Business E-Mail Compromise (BEC): So funktioniert der Betrug und so stoppen Sie ihn (DE)

Eine E-Mail trifft vom CEO ein: dringende Überweisung, neues Bankkonto, nicht mit anderen besprechen. Die Adresse sieht korrekt aus, der Tonfall passt, die Anfrage ist nicht ungewöhnlich genug, um sie zu hinterfragen. Zwei Tage später ist das Geld weg – und der CEO hat diese Nachricht nie gesendet.

Business E-Mail Compromise (BEC) ist eine der ertragreichsten Betrugskategorien, die Unternehmen ins Visier nehmen. Keine Malware, kein Exploit – nur eine überzeugende E-Mail und ein Prozess, der schneller abläuft, als jemand Zeit hat, ihn zu überprüfen. Dieser Beitrag behandelt, wie jede wichtige BEC-Variante funktioniert, warum sie effektiv ist und wo die Identitätsinfrastruktur sie stoppt.

Wichtigste Erkenntnisse

• BEC ist Social-Engineering-Betrug: Angreifer imitieren oder kompromittieren eine vertrauenswürdige E-Mail-Identität, um Geld oder Daten umzuleiten.
• Die vier Hauptvarianten – CEO-Betrug, Lieferanten-/Rechnungsbetrug, Gehaltsumleitung und Kontokompromittierung – teilen einen Mechanismus: Sie missbrauchen eine etablierte Vertrauensbeziehung, um normale Kontrollen zu umgehen.
• Der Angriff ist erfolgreich, wenn es kein zweites Signal zur Überprüfung der Anfrage gibt. Eine E-Mail allein reicht nicht aus.
• Didit schließt die Lücken mit E-Mail-Verifizierung (0,03 $) zum Abfangen verdächtiger Absenderadressen, Identitätsprüfungen und KYB zur Authentifizierung von Zahlungsempfängern und Lieferanten vor der Zahlung sowie Transaktionsüberwachung zur Kennzeichnung anomaler Zahlungen in Echtzeit.
• Die Kosten einer einzigen verpassten BEC-Zahlung übersteigen die Kosten aller kombinierten Prüfungen bei Weitem.

Was ist Business E-Mail Compromise (BEC)?

BEC ist ein Betrug, bei dem ein Angreifer eine legitim aussehende E-Mail – durch Spoofing einer Adresse, Registrierung einer ähnlichen Domain oder Übernahme eines echten Kontos – verwendet, um einen Mitarbeiter dazu zu verleiten, Geld zu überweisen, Zahlungsdetails zu ändern oder Anmeldeinformationen preiszugeben.

Das entscheidende Merkmal ist, dass es keine Systeme angreift; es greift Menschen und Prozesse an. Es gibt keine Nutzlast zum Scannen, keine Signatur zum Abgleichen. Eine gut formulierte BEC-E-Mail passiert jeden Spamfilter, weil sie für den Filter eine normale E-Mail ist.

Die wichtigsten Angriffsarten

CEO-Betrug (Executive Impersonation)

Der Angreifer gibt sich als leitender Angestellter – CEO, CFO, Chefsyndikus – aus und sendet eine E-Mail an die Finanzabteilung mit einer dringenden, vertraulichen Anfrage, Gelder auf ein neues Konto zu überweisen. Die Dringlichkeit und Geheimhaltung sind beabsichtigt: Sie verhindern, dass das Ziel die Anfrage mit jemandem bespricht. Der Absender ist normalerweise eine ähnliche Domain (company-corp.com anstelle von company.com) oder ein kompromittiertes echtes Konto, und der Inhalt wird oft anhand des Namens des Ziels und des Zeitplans des Geschäftsführers recherchiert.

Lieferanten- und Rechnungsbetrug

Der Angreifer gibt sich als bekannter Lieferant aus und teilt der Kreditorenbuchhaltung mit, dass sich das Bankkonto des Lieferanten geändert hat, wobei die nächste Zahlung auf das neue Konto umgeleitet wird. Dies ist effektiv, da die Änderung von Bankdaten ein Routinevorgang ist und keine ungewöhnliche Anfrage darstellt. Der Betrug kommt erst ans Licht, wenn der echte Lieferant die überfällige Rechnung nachverfolgt.

