Moderne Betrugsmasche mit KI – so erkennen und stoppen Sie Angriffe
Business E-Mail Compromise (BEC) zählte auch im Jahr 2026 zu den finanziell folgenschwersten Cyberbedrohungen für Unternehmen weltweit. Anders als klassische Angriffe, die sich rein auf technische Schwachstellen konzentrieren, nutzt BEC legitime Kommunikationskanäle aus, um Vertrauen zu erschleichen und gezielte Manipulationen durchzuführen. Das Ziel der Angreifer besteht darin, sich Zugang zu sensiblen Informationen, vertraulichen Zugangsdaten oder finanziellen Transaktionen zu verschaffen. Dies geschieht häufig auf subtile Weise und bleibt oft unbemerkt, da nicht zwingend ein technisches Sicherheitsversagen vorliegen muss. Vielmehr nutzen Angreifende gezielt menschliche Schwächen, organisatorische Lücken oder unzureichende Sicherheitsprozesse aus, um ihre Absichten durchzusetzen.
Die Angreifer agieren dabei geschickt und mit hoher krimineller Energie: Sie kapern E-Mail-Konten, analysieren Kommunikationsmuster und greifen gezielt in bestehende Geschäftsprozesse ein. Die Folgen sind nicht nur finanzieller Schaden, sondern auch Reputationsverlust und rechtliche Risiken.
Ziele von BEC-Angriffen
BEC-Angriffe lassen sich grob in zwei Hauptkategorien unterteilen:
- Betrug durch Zahlungsumleitung und Rechnungsmanipulation
Im Vordergrund steht hierbei der finanzielle Gewinn. Cyberkriminelle verschaffen sich Zugriff auf kompromittierte E‑Mail‑Konten, um sich unbemerkt in bestehende Geschäftsbeziehungen einzuschleusen. In vielen Fällen werden anschließend Rechnungen manipuliert oder Zahlungsanweisungen gefälscht, sodass Überweisungen auf Konten der Angreifer umgeleitet werden. Häufig bleibt dieser Betrug sowohl dem Empfänger als auch dem Absender zunächst verborgen.
- Datendiebstahl als Grundlage für Erpressung
Ein vermehrt beobachtetes Szenario besteht darin, dass Angreifer gezielt Geschäftsgeheimnisse auswerten, die über kompromittierte Mailboxen oder über Cloud‑Dienste wie SharePoint zugänglich sind. Unterstützt durch KI‑basierte Analyseverfahren identifizieren sie besonders sensible Informationen und setzen Unternehmen anschließend unter Druck, was sich in seiner Vorgehensweise stark an Ransomware‑Angriffe anlehnt. Dabei erweist sich die Drohung, vertrauliche Daten zu veröffentlichen, oft als wesentlich wirkungsvoller und für die betroffenen Organisationen kostspieliger als das reine Verschlüsseln von Dateien. Bleibt die Erpressung erfolglos, richten die Angreifer ihren Fokus häufig auch auf Geschäftspartner, deren Daten beim ursprünglich betroffenen Unternehmen gespeichert sind.
Fallstudie: Der verschwundene Zahlungseingang – ein realer BEC-Vorfall
Tag 1: Eine verschwundene Zahlung
Ein Kunde bemerkt, dass eine offene Rechnung eines langjährigen Geschäftspartners nicht beglichen wurde, was zunächst keinen Anlass zur Sorge bietet. Doch nach einem klärenden Telefonat zeigt sich, dass der Geschäftspartner die Zahlung bereits vor mehreren Wochen angewiesen hat. Trotzdem ist das Geld beim Kunden nie eingegangen. Auch die Bank kann nach wiederholten Rückfragen keinen Zahlungseingang feststellen, wodurch die Transaktion weiterhin als verschwunden gilt. Mit jeder weiteren Rückmeldung steigt die Nervosität in den Buchhaltungen beider Unternehmen.
