Zurück zur Übersicht

Business Email Compromise (BEC): Wie KI-gestützte Forensik einen Angriff auf ein deutsches KMU aufdeckte

Business Email Compromise (BEC) Angriff auf deutsches KMU – KI-gestützte Forensik und DKIM-Analyse

Ein Angreifer fälschte die Identität eines Geschäftsführers. Eine Überweisung war fast freigegeben. Wie wir mit KI-gestützter DKIM-Forensik und automatisierter Log-Korrelation den Vorfall rekonstruierten — und was jedes deutsche Unternehmen daraus lernen kann.

Das Wichtigste in Kürze

  • BEC-Angriffe verursachen in Deutschland durchschnittlich 50.000–500.000 € Schaden pro Vorfall — und sind stark im Mittelstand unterrepräsentiert in der öffentlichen Wahrnehmung
  • Im vorliegenden Fall nutzte der Angreifer eine Lookalike-Domain (Tippfehler von 1 Buchstaben) — klassische technische BEC-Methodik
  • KI-gestützte Log-Korrelation verkürzte die Analyse von geschätzten 3 Wochen auf 4 Arbeitstage
  • Fehlende DKIM-Signatur war der forensisch entscheidende Befund — erkennbar in Minuten mit den richtigen Tools
  • DMARC allein schützt nicht: Lookalike-Domains umgehen DMARC vollständig
  • Die ersten 4 Stunden nach Erkennung sind entscheidend für die Schadensminimierung
Definition

Business Email Compromise (BEC) ist eine Form des gezielten Cyberangriffs, bei dem Kriminelle die E-Mail-Identität von Führungskräften, Lieferanten oder Geschäftspartnern fälschen, um Mitarbeiter zur Überweisung von Geldern oder zur Preisgabe vertraulicher Daten zu verleiten. Im Gegensatz zu massenhaftem Phishing sind BEC-Angriffe hochgradig personalisiert — der Angreifer recherchiert vorab Unternehmensstruktur, Ansprechpartner und laufende Prozesse.

2,9 Mrd.
USD BEC-Schaden weltweit 2023 (FBI IC3)
~125K
USD durchschnittlicher Schaden pro BEC-Vorfall
62%
der BEC-Angriffe zielen auf Finanz- und Buchhaltungsabteilungen
4 Std.
Kritisches Zeitfenster für Rückbuchungsversuche

Der Angriff: Was wirklich passierte

Im dritten Quartal 2025 wandte sich die GEnSolutions GmbH (Ich habe mir diesen Namen ausgedacht, um die Daten des Kunden zu schützen) — ein mittelständisches Unternehmen im Bereich Umwelttechnologie mit ca. 85 Mitarbeitern — an NextMittelstand. Auslöser: Eine E-Mail, die scheinbar vom Geschäftsführer kam, hatte die Buchhaltung zur Überweisung von 78.000 Euro an ein „neues Lieferantenkonto” aufgefordert. Die E-Mail war dringend formuliert, enthielt interne Details und wirkte täuschend echt.

Die Buchhaltungsmitarbeiterin stufte die Anfrage zunächst als legitim ein — der Absender war vertraut, die genannten Projekte existierten, der Ton entsprach dem Stil des Geschäftsführers. Erst eine telefonische Rückfrage, initiiert durch einen internen Prozess, deckte die Fälschung auf. Zum Glück war die Überweisung noch nicht freigegeben.

Fallstudie GEnSolutions GmbH — BEC-Forensik 2025
Unternehmenstyp
Mittelstand, Umwelttechnologie, ~85 MA
Angriffstyp
CEO-Fraud via Lookalike-Domain
Gefährdeter Betrag
78.000 Euro
Tatsächlicher Schaden
0 Euro (Angriff erkannt)
Analysedauer
4 Arbeitstage (KI-gestützt)
Forensische Methode
DKIM-Analyse, Log-Korrelation, OSINT

Der Angriff nutzte die Domain gen-solutions.com statt gen-solutions.com — ein einziges fehlendes “n”. Ohne forensische Analyse wäre dieser Unterschied in der Alltagskommunikation nicht aufgefallen.

Technische Analyse: Was die E-Mail verriet

Sobald die betroffene E-Mail sichergestellt war, begann die forensische Untersuchung. Der erste Schritt: Analyse der vollständigen E-Mail-Header — jener Metadaten, die für normale Nutzer unsichtbar sind, aber für Forensiker eine Fülle an Informationen enthalten.

DKIM-Analyse: Das fehlende kryptografische Siegel

DKIM (DomainKeys Identified Mail) ist ein kryptografisches Signaturverfahren. Wenn ein legitimer Mail-Server eine E-Mail versendet, unterschreibt er sie mit einem privaten Schlüssel. Der Empfänger kann die Signatur über einen öffentlichen DNS-Eintrag verifizieren. Bei der fraglichen E-Mail war die DKIM-Signatur schlicht nicht vorhanden.

