs-PDFs ausschließlich über das Portal eingeliefert werden, niemals als Mail-Anhang. Auf Bestellseite ist eine harte Trennung zwischen Operativeinkauf und Stammdatenpflege gemäß BSI IT-Grundschutz-Baustein OPS.1.1.4 (Schutz vor Schadprogrammen) sowie eine technische Absicherung mit DMARC-Reject-Policy für die eigene Maildomain Pflicht.
Verwandte Begriffe
[[bec-business-email-compromise]], [[ceo-fraud]], [[lieferantenscam]], [[cyber-security-einkauf]], [[compliance-officer-einkauf]], [[audit-trail-einkauf]], [[forensik-einkauf]], [[internal-audit-einkauf]], [[iso-37301-compliance]], [[tone-at-the-top]], [[whistleblower-schutz]], [[antitrust-compliance]], [[tax-compliance-einkauf]], [[datenschutzaudit]]