Gehaltsumleitung

Der Angreifer gibt sich als Mitarbeiter aus und bittet die Personal- oder Lohnabteilung, die Details für die Direktüberweisung vor dem nächsten Lauf zu ändern. Das Ziel ist der interne Lohnverarbeiter, sodass die Transaktion legitim aussieht, bis der Mitarbeiter ein fehlendes Gehalt meldet.

Kontokompromittierung (ATO-fähiges BEC)

Hier täuscht der Angreifer nicht vor – er besitzt. Ein echtes Konto (oft Finanzen oder Beschaffung) wird über Credential Phishing oder Stuffing übernommen, und BEC-Anfragen kommen von der echten Adresse. Dies ist die am schwierigsten zu fangende Variante, da jedes Authentifizierungssignal besagt, dass der Absender legitim ist.

Warum BEC so kostspielig ist

Überweisungen sind innerhalb des Rückruffrist oft unumkehrbar, sodass das Geld bereits weitergeleitet wurde, wenn die legitime Partei nachhakt. Vertrauen ist vorab etabliert – die Anfrage kommt von Ihrem CEO, Lieferanten oder Mitarbeiter, sodass eine Überprüfung unnötig erscheint. Dringlichkeit und Vertraulichkeit unterdrücken die Kontrollen, die es fangen würden, und ähnliche Domains kosten ein paar Dollar zur Registrierung. Bei einem plausiblen Anzeigenamen schauen die meisten Empfänger nie genauer hin.

Wie Didit hilft

BEC nutzt Lücken in der Identitätsprüfung an drei Punkten in der Zahlungskette aus: wenn ein Lieferant an Bord genommen wird, wenn sich Zahlungsempfängerdetails ändern und wenn eine Transaktion ausgeführt wird. Die Module von Didit decken alle drei ab.

E-Mail-Verifizierung – verdächtige Absender erkennen, bevor Vertrauen aufgebaut wird

Das E-Mail-Verifizierungsmodul von Didit (0,03 $ pro Prüfung) führt OTP-Senden und -Prüfung sowie eine Risikosignalschicht in unter zwei Sekunden aus. Für BEC sind die Risikosignale am wichtigsten:

• Datenleck-Exposition – die Adresse erscheint in bekannten Datenlecks, was darauf hindeutet, dass sie kompromittiert oder gesammelt worden sein könnte
• Erkennung von Wegwerfanbietern – eine temporäre oder Wegwerfdomain, die mit einem für den Angriff erstellten Konto übereinstimmt
• Zustellbarkeit – die Adresse akzeptiert keine E-Mails, sodass der „Lieferant“ senden, aber niemals Antworten empfangen kann
• Domain-Reputation – die Domain ist neu, markiert oder weist ähnliche Merkmale auf

Zurückgegebene Warncodes: BREACHED_EMAIL, DISPOSABLE_EMAIL, UNDELIVERABLE_EMAIL, DUPLICATED_EMAIL. Sie konfigurieren in der Business Console, ob jeder Code „Zustimmen“, „Überprüfen“ oder „Ablehnen“ auslöst. Für die Aufnahme von Lieferanten oder Zahlungsempfängern ist das Einstellen von DISPOSABLE_EMAIL und UNDELIVERABLE_EMAIL auf erzwungene Überprüfung eine einfache, aber effektive Methode. Führen Sie dies bei der Aufnahme eines Lieferanten, der Registrierung eines Zahlungsempfängers oder der Bearbeitung einer Bankdatenänderung aus – nicht nur bei der Anmeldung.

Identitätsprüfung – bestätigen Sie, dass der Anfragende der ist, für den er sich ausgibt

Für Gehaltsumleitungen und interne Änderungsanfragen von Konten fügt eine Verifizierungssitzung ein unwiderlegbares zweites Signal hinzu: Eine kurze Identitätsprüfung bestätigt, dass die Person an der Tastatur der registrierte Mitarbeiter ist.

