Business E-Mail Compromise (BEC): Warum E-Mails weiterhin Hauptangriffspunkt sind

Unter Business E-Mail Compromise (BEC) versteht man einen einfachen und äußerst effektiven Cyberangriff, bei dem nicht technische Schwachstellen, sondern menschliches Vertrauen ausgenutzt werden. Im Kern handelt es sich um einen E-Mail-Betrug, der Mitarbeiter zur Herausgabe von Geld, Secrets oder Daten verleiten soll. Durch BEC-Angriffe sollen außerdem digitale Identitäten geraubt werden, um sich im Unternehmensnetz festsetzen zu können.

Die Geschichte der Cybersicherheit zeigt, wie sich Bedrohungen auf unerwartete Weise weiterentwickeln. Wir verbringen so viel Zeit damit, uns gegen komplexe, ausgeklügelte Angriffe zu verteidigen, dass wir oft die offensichtliche Schwachstelle direkt vor unseren Augen übersehen — unser eigenes E-Mail-Konto. Die E-Mail-Kommunikation insgesamt ist zum Einstiegspunkt in digitale Lebenswelten geworden. Das ist keine zukünftige Bedrohung, sondern passiert jeden Tag.

Eine kompromittierte E-Mail könnte das Ende der eigenen, digitalen Identität sein. Ein aktueller Bericht aus dem Jahr 2024 zu Trends in der Cybersicherheit dokumentiert, dass kriminelle Organisationen mittlerweile die geschäftliche E-Mail-Kompromittierung (BEC) als häufigste Angriffsmethode nutzen. Kein Zero-Day-Exploit, sondern eine simple, irreführende E-Mail. Der Bericht konstatiert, dass im vergangenen Jahr 70 Prozent der Unternehmen ins Visier genommen wurden.

Warum sind BEC-Angriffe so erfolgreich? Zum einen liegt es daran, dass Angreifer ihren Fokus von der Ausnutzung von Softwarefehlern auf die Ausnutzung menschlicher Schwächen verlagern. Erschreckende 90 Prozent aller Cyberbedrohungen basieren aktuell auf Social Engineering.

Bei einem BEC-Betrug übernehmen Bedrohungsakteure ein legitimes E-Mail-Konto und geben sich einfach als jemand anderes aus. Als Führungskraft können sie beispielsweise die Finanzabteilung zu Geldüberweisungen verleiten. Es handelt sich dabei nicht nur um einen Einbruch in IT-Systeme — unser Vertrauen wird gebrochen und ausgenutzt. Deshalb ist ein kompromittiertes E-Mail-Konto die perfekte Plattform, um zum Angriff überzugehen. Insbesondere gilt das für elektronische Nachrichten , die glaubwürdig klingen, gut strukturiert sind und sich auf aktuelle Geschäftsaktivitäten beziehen.

Die eigene E-Mail-Adresse ist die am häufigsten verwendete Komponente einer digitalen Identität. Haben Außenstehende unbefugten Zugriff auf den Posteingang, verfügen sie über enorm viel Macht. Das sind die häufigsten Taktiken bei der Überlistung von Nutzern:

1. Ausnutzung E-Mail-basierter Zwei-Faktor-Authentifizierung (2FA)

Moderne Lösungen verlangen im Regelfall, dass ein weiterer Nachweis (Smartphone, E-Mail-Adresse) für ein Zwei-Faktor-Authentifizierungsverfahren (2FA) ausgewählt wird. Ganz ehrlich: Die Nutzung der persönlichen E-Mail-Adresse ist bei diesem Sicherheitsverfahren keine gute Idee. Gelangen Angreifer an das persönliche E-Mail-Passwort, fällt auch der „zweite Faktor“ direkt in ihre Hände. Anwender haben ein falsches Sicherheitsgefühl, ohne eine tatsächliche Sicherheitsverletzung verhindern zu können.

2. Zurücksetzen von Passwörtern („Passwort vergessen“)

Diese praktische Funktion ist der beste Helfer eines Angreifers. Mit Zugriff auf den E-Mail-Datenverkehr lassen sich Bank-, Cloud- oder Social-Media-Zugänge zurücksetzen, indem Unbefugte einfach auf „Passwort vergessen“ klicken. Nach der Übernahme wertvoller Accounts werden neue Kennwörter vergeben und legitime Anwender ausgesperrt. Als Vorsichtsmaßnahme ist daher empfehlenswert, mehrere Sicherheitsebenen für das Zurücksetzen von Passwörtern einzurichten, inklusive „Sicherheitsfragen“ oder Third-Party-Authentication (TPA).