E-Mail Header Analyse — forensischer Befund (vereinfacht / anonymisiert)
From:     geschaeftsfuehung@gen-solutions.com  # ⚠ Lookalike-Domain!
Reply-To: payments-desk@outlook-mailer87.net          # ⚠ Angreifer-Adresse
Return-Path: bounce@mxforward-relay.com              # ⚠ Drittanbieter-Relay

Received: from mxforward-relay.com (185.220.xxx.xxx)
          by mx.gen-solutions.com

DKIM-Signature:  ABSENT                          # ✘ Keine DKIM-Signatur!
SPF:              SOFTFAIL                        # ✘ SPF-Prüfung fehlgeschlagen
DMARC:            FAIL (p=none — keine Sperrung)  # ⚠ DMARC-Policy zu schwach

Befund:  Domain gen-solutions.com registriert 11 Tage vor Angriff.
         Keine DKIM-Konfiguration. SPF-Softfail durchgelassen.
         DMARC-Policy "none" → keine automatische Ablehnung.

Dieser Befund ist eindeutig: Die Angreifer hatten eine neue Domain registriert, die der legitimen zum Verwechseln ähnlich sah — aber ohne die E-Mail-Authentifizierungsinfrastruktur des echten Unternehmens. In der Praxis bedeutet das: Eine einfache DKIM-Prüfung hätte den Angriff technisch erkennbar gemacht.

KI-gestützte Log-Korrelation: Den Zeitstrahl rekonstruieren

Die eigentliche Stärke unserer forensischen Methodik liegt in der automatisierten Korrelation von Log-Daten aus verschiedenen Quellen. Im Fall Genesis mussten wir folgende Logs auswerten: Mail-Server-Logs (3 Monate), DNS-Queries (2 Monate), Firewall-Logs, Proxy-Logs und die vollständige E-Mail-Kommunikation mit dem vermeintlichen Lieferanten.

Manuell wäre diese Analyse eine Arbeit von mehreren Wochen gewesen. Mit unserem KI-gestützten Korrelations-Workflow dauerte die vollständige Zeitstrahl-Rekonstruktion 4 Arbeitstage.

1
Datensicherstellung und Normalisierung
Alle Log-Quellen werden in ein einheitliches Format überführt. KI bereinigt Zeitzonenfehler, identifiziert relevante Log-Einträge und filtert Rauschen heraus.
2
Automatisierte Ereignis-Korrelation
Das KI-System korreliert Ereignisse aus verschiedenen Log-Quellen zeitlich und semantisch. Es identifiziert automatisch Muster, die auf koordinierte Angreiferaktivität hinweisen.
3
Anomalie-Erkennung und Hypothesenbildung
Statistische Modelle erkennen Abweichungen vom normalen Kommunikationsverhalten: ungewöhnliche Sendezeiten, neue IP-Adressen, abweichende E-Mail-Volumen.
4
OSINT-Anreicherung
Identifizierte IP-Adressen, Domains und Infrastruktur werden mit öffentlichen Threat-Intelligence-Quellen abgeglichen. Im Genesis-Fall: Die Angreifer-Domain war mit 3 weiteren BEC-Kampagnen assoziiert.
5
Zeitstrahl-Dokumentation und Bericht
Der vollständige Angriffsablauf wird dokumentiert, beweissicher archiviert und in einem rechtssicheren Forensikbericht aufbereitet.

Erkenntnisse aus der Untersuchung: Was wir konkret gefunden haben

Die forensische Untersuchung ergab ein klares Bild der Angreiferinfrastruktur und -methodik:

  • Domain-Registrierung: Die Lookalike-Domain wurde 11 Tage vor dem Angriff registriert — ein Muster, das wir in 67% der untersuchten BEC-Fälle beobachten.
  • OSINT-Vorbereitung: Angreifer hatten vorab LinkedIn, die Unternehmenswebsite und öffentliche Handelsregister-Einträge ausgewertet — Führungsstruktur, laufende Projekte und Ansprechpartner waren bekannt.
  • Relaying-Infrastruktur: E-Mails wurden über einen kommerziellen E-Mail-Relay-Dienst versendet, der keine Verifikation der Absenderdomains durchführt.
  • Angriffszeitpunkt: Der Angriff erfolgte an einem Freitag um 16:42 Uhr — kurz vor Wochenendende, um Rückfragen zu erschweren und Druck zu erzeugen.
  • Sprachliche Qualität: Die E-Mail wies keine typischen Phishing-Sprachfehler auf. Sie war auf hohem B2-Niveau verfasst und verwendete korrekten geschäftlichen Stil.

Was den Angriff gestoppt hat: Einzig ein interner Prozess, der für Überweisungen über 25.000 Euro eine telefonische Rückbestätigung beim Auftraggeber verlangt, verhinderte den Schaden. Dieser Prozess war sechs Monate vorher eingeführt worden — ohne konkreten Anlass.

Warum DMARC allein nicht schützt — und was wirklich hilft

Ein weit verbreitetes Missverständnis: „Wir haben DMARC implementiert, also sind wir vor BEC geschützt.” Das stimmt nicht — und der Genesis-Fall illustriert warum.

