So verhindern Sie Business Email Compromise (BEC) im Jahr 2026
Die Kurzfassung
Um Business Email Compromise zu verhindern, setzen Sie DMARC mit p=reject durch, sodass empfangende Server jede E-Mail ablehnen, die die Authentifizierung nicht besteht. Ergänzen Sie dies durch DNS-Überwachung, Erkennung von Markenimitationen, Zahlungskontrollen und Schulungen für Mitarbeitende. DMARC auf Enforcement-Level hindert Angreifer daran, E-Mails zu verschicken, die scheinbar von Ihrer exakten Domain stammen – das ist die Grundlage der meisten BECs. Die übrigen Schichten schließen die Lücken, die nach der Unterbindung des exakten Domain-Spoofings bestehen bleiben.
Schnellschutz-Leitfaden
Was Sie verhindern | Die Maßnahme, die es stoppt | Passendes Red Sift Produkt |
Exaktes Domain-Spoofing | DMARC mit p=reject (mit SPF und DKIM) | Red Sift OnDMARC |
Lookalike-Domain-Imitation | Erkennung und Abschaltung von Lookalikes | Red Sift Brand Trust |
Subdomain-Übernahmen, verwaiste DNS-Einträge, Missbrauch geparkter Domains | Ständige DNS-Überwachung | DNS Guardian (über OnDMARC) |
Fehlkonfigurationen, bevor Angreifer sie entdecken | KI-optimierte Sicherheitskorrektur | Red Sift Radar (über OnDMARC) |
Was ist Business Email Compromise?
Business Email Compromise (BEC) ist ein Cyberangriff, bei dem Kriminelle sich per E-Mail als Führungskraft, Lieferant oder vertrauenswürdiger Partner ausgeben, um Mitarbeitende dazu zu bringen, Geld zu überweisen, Zahlungsdaten zu ändern oder sensible Daten preiszugeben. Im Gegensatz zu malwarebasierten Attacken enthalten BEC-E-Mails keine schädlichen Anhänge oder Links und werden deshalb von herkömmlichen Sicherheitsfiltern nicht erkannt. Sie nutzen Psychologie, Vertrauen und Dringlichkeit aus – nicht eine technische Schwachstelle.
Im Jahr 2025 verursachte BEC laut 3,05 Milliarden US-Dollar gemeldete Verluste und zählt damit zu den teuersten Cybercrime-Kategorien [1]. Der wirtschaftliche Anreiz ist simpel: Schon eine erfolgreiche Überweisung bringt Angreifern bares Geld für den Aufwand einer gut geschriebenen E-Mail – und die Betroffenen tun dabei exakt das, was zu ihrem Arbeitsalltag gehört.
Warum sind BEC-Angriffe so gefährlich?
Im Gegensatz zu klassischen, malwarebasierten Angriffen setzen BEC-Betrüger auf menschliche Schwächen statt auf technische Lücken. Sie analysieren Hierarchien, Kommunikationsmuster und Geschäftsprozesse genau, um glaubwürdige Imitationen zu erstellen, die konventionelle Sicherheitskontrollen umgehen.
BEC-Angriffe sind besonders gefährlich, weil sie an den üblichen Abwehrmechanismen vorbeigehen.
Diese Angriffe:
- Enthalten keine schädlichen Anhänge oder Links und wirken daher legitim – und passieren herkömmliche Filter
- Nutzen Vertrauen, indem sie Führungskräfte, Lieferanten oder bekannte Partner imitieren
- Zielen auf wertvolle Momente wie Überweisungen, Rechnungszahlungen oder Datenabfragen
- Arbeiten mit Social Engineering statt technischen Hinweisen, wodurch sie nachträglich schwer aufzudecken sind
BEC, E-Mail-Spoofing und Imitation: Wie sie zusammenhängen
E-Mail-Spoofing und E-Mail-Imitation sind die Methoden. Business Email Compromise ist das Ziel, das sie erreichen sollen. Die Begriffe sauber zu unterscheiden ist wichtig, denn jede Herangehensweise erfordert einen anderen Schutz.
E-Mail-Spoofing ist das Fälschen der "Von"-Adresse, sodass eine Nachricht scheinbar von einer Domain stammt, die dem Angreifer nicht gehört. Wird Ihre exakte Domain (yourcompany.com) gefälscht, ist die Mail von einer echten nicht zu unterscheiden – es sei denn, Sie veröffentlichen eine DMARC-Policy, die Empfänger anweist, sie auszuschließen.
