Business Email Compromise (BEC) ist nach wie vor eine der effektivsten und schädlichsten Techniken der Internetkriminalität. Im Gegensatz zu Ransomware oder Malware-gesteuerten Angriffen beruht BEC nicht auf Exploits oder bösartigen Nutzdaten. Er setzt auf Menschen, Vertrauen und routinemäßige Geschäftsprozesse. Genau deshalb sind sie auch in Unternehmen mit ausgereiften technischen Sicherheitskontrollen weiterhin erfolgreich.
Moderne BEC-Angriffe haben sich weit über einfache Phishing-E-Mails hinaus entwickelt. Angreifer zielen nun auf Identitäten ab, kapern Live-Sitzungen, umgehen die Multi-Faktor-Authentifizierung und bleiben wochen- oder monatelang unbemerkt in Postfächern hängen. In diesem Umfeld reichen herkömmliche Sensibilisierungsmaßnahmen nicht mehr aus. Erforderlich ist ein verwalteter, anpassungsfähiger Ansatz für das Sicherheitsbewusstsein, der sich mit dem Verhalten der Angreifer weiterentwickelt und das Risiko aktiv verringert.
Im Kern handelt es sich bei einem BEC-Angriff um ein identitätsgesteuertes Eindringen mit dem Ziel, legitime Geschäftskommunikation zu manipulieren. Das Ziel des Angreifers ist selten ein unmittelbarer Diebstahl. Stattdessen versuchen sie, Zugang zu vertrauenswürdigen Posteingängen, internen Konversationen und finanziellen Arbeitsabläufen zu erhalten. Mit Hilfe von KI-Tools können Angreifer Phishing-E-Mails und -Kommunikation professionell aussehen lassen und mit Deepfakes Personen täuschen.
Sobald die Angreifer in das Unternehmen eingedrungen sind, beobachten sie, wie das Unternehmen arbeitet. Sie erfahren, wer Zahlungen genehmigt, wie Lieferanten kommunizieren, wie Führungskräfte E-Mails schreiben und welche Prozesse bei Routinetransaktionen befolgt werden. Der letztendliche Betrug ist oft subtil, gut getimt und überzeugend legitim.
Da keine Malware im Spiel ist und die Kommunikation authentisch erscheint, umgeht BEC häufig herkömmliche E-Mail-Sicherheitstools. Deshalb spielen menschliches Verhalten und Bewusstsein eine so entscheidende Rolle, um diese Angriffe frühzeitig zu stoppen.
Heutige BEC-Untersuchungen beginnen zunehmend mit dem Diebstahl von Sitzungen und Token und nicht mit gestohlenen Passwörtern. Adversary-in-the-Middle-Techniken ermöglichen es Angreifern, Authentifizierungsströme in Echtzeit abzufangen und gültige Sitzungs-Tokens zu erbeuten, nachdem sich ein Benutzer erfolgreich angemeldet hat. Dadurch können sie MFA vollständig umgehen, ohne offensichtliche Warnungen auszulösen.
Sobald sie sich authentifiziert haben, agieren die Angreifer wie der Benutzer. Sie greifen auf Mailboxen, Cloud-Dienste, Tools für die Zusammenarbeit und Dateifreigaben zu, ohne sich erneut authentifizieren zu müssen. Dieser Wandel hat den Token- und Sitzungsdiebstahl zum Hauptgrund für moderne BEC-Angriffe gemacht.
Von dort aus bauen Angreifer die Persistenz auf. Es werden Mailbox-Regeln erstellt, um Sicherheitswarnungen zu verbergen oder Antworten umzuleiten. OAuth-Tokens werden missbraucht, um den Zugang auch nach der Änderung von Passwörtern aufrechtzuerhalten. In einigen Fällen werden ruhende oder wenig überwachte Konten als Zwischenstationen genutzt, um den Zugriff weiter auszudehnen.
Diese Techniken ermöglichen es Angreifern, unsichtbar zu bleiben, während sie interne Beziehungen abbilden und ihren nächsten Schritt planen.
BEC-Angreifer haben es selten eilig. Heimlichkeit ist ihr Vorteil. Indem sie sich unauffällig verhalten, verringern sie das Risiko einer Entdeckung und sammeln gleichzeitig Informationen.
Access-Broker und kompromittierte Lieferanten spielen in dieser Phase eine immer wichtigere Rolle. Ein Angreifer kann sich den ersten Zugang über einen Dritten, eine Lieferanten-Mailbox oder ein vergessenes Konto verschaffen, das noch Zugang zu gemeinsamen Systemen hat. Von dort aus bewegen sie sich seitlich und folgen eher Vertrauensketten als technischen Schwachstellen.