Tag 3: Verdacht auf Manipulation
Eine genaue Analyse der Finanzbuchhaltung beim Geschäftspartner bringt schließlich die Wahrheit ans Licht: Die hinterlegte Bankverbindung des Kunden wurde im System unbemerkt auf ein ausländisches Konto geändert. Ein technisches Problem kann ausgeschlossen werden, sodass eindeutig von einem gezielten Eingriff auszugehen ist.
Das Incident Response Team der SVA wird vom Kunden beauftragt, den Vorfall zu untersuchen.
Tag 4: Forensische Analyse
Die forensische Untersuchung zeigt, dass die Änderung der Bankdaten über einen E-Mail-Verlauf initiiert wurde – und zwar aus dem Postfach eines Mitarbeiters der Finanzabteilung des Kunden. Der Mitarbeiter bestreitet, die Änderung selbst vorgenommen zu haben. Der Verdacht auf einen Business E-Mail Compromise erhärtet sich.
Tag 5: Das volle Ausmaß wird sichtbar
Die Auswertung der Protokolle bestätigt schließlich den Verdacht: Die Angreifer hatten über einen längeren Zeitraum Zugriff auf das Postfach und konnten bei insgesamt drei Geschäftspartnern die hinterlegten Zahlungsdaten manipulieren. All dies geschah über mehrere Monate hinweg unbemerkt, sodass die Manipulationen erst sehr spät entdeckt wurden.
Der initiale Zugriff erfolgte über eine Phishing-Mail, die von einem anderen Geschäftspartner des Kunden stammte. Diese Mail war Teil einer sogenannten AiTM-Phishing-Kampagne (Adversary-in-the-Middle), bei der Anmeldedaten und Session-Tokens abgegriffen wurden. Zwei weitere Benutzer des Kunden waren ebenfalls betroffen, jedoch konnte durch schnelle Reaktion eines Administrators des Kunden eine tiefere Kompromittierung verhindert werden.
Zeitleiste des Vorfalls:
- Tag 1: Phishing-Mail von einem Dienstleister
- Tag 2: Kompromittierung via AiTM-Phishing
- Tag 8: Erste E-Mail des Angreifers an Geschäftspartner mit der Bitte um Änderung der Bankdaten
- Tag 9–22: Tägliche Kommunikation mit der Buchhaltung des Geschäftspartners zur Zahlungsabwicklung
- Tag 28: Bekanntwerden des Vorfalls und Beauftragung des SVA Incident Response Teams
Diese Fallstudie zeigt eindrucksvoll, wie raffiniert und langfristig BEC-Angriffe geplant und durchgeführt werden. Sie unterstreicht die Notwendigkeit technischer Schutzmaßnahmen, aber auch organisatorischer Wachsamkeit und schneller Reaktionsfähigkeit.
Die Evolution von Business E-Mail Compromise: Von simplen Betrugsversuchen zur hochprofessionellen Cyberkriminalität
In den letzten Jahren hat sich Business E-Mail Compromise (BEC) dramatisch weiterentwickelt. Was früher oft aus wenigen, schlecht formulierten E-Mails bestand, ist heute ein komplexer, mehrstufiger Angriff, der moderne Technologien und arbeitsteilige Strukturen nutzt.
- Generative KI als Verstärker
Durch den Einsatz generativer KI sind die von Angreifern verfassten E‑Mails heute kaum noch von echten Nachrichten zu unterscheiden. Sie wirken sprachlich präzise, sind inhaltlich bestens auf den jeweiligen Kontext abgestimmt und häufig sogar personalisiert. Die Grundlage dafür bilden echte E‑Mail‑Verläufe, die zuvor kompromittiert und anschließend ausgewertet wurden, sodass die Fälschungen äußerst glaubwürdig erscheinen.
- Angriffe über die Lieferkette
Ein besonders perfides Vorgehen zeigt sich, wenn ein tatsächlich existierender Geschäftspartner kompromittiert wird. Von dessen legitimer E‑Mail‑Adresse versenden die Angreifer anschließend gefälschte Rechnungen, die sich auf reale Projekte beziehen, die korrekten Ansprechpartner enthalten und im vertrauten Layout erscheinen. Für die Empfänger wirkt alles absolut glaubwürdig, sodass der Betrug häufig erst auffällt, wenn die Zahlung bereits ausgeführt wurde.