3. Weiterleitung von E-Mails

Einer der hinterhältigsten Tricks ist die Weiterleitung von E-Mails. Clevere Angreifer bleiben unbemerkt im Hintergrund. So melden sie sich beispielsweise an und erstellen in den E-Mail-Einstellungen eine Regel, die jede einzelne E-Mail an eine externe Adresse weiterleitet. Die Hinterleute erhalten damit Echtzeitkopien aller Vorgänge. Aufgrund des breiten Missbrauchs durch Bedrohungsakteure haben einige E-Mail-Dienste diese Funktion entfernt – aber viele Anbieter erlauben diese Konfiguration bis heute.

4. Heimliche E-Mail-Überwachung und langfristiger Zugriff

Eine dauerhafte Präsenz von Bedrohungsakteuren in E-Mail-Konten ist eine überaus effektive Taktik. Durch unbefugte Einwahl und heimliche Überwachung der Kommunikation können Bedrohungsakteure unbemerkt die fremde E-Mail-Korrespondenz durchleuchten. Ziel ist eine langfristige Überwachung – manchmal über Jahre – solange das Passwort unverändert bleibt. Deshalb ist eine regelmäßige Prüfung wichtig, welche Geräte autorisierten Zugriff auf Ihr Postfach haben.

5. Identität des Opfers über dessen Posteingang vortäuschen

Dies ist der Kernbestandteil von BEC-Angriffen: Angreifer können E-Mails in Ihrem Namen versenden und löschen. Das können gefälschte Kundenrechnungen oder betrügerische Überweisungsanfragen an den Chef sein. Aus Sicht des Empfängers kommen solche Anfragen von einer vertrauenswürdigen Quelle, was die Verschleierung krimineller Absichten erleichtert.

Zum Schutz der E-Mail-Korrespondenz empfehlen sich folgende Gewohnheiten beim Einsatz persönlicher E-Mails:

• Nur Korrespondenz: E-Mails dienen dem Versand und Empfang von Informationen. Eine langfristige Nutzung des Posteingangs als Aktenschrank für sensible Dokumente wie Steuererklärungen empfiehlt sich nicht. Alle vertraulichen Informationen sollte nicht in den E-Mail-Archiven lagern. Outlook-Ordner wie „Gesendete Elemente“ und „Gelöschte Elemente“ sollten regelmäßig aufgeräumt werden, um einen langfristigen Abfluss sensibler Daten zu verhindern.
• Keine E-Mails für Zwei-Faktor-Authentifizierung: Bietet ein Dienst Zwei-Faktor-Authentifizierung (2FA) an, ist eine Authenticator-App (wie Google Authenticator oder Okta) oder ein physischer Sicherheitsschlüssel zur Identitätsprüfung ratsam.
• Alarm per MFA: Beim E-Mail-Abruf über ein neues Gerät oder von einem anderen Standort aus sollten die Konten per Multi-Faktor-Authentifizierung geschützt sein. Im Unterschied zum 2FA-Sicherheitsverfahren wird dabei eine Anwendung, ein Mobilgerät oder ein physischer Datenträger eingesetzt. Die Sicherheit sollte an einen solchen Faktor gekoppelt sein und nicht nur aus einem weiteren Passwort bestehen.
• E-Mail-Adresse nicht als Benutzername: Die Vergabe eines einzigartigen Benutzernamens anstatt einer E-Mail-Adresse ist empfehlenswert, wenn eine Drittanbieter-Anwendung das erlaubt. Das erschwert es Angreifern, weitere Konten nach einem Datenleck bei einem anderen Unternehmen zu kompromittieren. Benutzernamen lassen sich nicht so leicht zuordnen wie E-Mail-Adressen.
• Passworthygiene: Ein E-Mail-Passwort sollte einzigartig, lang und komplex sein. Ein Passwortmanager ist dafür das beste Werkzeug. Es versteht sich von selbst, dass Passwörter nicht mehrfach verwendet werden. Man lässt ja auch nicht die Autoschlüssel auf dem Vordersitz eines unverschlossenen Wagens liegen.

Behandeln Sie E-Mail-Konten genauso sorgfältig wie Autoschlüssel oder Portemonnaies. In der digitalen Welt steigt ihr Wert immer mehr — und auch die damit verbundenen Gefahren nehmen zu.

Warten Sie nicht, bis die Kompromittierung elektronischer Post einen umfassenden Datendiebstahl nach sich zieht. Nutzen Sie BeyondTrusts kostenfreies Identity Security Risk Assessment, um Schwachstellen in Ihrer Organisation aufzuspüren.