Diese Seitwärtsbewegung ist eher sozial als technisch. Angreifer beobachten, wie Menschen kommunizieren, wer wem vertraut und wo die Autorität liegt. Dann nutzen sie diese Beziehungen aus, um den Zugriff zu erweitern oder betrügerische Anfragen zu stellen.
Ohne Einblick in Verhaltensanomalien und von Benutzern gemeldete Bedenken bleiben diese Eindringlinge oft unbemerkt, bis der finanzielle Schaden bereits eingetreten ist.
Einer der am meisten übersehenen Aspekte der BEC-Abwehr ist das Erkennen der Frühindikatoren einer Kompromittierung. Lange bevor Geld bewegt wird, gibt es Verhaltenssignale, die darauf hindeuten, dass etwas nicht in Ordnung ist.
Dazu können ungewöhnliche Anmeldeorte, Änderungen der Mailbox-Regeln, unerwartete Zustimmungen zu OAuth-Anwendungen oder subtile Veränderungen im E-Mail-Ton und -Timing gehören. Angreifer können plötzlich Interesse an Finanzgesprächen, Lieferantendetails oder Genehmigungsabläufen zeigen, die sie zuvor ignoriert haben.
Managed Security Awareness spielt hier eine entscheidende Rolle. Wenn die Benutzer geschult werden, diese Signale zu erkennen, und ermutigt werden, alles Ungewöhnliche zu melden, verlagert sich die Erkennung vom SOC allein auf das gesamte Unternehmen. Durch eine frühzeitige Meldung wird ein möglicherweise schwerwiegender finanzieller Vorfall oft in ein begrenztes Sicherheitsereignis verwandelt.
Die Abwehr von BEC erfordert einen mehrschichtigen Ansatz, der Identitätshärtung, Erkennung, Reaktion und Bewusstsein kombiniert.
Es sollten strenge Richtlinien für den bedingten Zugriff durchgesetzt werden, um den Missbrauch von Sitzungen zu reduzieren, einschließlich Standortkontrollen, Gerätevertrauen und kontinuierliche Authentifizierungsprüfungen. Der Identitätsschutz muss über Passwörter und MFA hinausgehen und die Überwachung von Token und Sitzungsrisiken einschließen.
E-Mail-Sicherheitskontrollen sollten sich auf die Verhaltensanalyse konzentrieren und nicht nur auf das Scannen nach bösartigen Links oder Anhängen. BEC-E-Mails sind oft sauber, kontextabhängig und sozial konstruiert.
Aus der Perspektive des Sicherheitsbetriebs müssen SOC-Teams die Erkennungslogik so abstimmen, dass identitätsbasierte Angriffe und nicht nur Malware erkannt werden. Arbeitsabläufe zur Reaktion auf Vorfälle sollten so gestaltet sein, dass sie die Kompromittierung von Postfächern, den Entzug von Token und die schnelle Eingrenzung von vertrauenswürdigen Konten ermöglichen.
Keine dieser Maßnahmen ist jedoch ohne informierte Benutzer voll wirksam.
Business Email Compromise-Angriffe sind erfolgreich, indem sie Vertrauen missbrauchen. Sobald sich Angreifer Zugang zu einem legitimen Konto verschafft haben, betrachten herkömmliche Sicherheitsmodelle diesen Benutzer und diese Sitzung oft als sicher. Zero Trust stellt diese Annahme in Frage, indem es nach dem Prinzip arbeitet, dass eine Kompromittierung immer erwartet werden sollte.
Für die BEC-Abwehr ist dies von entscheidender Bedeutung. Moderne Angriffe basieren häufig auf Session Hijacking und Token-Diebstahl, wodurch Angreifer MFA umgehen und als vertrauenswürdige Benutzer agieren können. Zero Trust begrenzt den Schaden durch die kontinuierliche Überprüfung von Identität, Gerätestatus, Standort und Verhalten, auch nach der Anmeldung.
Strong Conditional Access, Least-Privilege-Zugriff und kontinuierliche Sitzungsevaluierung erschweren es Angreifern, zu verharren, zu schwenken oder auf sensible Finanzworkflows zuzugreifen. Seitliche Bewegungen werden eingeschränkt, und verdächtiges Verhalten wird früher aufgedeckt. Allerdings ist dies kein Allheilmittel.
Business Email Compromise"-Angriffe sind eine ausgeklügelte Form des Social Engineering, bei der Standardtools oft nicht zum Einsatz kommen, da sie keine offensichtliche Malware oder bösartige Links verwenden. Um diese Angriffe wirksam zu bekämpfen, ist ein unternehmensweiter Ansatz erforderlich, der die Sichtbarkeit von Identitäten und Verhaltensweisen verbessert, die technischen Kontrollen verstärkt und die menschliche Widerstandsfähigkeit erhöht.