E-Mail-Imitation ist der weitere Begriff. Sie umfasst das exakte Domain-Spoofing, aber auch Lookalike-Domains (yourc0mpany.com), Namens-Tricks und kompromittierte Konten. Dagegen helfen mehrere Schutzmaßnahmen.
Die Praxis: DMARC mit p=reject verhindert exaktes Domain-Spoofing vollständig, indem alle nicht authentifizierten Mails abgelehnt werden. Gegen Lookalike-Imitation hilft nur kontinuierliches Marken-Monitoring und die rechtzeitige Abschaltung nach außen ähnlicher Domains. Bei Angriffen über kompromittierte Konten helfen Multi-Faktor-Authentifizierung und zusätzliche Filter. Ein vollständiger BEC-Schutz umfasst alle drei Ebenen – meistens decken Firmen aber nur eine ab.
Die aktuelle BEC-Bedrohungslage
Zahlen zeichnen ein drastisches Bild der wachsenden BEC-Bedrohung:
Finanzielle Auswirkung
- BEC-Angriffe kosten im Schnitt 4,89 Millionen US-Dollar pro Vorfall (zweitteuerste Art von Datenpannen) und machten 2024 73 % aller gemeldeten Cyber-Vorfälle aus [2]
- Die durchschnittlich angeforderte Überweisungssumme durch einen BEC-Angriff lag Anfang 2025 bei 24.586 US-Dollar
- In den vergangenen drei Jahren wurden allein in den USA fast 8,5 Milliarden US-Dollar BEC-Schäden gemeldet [3]
Häufigkeit der Angriffe
- BEC-Angriffe stiegen bis März 2025 um 30 % gegenüber dem Vorjahr [2]
- BEC macht über 50 % aller Social-Engineering-Vorfälle aus
- Auch kleine Unternehmen (< 1.000 Mitarbeitende) haben eine 70 % wöchentliche Wahrscheinlichkeit, mindestens einen BEC-Versuch zu erleben
Sich entwickelnde Taktiken
- BEC-Angriffe per Überweisung nahmen um 24 % gegenüber dem Vorquartal zu [4]
- Angreifer nutzen zunehmend KI-Tools zur Erstellung raffinierter, überzeugender Betrugsnachrichten [1]
- Vendor Email Compromise (VEC) legte im ersten Halbjahr 2024 um 66 % zu [5]
Die fünf Typen von BEC-Angriffen
Das FBI unterscheidet fünf gängige BEC-Spielarten. Wer weiß, welche auf die eigenen Teams zielen, kann Prävention und Schulung gezielt ausrichten.
1. CEO-Betrug
Angreifer imitieren eine Führungskraft und fordern unter Zeitdruck eine dringende Überweisung oder sensible Infos. Autorität und Eile sollen die üblichen Kontrollen aushebeln.
2. Kontenübernahme
Kriminelle verschaffen sich Zugriff auf das echte E-Mail-Konto eines Mitarbeitenden und bitten um Zahlungen an Lieferanten oder die Umlenkung von Geld. Da die Mail aus einem echten Konto stammt, ist sie schwer zu erkennen und besteht die Authentifizierung häufig problemlos.
3. Scheinrechnungstricks
Betrüger geben sich als Lieferant aus und legen eine Fake-Rechnung vor oder fordern geänderte Zahlungsdaten an. Die Buchhaltung ist das typische Ziel – und der Routinealltag spielt Angreifern in die Hände.
4. Anwalts-Imitation
Täter geben sich als Anwalt oder Rechtsvertretung aus, um vor allem unerfahrene Mitarbeitende nicht stutzig werden zu lassen. Häufig geschieht das im Umfeld von Fusionen, Übernahmen oder anderen sensiblen Ereignissen.
5. Datendiebstahl
Ziel ist die Personal- oder Finanzabteilung: Sie sollen persönliche Informationen über Führungskräfte oder Mitarbeitende freigeben, mit denen dann weitere Angriffe erfolgen oder die verkauft werden.