Der KYC-Kernablauf (ID-Verifizierung + Passive Liveness + Gesichtsabgleich 1:1 + IP-/Geräteanalyse) kostet 0,33 $ pro Sitzung. Die SDKs von Didit decken Web, iOS, Android, React Native und Flutter ab, sodass Sie es mit einem einzigen API-Aufruf in Ihr HR- oder Gehaltsportal einbetten und das Ergebnis über Webhook oder den Decision-Endpunkt lesen können. Das Gerätesignal hilft ebenfalls: Wenn die Sitzung von einem Gerät oder einer IP stammt, die nie mit diesem Mitarbeiter verbunden war, werden DUPLICATED_DEVICE_FINGERPRINT oder EXPECTED_IP_ADDRESS_MISMATCH ausgelöst.

Geschäftsverifizierung (KYB) – Lieferanten vor der ersten Zahlung validieren

Lieferantenrechnungsbetrug funktioniert, weil neue Lieferanten manchmal auf Vertrauen basierend aufgenommen werden – eine E-Mail, ein unterschriebenes PDF, ein Anruf. Die Geschäftsverifizierung (KYB, ab 2,00 $) schließt diese Lücke mit einer programmatischen Kette:

• Registerabfrage – bestätigt, dass das Unternehmen existiert und in seiner Gerichtsbarkeit aktiv ist
• UBO-Extraktion und Funktionärsdaten – zeigt, wer die Entität tatsächlich kontrolliert
• Entitäts-AML-Screening – überprüft das Unternehmen und die Verantwortlichen gegen über 1.300 Sanktions-, PEP- und Negativmedienlisten
• Verknüpfte KYC-Sitzungen – jeder UBO kann eine vollständige individuelle Identitätsprüfung durchlaufen, wodurch die Verbindung zwischen Entität und Mensch geschlossen wird

Ein Lieferant mit einem neu registrierten Unternehmen, einer unzustellbaren E-Mail und keiner Registrierung ist genau das Profil, das BEC-Betreiber erstellen. KYB deckt dies auf, bevor die erste Rechnung bezahlt wird.

Transaktionsüberwachung – anomale Zahlungen in Echtzeit kennzeichnen

Selbst mit starken Onboarding-Kontrollen kann BEC eine bestehende Beziehung kapern: Ein Angreifer, der die E-Mail eines echten Lieferanten kompromittiert, fordert eine Änderung der Bankverbindung für ein echtes Konto an. Der Lieferant ist echt, die Rechnung ist echt – nur das Ziel hat sich geändert.

Die Transaktionsüberwachung (0,02 $ pro Transaktion) erfasst die Verhaltensanomalie: eine Zahlung an ein Konto, das der Lieferant noch nie benutzt hat, einen Betrag außerhalb seines historischen Bereichs oder eine plötzliche Änderung der Häufigkeit. Die Regel-Engine liefert 11 vordefinierte Pakete, die Geschwindigkeit, Betrag, Gegenpartei und Geografie abdecken, und Sie können benutzerdefinierte Regeln hinzufügen. Übereinstimmungen gelangen ins Fallmanagement zur menschlichen Überprüfung, und eine AWAITING_USER-Auto-Remediationsschleife kann Zahlungen mit geringerem Risiko blockieren, bis der ursprüngliche Benutzer eine Identitätsre-Verifizierung abgeschlossen hat.

Anwendungsfälle

Kreditorenbuchhaltung – Lieferanten-Onboarding und Änderungen der Bankverbindung

Führen Sie bei der Aufnahme eines neuen Lieferanten oder der Änderung von Zahlungsdetails eine E-Mail-Verifizierung + KYB durch. Eine Wegwerfdomain oder ein fehlender Registereintrag stoppt den betrügerischen Lieferanten vor jeder Zahlung.

Personalwesen und Gehaltsabrechnung – Änderungen der Mitarbeiter-Gehaltskonten

Verlangen Sie einen KYC-Schritt, wann immer ein Mitarbeiter die Details für die Direktüberweisung ändert. Biometrie + Lebenderkennung bestätigt die Anwesenheit des Mitarbeiters; Geräte- und IP-Signale bestätigen, dass die Sitzung aus einem bekannten Kontext stammt.

Finanzoperationen – Überwachung ausgehender Überweisungen

Führen Sie die Transaktionsüberwachung für ausgehende Zahlungsströme durch. Kennzeichnen Sie erstmalige Gegenparteien, Zahlungen über historischen Schwellenwerten und kürzlich hinzugefügte Konten und leiten Sie diese vor der Ausführung an einen Prüfer weiter.

