Cyberangriffe auf Unternehmen: Wie Mails Millionenschäden verursachen

Business Email Compromise ist die dominierende Angriffsform im Mittelstand – mit konsistent hohen Anteilen in ganz Europa. © Eye Security

Eine fehlende Zahlung. Eine kurze E-Mail mit neuen Bankdaten. Und ein Prozess, der scheinbar reibungslos funktioniert. Was wie ein alltäglicher Vorgang in der Finanzabteilung beginnt, kann sich innerhalb weniger Wochen zu einem Schaden in Millionenhöhe entwickeln, ohne dass jemand Verdacht schöpft.

Business Email Compromise (BEC) zählt heute zu den gravierendsten Cyberbedrohungen für Unternehmen. Laut einer aktuellen Analyse des europäischen Cybersecurity-Anbieters Eye Security entfallen rund 81 Prozent aller untersuchten Sicherheitsvorfälle auf Business Email Compromise. Anders als klassische Cyberangriffe zielt BEC nicht primär auf technische Schwachstellen ab, sondern auf Vertrauen, Prozesse und menschliches Verhalten.

Der Angriff beginnt nicht mit Technik – sondern mit Vertrauen

In einem aktuellen Fall blieb ein Angreifer über mehrere Wochen unentdeckt in einem E-Mail-Konto eines Finanzverantwortlichen. Ausgangspunkt war eine Phishing-Mail, über die Zugangsdaten abgegriffen wurden. Der Zugriff selbst erfolgte dabei nicht über auffällige Malware oder ungewöhnliche Aktivitäten, sondern über legitime Anmeldeprozesse.

Was folgte, war kein schneller Angriff, sondern eine gezielte Beobachtungsphase. Der Angreifer analysierte interne Abläufe, verstand Zahlungsprozesse und identifizierte typische Kommunikationsmuster. Erst danach griff er aktiv ein. Mit gefälschten E-Mails, die kaum von echten zu unterscheiden waren.

Das Ergebnis: Mehrere Zahlungen wurden auf manipulierte Bankverbindungen umgeleitet. Der Gesamtschaden lag bei rund einer Million Euro.

Unsichtbare Angriffe in vertrauten Systemen

Der Fall ist kein Einzelfall, sondern symptomatisch für eine grundlegende Veränderung in der Cybersicherheitslandschaft. Angreifer bewegen sich zunehmend innerhalb legitimer Systeme – insbesondere in Cloud-Umgebungen wie Microsoft 365, auf die mehr als 99 Prozent der untersuchten BEC-Vorfälle entfallen.

Dabei nutzen die Angreifer gestohlene Zugangsdaten oder bestehende Sitzungen, um Sicherheitsmechanismen zu umgehen. Selbst Multi-Faktor-Authentifizierung bietet keinen verlässlichen Schutz mehr: In rund 79 Prozent der Fälle gelingt es Angreifern, diese zu umgehen, etwa durch sogenannte Adversary-in-the-Middle-Techniken.

Das eigentliche Problem liegt damit nicht in fehlenden Schutzmechanismen, sondern in der Tatsache, dass Angriffe innerhalb vertrauter Strukturen stattfinden und daher kaum auffallen.

Wenn mehrere Angreifer gleichzeitig im System sind

Wie komplex solche Angriffe inzwischen geworden sind, zeigt ein weiterer Fall: Hier wurde ein einzelnes E-Mail-Konto zeitgleich von zwei voneinander unabhängigen Angreifern kompromittiert.

Während einer der Angreifer sensible Daten aus dem Postfach extrahierte, nutzte der andere den Zugang, um Phishing-Mails an interne Kontakte zu versenden. Beide agierten unabhängig voneinander, ohne sich gegenseitig zu stören und blieben über Wochen hinweg unentdeckt.

Für Unternehmen bedeutet das eine neue Dimension der Bedrohung: Angriffe sind nicht mehr linear, sondern parallel, dynamisch und schwer zuzuordnen.

Die Daten zeigen: Nicht Prävention, sondern schnelle Erkennung entscheidet über das Ausmaß des Schadens. © Eye Security

Zeit ist der entscheidende Faktor

Wie groß der Schaden eines BEC-Angriffs ausfällt, hängt maßgeblich davon ab, wie schnell er erkannt wird. Laut der Analyse von Eye Security beträgt die durchschnittliche Verweildauer von Angreifern in überwachten IT-Umgebungen nur wenige Minuten. Ohne kontinuierliches Monitoring bleiben sie hingegen im Median rund 18 Tage unentdeckt.

Diese Zeitspanne reicht aus, um:

• interne Prozesse zu analysieren
• Vertrauen aufzubauen
• gezielte Manipulationen vorzubereiten
• und schließlich finanzielle Transaktionen umzuleiten

Je länger ein Angreifer unentdeckt bleibt, desto größer wird der potenzielle Schaden, sowohl finanziell als auch reputativ.

Warum Sichtbarkeit zur zentralen Verteidigung wird

Viele Unternehmen investieren weiterhin primär in präventive Maßnahmen. Etwa E-Mail-Filter oder Authentifizierungsverfahren. Doch BEC zeigt, dass Prävention allein nicht ausreicht. Entscheidend ist die Fähigkeit, Angriffe auch dann zu erkennen, wenn sie bereits innerhalb der eigenen Systeme stattfinden.

Genau hier setzt ein Ansatz an, der zunehmend an Bedeutung gewinnt: kontinuierliche Überwachung von Identitäten und Aktivitäten in Cloud-Umgebungen, kombiniert mit schneller Reaktionsfähigkeit im Ernstfall. Führende Ansätze im Markt kombinieren ein integriertes Modell aus Managed Detection and Response (MDR), Incident Response und Cyberversicherung, um nicht nur Angriffe frühzeitig sichtbar zu machen, sondern auch deren Auswirkungen operativ zu begrenzen.

Der Fokus verschiebt sich damit von der reinen Abwehr hin zu einer kontinuierlichen Überwachung und schnellen Reaktionsfähigkeit. Entscheidend ist nicht mehr allein, Angriffe zu verhindern, sondern sie frühzeitig sichtbar zu machen und konsequent zu begrenzen.

BEC ist kein E-Mail-Problem, sondern ein Identitäts- und Prozessproblem

Die wachsende Bedeutung von Business Email Compromise zeigt vor allem eines: Cybersicherheit ist längst kein reines IT-Thema mehr. Sie betrifft zentrale Geschäftsprozesse, finanzielle Entscheidungen und die Organisation von Vertrauen innerhalb von Unternehmen.

Angreifer müssen heute keine Systeme mehr „hacken“. Es reicht, sich in bestehende Abläufe einzufügen und diese gezielt zu manipulieren, oft unbemerkt über Wochen hinweg. Für Unternehmen bedeutet das einen Perspektivwechsel: Resilienz entsteht nicht allein durch Technik, sondern durch Transparenz, klare Prozesse und die Fähigkeit, im Ernstfall schnell zu reagieren. Denn am Ende entscheidet nicht die Komplexität des Angriffs über den Schaden, sondern wie gut ein Unternehmen darauf vorbereitet ist, ihn rechtzeitig zu erkennen und zu stoppen.

Impressum:

Eye Security GmbH
Tempelhofer Ufer 1
10961 Berlin

T: 0203 6688 1900
@: info@eyesecurity.de 
www.eye.security/de