So schützen Sie sich vor Business Email Compromise
Die Abwehr von Business Email Compromise beruht auf mehreren Ebenen – vom Ursprung des Angriffs nach außen. Keine Maßnahme verhindert jede Art von Imitation, ein starker Schutz verbindet deshalb E-Mail-Authentifizierung, DNS-Hygiene, Markenüberwachung, Zahlungsprozesse und Menschen.
Ebene 1: Exaktes Domain-Spoofing mit DMARC im Enforcement-Modus stoppen
DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist die Maßnahme, die der BEC-Grundlage den Boden entzieht. Mit der Policy p=reject weisen Sie Empfängerserver an, nicht authentifizierte E-Mails abzulehnen, sodass Angreifer keine Mails von Ihrer exakten Domain versenden können.
Drei Schritte führen ans Ziel: SPF und DKIM veröffentlichen, testen und auf Übereinstimmung prüfen. DMARC mit p=none starten, um alle Versender zu sehen. Schrittweise auf p=quarantine und dann p=reject hochstufen, sobald alle legitimen Absender korrekt authentifizieren. Nur p=quarantine reicht nicht – betrügerische Mails landen da häufig noch im Spamordner, wo sie dennoch gefunden und bearbeitet werden könnten.
Red Sift OnDMARC automatisiert die Knackpunkte, die viele Projekte aufhalten, und ermöglicht Organisationen Vollumsetzung binnen 6–8 Wochen. Rein manuelle DMARC-Projekte ziehen sich oft sechs Monate oder länger – viele werden nie abgeschlossen.
Ebene 2: Lookalike-Imitation mit Markenüberwachung stoppen
Ist Ihre exakte Domain durch DMARC gesichert, wechseln Angreifer zu ähnlichen Domains. Hier hilft DMARC allein nicht, da es sich um fremde Domains handelt. Red Sift Brand Trust erkennt neu angemeldete Lookalikes, bewertet deren Risiko anhand von Logos, Seiteninhalten etc. und gibt diese rasch zur Abschaltung frei, bevor sie Kunden täuschen können.
Ebene 3: DNS-Schwachstellen schließen
Auch vergessene DNS-Konfigurationen sind ein Ziel für Angreifer. Diese drei Lücken sind besonders kritisch:
- Geparkte Domains: Inaktive Domains haben oft keinen DMARC-Eintrag und lassen sich leicht fälschen. Setzen Sie auf allen Domains, egal ob aktiv oder nicht, DMARC p=reject.
- Verwaiste DNS-Einträge: Ein DNS-Eintrag (meist CNAME), der auf einen Dienst verweist, den Sie nicht mehr kontrollieren – dieser kann vom Angreifer übernommen und für authentifizierten Mailversand oder Hosting missbraucht werden.
- Subdomain-Übernahme: Die SubdoMailing-Kampagne 2024 übernahm tausende Subdomains bekannter Marken genau über diese Lücken – die Angriffe bestanden SPF, DKIM und sogar DMARC, weil sie von legitimer Infrastruktur verschickt wurden.
DNS Guardian (Teil von OnDMARC) überwacht Ihre DNS-Einträge dauerhaft auf inaktive Subdomains, verwaiste CNAMEs und Übernahmerisiken. Eine umfassende Anleitung zu domänenübergreifender Verteidigung lesen Sie im Leitfaden zur Verteidigung gegen Marken-Imitation.
Ebene 4: Geldflüsse verifizieren
Authentifizierung verhindert die Imitation. Prozesse verhindern Verluste auch dann, wenn Angreifer z.B. über ein kompromittiertes Konto durchkommen. Erfordern Sie für jede Änderung von Bankdaten oder Überweisung eine fremde, unabhängige Verifizierung (z.B. Rückruf an eine bekannte Nummer). Ab einer bestimmten Summe sollte ein Vier-Augen-Prinzip greifen. Sorgen Sie für klar geregelte Eskalationsketten, damit Auffälligkeiten geprüft werden können, ohne den Geschäftsbetrieb übermäßig zu behindern.
Ebene 5: Die Mitarbeitenden im Fokus schulen
Finanzen, HR und Assistenz sind Hauptzielgruppen – trainieren Sie an realistischen Szenarien, nicht nur mit Standardfolien. Führen Sie Phishing-Simulationen durch. Machen Sie das Melden verdächtiger Mails unkompliziert – und sorgen Sie dafür, dass niemand für einen Fehlalarm belangt wird.