Plattform- und Marktplatzauszahlungen

Wenn Ihr Produkt Gelder an Unternehmen oder Freiberufler auszahlt, ist BEC-ähnlicher Betrug ein plattformweites Risiko. KYB für Geschäftszahlungsempfänger und E-Mail-Verifizierung bei der Anmeldung sind grundlegende Kontrollen.

So integrieren Sie Didit

Alle Prüfungen laufen innerhalb einer Didit-Verifizierungssitzung ab. Erstellen Sie eine Sitzung mit dem Workflow, der die benötigten Module (E-Mail-Verifizierung, KYC, KYB, Transaktionsüberwachung) umfasst, und lesen Sie dann die Entscheidung über Webhook oder den Decision-Endpunkt.

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "vendor-onboarding-456",
    "callback": "https://yourapp.com/webhook"
  }'

curl 'https://verification.didit.me/v3/session/{sessionId}/decision/' \
  -H 'x-api-key: YOUR_API_KEY'

Vollständige Referenz: E-Mail-Verifizierung · KYB · Transaktionsüberwachung · Datenmodelle.

Häufig gestellte Fragen

Was unterscheidet BEC von gewöhnlichem Phishing?

Phishing stiehlt typischerweise Anmeldeinformationen, indem es einen Benutzer dazu verleitet, diese irgendwo einzugeben. BEC überspringt diesen Schritt – es verwendet eine vertrauenswürdig aussehende E-Mail, um das Ziel direkt dazu zu manipulieren, Geld zu überweisen oder Bankdaten zu ändern. Es müssen keine Anmeldeinformationen gestohlen werden; der Angriff ist erfolgreich, wenn das Ziel einfach kooperiert.

Wie hilft die E-Mail-Verifizierung, wenn der Angreifer ein echtes, kompromittiertes Konto verwendet?

Bei Kontokompromittierungsvarianten ist das Signal der Datenleck-Exposition am relevantesten: Wenn die Adresse in bekannten Datenlecks erscheint, ist dies ein Indikator dafür, dass das Konto übernommen worden sein könnte. Zustellbarkeits- und Domain-Reputationssignale helfen bei ähnlich aussehenden Domains. Kontokompromittierung ist die am schwierigsten zu fangende Variante, die allein auf der Adresse basiert – deshalb ist die Kombination von E-Mail-Prüfungen mit verhaltensbasierter Transaktionsüberwachung wichtig.

Wann sollte KYB für einen neuen Lieferanten erforderlich sein?

Vor der ersten Zahlung. Die Kosten für die Durchführung von KYB (ab 2,00 $ pro Entität) sind im Verhältnis zu einer betrügerischen Überweisung vernachlässigbar. Lösen Sie KYB mindestens immer dann aus, wenn ein neuer Zahlungsempfänger hinzugefügt oder bestehende Bankdaten eines Zahlungsempfängers geändert werden.

Deckt Didit Unternehmen außerhalb der EU und der USA ab?

Ja. Die Geschäftsverifizierung deckt Register in über 220 Ländern und Territorien ab, das AML-Screening über 1.300 globale Listen, und die Transaktionsüberwachung wickelt Fiat- und Kryptowährungen ab. Didit ist der einzige Identitätsanbieter, der von einer Regierung eines EU-Mitgliedstaates (Spaniens Tesoro / Banco de España / SEPBLAC) formell als sicherer als die persönliche Verifizierung bestätigt wurde.

Bereit zum Start?

BEC ist sowohl ein Prozessproblem als auch ein Technologieproblem – aber die richtige Technologie macht die Prozesskontrollen im großen Maßstab praktikabel. Die E-Mail-Verifizierung, Identitätsprüfungen, KYB und Transaktionsüberwachung von Didit bilden genau den Workflow, den Ihre Onboarding- und Zahlungsabläufe benötigen.

• Module kennenlernen → E-Mail-Verifizierung · KYB · Transaktionsüberwachung
• Preise prüfen → didit.me/pricing – E-Mail-Verifizierung 0,03 $, KYB ab 2,00 $, Transaktionsüberwachung 0,02 $/Transaktion
• Kostenlos starten → business.didit.me – 500 kostenlose Verifizierungen/Monat, keine Mindestanforderungen