BEC (Business Email Compromise)
BEC (Business Email Compromise)
BEC (Business Email Compromise) bezeichnet eine gezielte Angriffsform, bei der Täter über kompromittierte oder täuschend echt nachgebaute Geschäftsmail-Konten Zahlungen umlenken oder vertrauliche Lieferantendaten abgreifen. Laut FBI Internet Crime Complaint Center wurden 2024 in 21.442 Meldungen rund 2,77 Mrd USD Schaden allein für BEC erfasst.
Detaillierte Erklärung
BEC verbindet Social Engineering mit Mail-Manipulation: Angreifer übernehmen entweder ein echtes Postfach (Account Takeover via Phishing oder gestohlene Zugangsdaten) oder registrieren eine optisch identische Domain, etwa mit ausgetauschtem ı statt i oder rn statt m. Anschließend fügen sie sich in einen laufenden E-Mail-Strang zwischen Einkäufer und Lieferant ein und schicken kurz vor Fälligkeit eine Mail mit angeblich neuer IBAN. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt BEC im Lagebericht zur IT-Sicherheit in Deutschland 2024 als wachsende Bedrohung; das Bundeskriminalamt (BKA) ordnet die Tat strafrechtlich unter §263a StGB (Computerbetrug) und §269 StGB (Fälschung beweiserheblicher Daten) ein. Typische Branchen sind Industrie, Automotive und Maschinenbau, weil dort häufig sechs- bis siebenstellige Anzahlungen üblich sind. Anti-Phishing Working Group beobachtet, dass über 78 Prozent aller BEC-Mails ohne Anhang auskommen, klassische Antivirus-Lösungen also nicht greifen.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein Maschinenbauer mit 380 Beschäftigten erhält eine Antwort auf einen 14 Tage alten Mailthread. Der vermeintliche Lieferant bittet darum, die noch offene Anzahlung von 184.000 EUR auf eine neue Konto-Verbindung in Litauen zu überweisen, weil die Hausbank gewechselt habe. Layout, Footer und Lieferantennummer stimmen, lediglich die Absenderadresse endet auf .co statt .com. Der Sachbearbeiter fällt nicht darauf herein, weil im Lieferantenstamm hinterlegt ist, dass IBAN-Wechsel nur per Rückruf an die unter Vertragsbeginn gespeicherte Telefonnummer freigegeben werden. Die Hausbank des Empfängers in Litauen wird über §675x BGB benachrichtigt, das Konto wird eingefroren, der Schaden bleibt aus.
Typische Fehler & Verhandlungskontext
Häufigster Fehler ist die Vermischung von Stammdatenpflege und Zahlungsfreigabe in einer einzigen Rolle, sodass der Vier-Augen-Grundsatz formal eingehalten wird, der Bypass aber bereits einen Schritt vorher passiert. Ebenso riskant ist die telefonische Rückversicherung über die in der verdächtigen Mail genannte Nummer, statt über den Stammdatensatz. In der Lieferantenkommunikation sollten neue IBAN-Wechsel grundsätzlich schriftlich auf Briefpapier mit Unterschrift angefordert und über einen unabhängigen Rückkanal verifiziert werden. Wer in Verhandlungen steht, sollte zudem nie die finale Rechnung nur per Mail-PDF akzeptieren, sondern auf das Lieferantenportal oder ein zertifiziertes EDI-Format bestehen. Eine Cyber-Versicherung ersetzt typische BEC-Schäden nur, wenn nachweislich ein dokumentierter Freigabeprozess existierte; das ergibt sich aus den Standardbedingungen der GDV-Musterklauseln seit 2020.
Verwandte Begriffe
[[ceo-fraud]], [[phishing-beschaffung]], [[lieferantenscam]], [[cyber-security-einkauf]], [[audit-trail-einkauf]], [[forensik-einkauf]], [[internal-audit-einkauf]], [[iso-37301-compliance]], [[compliance-officer-einkauf]], [[datenschutzaudit]], [[whistleblower-schutz]], [[tone-at-the-top]], [[antitrust-compliance]], [[tax-compliance-einkauf]]