BEC-Abwehr beginnt damit, dass man versteht, wie sich Identitäten und Konten verhalten. Integrity360's Managed Detection & Response (MDR) und Managed SIEM Services bieten eine kontinuierliche Überwachung von Netzwerken, Endpunkten, Cloud-Workloads und Protokollen rund um die Uhr, um ungewöhnliche Aktivitäten zu erkennen - einschließlich abnormaler Logins, Änderungen von Mailbox-Regeln oder OAuth-Zustimmungsanomalien, die oft auf kompromittierte Konten hinweisen. Diese Telemetriequellen helfen, verdächtige Muster frühzeitig zu erkennen, lange bevor Geld bewegt wird.
Moderne Bedrohungen bewegen sich schnell, und KI-gestützte Tools helfen dabei, subtile Abweichungen zu erkennen, die auf einen BEC-Angriff hindeuten könnten. Integrity360 MDR und CyberFire MDR nutzen fortschrittliche Analysen und Verhaltensprofile, um Identitätsmissbrauch zu erkennen, während erfahrene Sicherheitsanalysten Warnungen validieren, priorisieren und darauf reagieren - so werden Fehlalarme reduziert und die Erkennungsergebnisse verbessert.
Wenn sich ein Konto unerwartet verhält, ist Schnelligkeit entscheidend. Der MDR von Integrity360 bietet automatische Erkennung und schnelle Reaktion auf Vorfälle im gesamten Unternehmen. Mit Expertenanalysten, die von mehreren Security Operations Centres aus operieren, können verdächtige Aktivitäten schnell eingedämmt werden - einschließlich der Isolierung von Sitzungen, der Sperrung von Token und der Beseitigung kompromittierter Anmeldedaten - wodurch die Verweildauer verkürzt und Angreifer gestoppt werden, bevor sie ihre BEC-Taktiken ausweiten.
Das Verhalten von Angreifern beruht häufig auf sozialen Hinweisen, der Ausnutzung von Vertrauen oder der Manipulation interner Prozesse. Der Managed Security Awareness Service von Integrity360 geht weit über allgemeines E-Learning hinaus und entwickelt fortlaufende, maßgeschneiderte Kampagnen und Simulationen, die reale BEC-Szenarien widerspiegeln. Diese Programme helfen den Mitarbeitern - insbesondere denjenigen, die in Hochrisikobereichen wie dem Finanzwesen oder der Unterstützung von Führungskräften tätig sind -, ausgeklügeltes Social Engineering zu erkennen und potenzielle Probleme frühzeitig zu melden, so dass die Mitarbeiter des Unternehmens zu einer aktiven Verteidigungslinie werden.
Die verwalteten Microsoft-Sicherheitsdienste von Integrity360 helfen Unternehmen, den Wert und den Schutz ihrer bestehenden Microsoft-Investitionen, insbesondere Microsoft Entra ID, Microsoft Defender und Microsoft Sentinel, deutlich zu erhöhen. Wir unterstützen Unternehmen bei der Konfiguration und Optimierung von Richtlinien für bedingten Zugriff, Identitätsschutzkontrollen und MFA-Durchsetzung, um das Risiko von Session-Hijacking und Token-Missbrauch zu verringern, die häufig bei modernen BEC-Angriffen eingesetzt werden.
Identitätsmissbrauch ist das Herzstück von BEC-Angriffen. Integrity360 bietet auch Managed-Identity-Security-Services und -Anleitungen über seine "Defending Identities"-Ressourcen an, um Unternehmen dabei zu helfen, starke Zugangskontrollen, Token-Überwachung und Best Practices für die Identitätshygiene zu implementieren, die Adversary-in-the-Middle-Techniken und Session-Hijacking erschweren.
Eine gute Cyber-Hygiene reduziert das sekundäre Risiko. Integrity360 unterstützt fortlaufendes Patching, sichere Konfiguration und kontinuierliches Management der Bedrohungslage, um sicherzustellen, dass Verteidigungsschichten wie E-Mail-Filterung, Endpunkthärtung und Netzwerksegmentierung optimiert sind. Diese Maßnahmen verringern nicht nur die Wahrscheinlichkeit einer BEC-Eskalation, sondern unterstützen auch eine schnelle Eindämmung, wenn Probleme auftreten.
Durch die Kombination von verbesserter Sichtbarkeit, von Experten validierter Erkennung, automatisierter Reaktion und einem verwalteten Awareness-Programm können Unternehmen mit Integrity360 ihre Verteidigung gegen BEC-Angriffe deutlich verbessern. Dieser mehrschichtige Ansatz berücksichtigt sowohl die technischen Signale, die Angreifer aussenden, als auch die menschlichen Verhaltensweisen, auf die sie abzielen. Wenn Sie mehr darüber erfahren möchten, wie die Experten von Integrity360 Ihrem Unternehmen helfen können, nehmen Sie Kontakt auf.