- KI-gestützte Auswertung von E-Mail-Verläufen
Angreifer analysieren die E‑Mail‑Kommunikation inzwischen automatisiert, um sich gezielt in bestehende Konversationen einzuschalten. In einem laufenden Austausch mit einem Dienstleister kann dadurch plötzlich eine neue Bankverbindung genannt werden, formuliert im passenden Tonfall, scheinbar logisch begründet und ohne Verdacht zu erregen. Da die Nachricht nahtlos an die bisherige Kommunikation anknüpft, fällt die Manipulation häufig erst auf, wenn bereits ein Schaden entstanden ist.
- Geduld statt Schnellschuss
Früher versendeten Angreifer ein oder zwei E-Mails und wechselten schnell zum nächsten Ziel. Heute beobachten wir, dass sie über Wochen oder Monate hinweg mit ihren Opfern kommunizieren, Vertrauen aufbauen und gezielt auf Zahlungszeitpunkte hinarbeiten.
- Professionalisierung und Arbeitsteilung
BEC ist längst keine Einzeltäter-Disziplin mehr. Vielmehr agieren international organisierte Gruppen arbeitsteilig und global:
- Gruppe 1: Initial Access – z. B. durch Phishing oder Credential Stuffing
- Gruppe 2: Auswertung kompromittierter Postfächer
- Gruppe 3: Erpressung und Akquise neuer Opfer
- Gruppe 4: Finanzielle Abwicklung – z. B. über Geldwäschenetzwerke oder Kryptowährungen
Diese Struktur erinnert stark an klassische organisierte Kriminalität – nur eben digital und oft grenzüberschreitend.
Incident Response bei BEC: Warum forensische Experten entscheidend sind
Die Untersuchung eines BEC‑Vorfalls sollte stets von erfahrenen Fachleuten durchgeführt werden, da Angreifer häufig versteckte Mechanismen einsetzen, um die Kontrolle über kompromittierte Konten dauerhaft aufrechtzuerhalten. Dazu gehören unter anderem unauffällige E‑Mail‑Weiterleitungen oder vergebene App‑Zugriffsrechte, die im Alltag leicht übersehen werden. Erst eine gründliche und systematische Analyse ermöglicht es, solche Persistenzmechanismen zuverlässig zu identifizieren und vollständig zu entfernen.
Zudem bestehen regulatorische Pflichten, etwa die Meldung von Datenabflüssen an Datenschutzbehörden. Cyber-Versicherungen verlangen meist eine externe Untersuchung zur Schadensbewertung. Und durch die Zusammenarbeit mit Ermittlungsbehörden konnten in der Vergangenheit Täter identifiziert und strafrechtlich verfolgt werden.
Forensische Analyse bei BEC: So werden Microsoft‑365‑Daten ausgewertet
Eine schnelle und umfassende Analyse setzt voraus, dass alle relevanten Protokolle exportiert und gesichert werden, insbesondere jene aus Microsoft 365. Diese Daten bilden die zentrale Grundlage, um den Verlauf des Angriffs im Detail zu rekonstruieren und sämtliche betroffenen Systeme sowie Benutzer eindeutig zu identifizieren.
Tools für den Datenexport
Es gibt nur wenige öffentlich verfügbare Tools, z. B.:
Forensischer Datenexport aus Microsoft 365: Unser Ansatz und Tool von SVA
Als Incident-Response-Dienstleister mit langjähriger Erfahrung im Bereich BEC haben wir mit der Erfahrung aus der Datenakquisition aus vielen Vorfällen ein eigenes Tool entwickelt, das speziell für den forensischen Datenexport aus Microsoft 365 konzipiert ist, um eine noch effektivere Analyse zu ermöglichen. Es bietet:
- einheitliches Datenformat für alle relevanten Protokolle, damit die automatisierte Datenverarbeitung funktioniert
- Kompatibilität mit Timesketch, einem etablierten Tool zur Timeline-basierten Analyse
- Lauffähigkeit auf jedem Betriebssystem: Viele Microsoft Tools lassen sich nur vollumfänglich auf einem Windows Betriebssystem ausführen. Unser Tool funktioniert auch zuverlässig unter Linux und MacOS und benutzt dabei hauptsächlich die Graph-API von Microsoft, um die Daten schnell und fehlerfrei zu exportieren.