So prüfen Sie, ob Ihre Domain gefälscht wird
Um herauszufinden, ob Ihre Domain gefälscht wird, machen Sie einen kostenlosen DMARC-Check mit Red Sift Investigate und prüfen Ihre DMARC-Berichte auf unbekannte Absender. Der Check dauert ca. 30 Sekunden und zeigt, ob SPF, DKIM und DMARC eingerichtet sind und Ihre Policy tatsächlich nicht authentifizierte Mails blockiert.
Die DMARC-Sammelberichte sind die wichtigste Quelle: Sie listen jeden Absender auf, der in Ihrem Namen verschickt. Unbekannte Quellen sind entweder unregistrierte Schatten-IT oder Angreifer. Überwachungstools wandeln die Rohdaten in eine verständliche Übersicht um, damit Sie gezielt handeln können. Eine Schritt-für-Schritt-Anleitung finden Sie im Leitfaden zur Erkennung und Bekämpfung von E-Mail-Spoofing.
So stoppt Red Sift OnDMARC BEC am Ursprung
Red Sift OnDMARC ist eine automatisierte DMARC-Anwendung, mit der Organisationen schnell zur Durchsetzung kommen und dort bleiben. Sie verhindert BEC, indem sie Angreifern den einfachsten Weg nimmt – den Versand von E-Mails über Ihre echte Domain.
- Schneller Weg zur Durchsetzung: OnDMARC bringt Sie innerhalb von 6–8 Wochen zu p=reject, indem Sammelberichte in ein übersichtliches Dashboard umgewandelt werden.
- Dynamic Services: SPF, DKIM, DMARC und MTA-STS in einer Oberfläche verwalten – das verhindert Konfigurationsfehler und löst das SPF-10-Lookup-Limit ohne händisches Editieren.
- DNS Guardian: Ständige DNS-Überwachung erkennt Subdomain-Übernahmen, verwaiste Einträge und SubdoMailing-Missbrauch, bevor Angreifer zuschlagen können.
- Radar: KI-gestützte Analysen, die Fehlkonfigurationen und Lücken erkennen, bevor daraus ein Vorfall wird.
DMARC oder Secure Email Gateway: Was stoppt BEC?
Das sorgt bei vielen Teams für Unsicherheit – daher ist Präzision wichtig. DMARC und Secure Email Gateways lösen jeweils unterschiedliche Teile des Problems.
DMARC (E-Mail-Authentifizierung) | Secure Email Gateway (SEG) | |
Was schützt es? | Die ausgehende Identität Ihrer Domain | Ihren eingehenden Posteingang |
Wo schützt es? | An Empfängerservern weltweit | An Ihrer Mail-Peripherie |
Stoppt exaktes Domain-Spoofing Ihrer Domain | Ja, bei p=reject | Nein |
Stoppt Lookalike-Domains | Nein (Markenmonitoring-Tool erforderlich) | Teilweise (häufig problematisch) |
Stoppt eingehende Schadsoftware und Links | Nein | Ja |
Rolle bei BEC | Entfernt die Imitation an der Quelle (schützt Ihre Marke und Ihre Kunden) | Filtert, was bei Ihren Mitarbeitenden im Posteingang landet |
Ein Gateway filtert schädliche Mails, die in Ihrem Posteingang landen. DMARC verhindert, dass Angreifer Ihre Domain nutzen, um allen anderen – inklusive Ihrer Kunden und Partner – zu schaden, die Ihr Gateway nie sehen. Für BEC, bei dem Ihre Marke imitiert wird, ist DMARC mit p=reject die Maßnahme, die die Attacke an der Quelle entfernt. Beide Ansätze ergänzen sich – sie ersetzen sich nicht gegenseitig.
BEC-Prävention nach Branche
Branchen stehen unter jeweils anderem BEC-Druck – deshalb verschieben sich die Schwerpunkte.
- Finanzdienstleister: Hochwertige Ziele mit strengen Verpflichtungen in der Betrugsprävention – hier hat die Verifikation jeder Zahlung Priorität.
- Gesundheitswesen: Ziel von Betrug und Datendiebstahl zugleich, oft in weit verzweigten Netzen von Einrichtungen und Dienstleistern.