Durch diese Vorgehensweise lassen sich die Protokolle aus Microsoft 365 mit hostforensischen Daten verknüpfen und in einem einheitlichen, nachvollziehbaren Zeitverlauf analysieren. Das ermöglicht eine deutlich präzisere Rekonstruktion komplexer Vorfälle und bietet insbesondere dann einen wesentlichen Vorteil, wenn sich ein Angriff über mehrere Cloud‑Anbieter oder hybride Umgebungen erstreckt.
Das Tool haben wir ebenfalls bei GitHub veröffentlicht:
https://github.com/SVA-Cybersecurity/magic
Empfehlungen für Unternehmen: So schützen Sie sich vor BEC
- Phishing-resistente Authentifizierung
Die meisten BEC-Vorfälle beginnen mit dem Diebstahl von Zugangsdaten. Technologien wie Hardware-Token, Windows Hello for Business oder zertifikatsbasierte Anmeldung machen AiTM-Phishing nahezu wirkungslos und sind mittlerweile technisch im gesamten Unternehmen jeder Art mit vertretbarem Aufwand implementierbar.
- Monitoring und Detektion
Microsoft stellt mit den entsprechenden Lizenzen leistungsfähige Überwachungs- und Sicherheitsfunktionen bereit. Ein Security Operations Center oder ein Managed‑Detection‑and‑Response‑Dienst kann sicherheitsrelevante Ereignisse frühzeitig erkennen und unmittelbar darauf reagieren. Dies ist besonders wichtig für Unternehmen, die keine durchgehende 24/7‑Überwachung im eigenen Haus gewährleisten können.
- Organisatorische Schutzmaßnahmen
Nicht alle Risiken lassen sich allein durch technische Maßnahmen verhindern. Die Verifizierung von Rechnungen und insbesondere die Kontrolle neuer Bankverbindungen müssen organisatorisch klar geregelt sein. Dazu gehören definierte Prozesse, etablierte Kommunikationswege und das Vier‑Augen‑Prinzip, um Manipulationen zuverlässig zu erkennen und zu verhindern.
Fazit: Business E-Mail Compromise (BEC) verhindern – mit Microsoft-365-Schutz, Prozessen und schneller Incident Response
Business E-Mail Compromise ist längst mehr als „nur“ eine betrügerische E-Mail: Moderne BEC-Angriffe kombinieren Social Engineering, kompromittierte Geschäftspartner und technische Methoden wie AiTM-Phishing, um Zahlungsprozesse zu manipulieren und sensible Daten abzugreifen. Entscheidend ist daher ein ganzheitlicher Schutzansatz: Phishing-resistente Authentifizierung, kontinuierliches Monitoring in Microsoft 365 sowie klare organisatorische Kontrollen (z. B. Vier-Augen-Prinzip bei Bankdatenänderungen). Kommt es dennoch zu einem Vorfall, zählt jede Stunde: Eine schnelle Incident Response und eine saubere forensische Analyse sind der Schlüssel, um Persistenzmechanismen zu entfernen, den Schaden einzugrenzen und die Angriffskette nachvollziehbar zu rekonstruieren.
Sie vermuten einen BEC-Vorfall oder möchten Ihre Microsoft-365-Umgebung präventiv absichern? Erfahren Sie mehr zu den Cyber Security Lösungen von SVA: https://www.sva.de/de/solutions/cyber-security
Transparenzhinweis: Dieser Beitrag wurde von einem Fachexperten erstellt. KI‑Tools wurden ausschließlich zur Rechercheunterstützung und sprachlichen Optimierung verwendet.