- Industrie: Im Fokus über komplexe Lieferantennetze und hohe Rechnungswerte; Schwachstelle ist die Kommunikation in der Lieferkette.
- Rechtsberatung: Verwalten vertrauliche Klientendaten und bewegen Gelder der Mandanten – der Schutz vertraulicher Kommunikation ist genauso wichtig wie das Geld selbst.
So messen Sie den Erfolg: BEC-Präventionsmetriken
Diese Kennzahlen zeigen, ob Ihre Abwehr wirklich funktioniert, nicht nur installiert ist.
Technische Metriken
- Rate der DMARC-Policy-Durchsetzung (Ziel: 100 % aller Domains mit p=reject)
- Authentifizierungs-Erfolgsrate für legitime Absender
- Rückgang der Zustellung nicht authentifizierter Mails
Betriebliche Metriken
- Festgestellte und geblockte BEC-Versuche
- Meldungsquote bei verdächtigen E-Mails durch Mitarbeitende
- Dauer zur Verifikation und Verarbeitung legitimer Zahlungsanfragen
Geschäftliche Metriken
- Rückgang der Betrugsverluste
- Verbesserte Zustellbarkeit von E-Mails (als Nebeneffekt sauberer Authentifizierung)
- Eingesparte Zeit durch automatisiertes Authentifizierungsmanagement
Wie BEC sich weiterentwickelt
BEC wandelt sich laufend – und die Abwehr muss mithalten.
- KI-gestützte Angriffe: Bei Betrügern kommen Textgeneratoren für perfekte Imitationen und Voice-Cloning für Rückrufe zum Einsatz. Deepfake-Video wird bei hochwertigen Angriffen bereits eingesetzt.
- Angriffe über mehrere Kanäle: BEC breitet sich über E-Mail hinaus auf SMS, Telefon und Kollaborationsplattformen aus. Die Verteidigung muss mitgehen.
- Angriffe auf die Lieferkette: Vendor Email Compromise nimmt stetig zu; Angreifer missbrauchen Partnerbeziehungen, um Ihre direkten Abwehrmaßnahmen zu umgehen. Fordern Sie DMARC auch bei Ihren Partnern ein.
Ihr BEC-Präventionsplan
Mit diesem Ablauf schützen Sie sich effektiv – ohne sich zu verzetteln.
Woche 1: Status erfassen
- Führen Sie einen kostenlosen DMARC-Check mit Investigate durch und halten Sie alle Ihre Versender fest
- Richten Sie sofort – noch vor allen technischen Maßnahmen – Verifikationen für Überweisungen außerhalb des gewohnten Kanals ein
- Schulen Sie Finanz-, HR- und Assistenz-Teams zu den fünf BEC-Typen
Monat 1–2: Die Domain absichern
- Setzen Sie OnDMARC ein und starten Sie den Weg Richtung Enforcement
- Erreichen Sie p=reject auf Ihrer Hauptdomain und veröffentlichen Sie DMARC auch auf geparkten Domains
- Starten Sie Phishing-Simulationen und etablieren Sie einen klaren Meldeweg
Monat 3–6: Den Schutz komplettieren
- Schützen Sie alle Subdomains und schalten Sie DNS-Überwachung ein
- Nehmen Sie Lookalike-Erkennung mit Brand Trust hinzu
- Führen Sie BIMI nach der Durchsetzung ein – das steigert Zustellbarkeit und Markenbekanntheit zusätzlich
Quellen
[1] FBI IC3 Report. „FBI Internet Crime Report 2025.“ https://www.ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
[2] Hoxhunt. „Business Email Compromise Statistics 2025 (+Prevention Guide).“ https://hoxhunt.com/blog/business-email-compromise-statistics
[3] NACHA. „FBI's IC3 Finds Almost $8.5 Billion Lost to Business Email Compromise in Last Three Years.“ https://www.nacha.org/news/fbis-ic3-finds-almost-85-billion-lost-business-email-compromise-last-three-years
[4] Trans Union. „Rising Incidents of BEC and Wire Fraud: Tales from the Front Lines.“ https://www.transunion.com/blog/bec-wire-fraud-incidents
[5] Business Email Compromise Statistics https://hoxhunt.com/blog/business-email-compromise-statistics
Ist Ihre Organisation gegen Business Email Compromise geschützt?