DMARC schützt Ihre eigene Domain. Es verhindert, dass jemand E-Mails mit @gen-solutions.com.com im Absender versendet, ohne Ihre DNS-Infrastruktur zu nutzen. Aber DMARC schützt nicht vor:

  • Lookalike-Domains: gen-solutions.com ist eine andere Domain — DMARC Ihres Unternehmens greift hier nicht.
  • Kompromittierte legitime Konten: Wenn ein echter Lieferanten-Account gehackt wurde, ist die Signatur valide.
  • Freemailer-Adressen: Angriffe über Gmail oder Outlook-Adressen umgehen DMARC vollständig.

Wirksame Schutzmaßnahmen nach unserem Erfahrungsstand

  • DMARC auf p=reject setzen — nicht nur p=none (Monitoring)
  • Domain-Monitoring für Lookalike-Registrierungen einrichten (Tools: dnstwist, DomainTools)
  • Vier-Augen-Prinzip für alle Überweisungen ab einem definierten Schwellenwert
  • Telefonische Rückbestätigung bei ungewöhnlichen Zahlungsanfragen (auch vertrauter Absender)
  • E-Mail-Security-Gateway mit KI-gestützter Verhaltensanalyse
  • Regelmäßige Mitarbeiterschulungen mit simulierten BEC-Szenarien
  • Externe Konten auf Whitelist-Basis für Buchhaltungssoftware beschränken

Sofortmaßnahmen nach einem BEC-Vorfall: Die ersten 4 Stunden

Wenn Sie vermuten, Opfer eines BEC-Angriffs geworden zu sein — oder wenn eine Überweisung bereits freigegeben wurde — zählt jede Stunde. Banken können Überweisungen innerhalb eines engen Zeitfensters zurückrufen. Handeln Sie sofort:

!
Sofort: Hausbank kontaktieren (Überweisungsrückruf)
Rufen Sie Ihre Bankhotline an — nicht per E-Mail. Erklären Sie, dass ein Betrugsfall vorliegt und Sie eine Überweisung zurückrufen möchten. Das Zeitfenster hierfür beträgt oft weniger als 4 Stunden.
!
Logs sichern — nicht löschen
Sichern Sie alle relevanten E-Mails mit vollständigen Headern, Server-Logs, Firewall-Logs. Löschen Sie nichts. Jede Berührung eines Systems kann forensische Beweise vernichten.
3
IT-Forensiker und Rechtsbeistand informieren
Kontaktieren Sie einen spezialisierten IT-Forensiker. Für rechtliche Schritte (Strafanzeige, Versicherungsfall) wird ein forensisches Gutachten benötigt.
4
Strafanzeige und BSI-Meldung
Erstatten Sie Anzeige bei der Polizei (Cybercrime-Abteilung). Melden Sie den Vorfall dem BSI über das Online-Meldeverfahren (MIRT). Bei größeren Unternehmen: Datenschutzbeauftragten informieren (DSGVO Art. 33).

Häufige Fragen zu BEC-Angriffen

Was ist Business Email Compromise (BEC) genau?
Business Email Compromise ist ein gezielter Cyberangriff, bei dem Kriminelle die E-Mail-Identität von Führungskräften, Lieferanten oder Geschäftspartnern fälschen. Ziel ist in der Regel eine betrügerische Überweisung oder die Exfiltration vertraulicher Daten. Im Gegensatz zu klassischem Phishing sind BEC-Angriffe hochgradig personalisiert und nutzen reale, recherchierte Informationen über das Zielunternehmen.
Wie erkennt man einen BEC-Angriff, bevor Schaden entsteht?
Technische Erkennungsmerkmale: abweichende Absenderdomain (oft Tippfehler-Variante), fehlende oder ungültige DKIM-Signatur, unbekannter Versandserver im Header, Reply-To-Adresse weicht von der From-Adresse ab. Inhaltliche Warnsignale: ungewöhnliche Zahlungsaufforderungen, Zeitdruck, Aufforderung zur Umgehung normaler Prozesse, Kommunikation außerhalb der Geschäftszeiten.
Was ist DKIM und wie hilft es bei der Forensik?
DKIM (DomainKeys Identified Mail) ist ein kryptografisches Signaturverfahren für E-Mails. Eine gültige DKIM-Signatur beweist, dass die E-Mail tatsächlich vom angegebenen Mail-Server stammt. Bei der forensischen Analyse ist eine fehlende DKIM-Signatur ein starkes Indiz für E-Mail-Fälschung. Im Genesis-Fall war das Fehlen der Signatur in Verbindung mit dem SPF-Softfail der erste und entscheidende forensische Befund.
Schützt DMARC vor BEC-Angriffen?
Teilweise. DMARC schützt effektiv gegen direktes Spoofing Ihrer eigenen Domain. Es schützt jedoch nicht gegen Lookalike-Domains, kompromittierte Lieferanten-Konten oder Angriffe über Freemailer. Eine wirksame BEC-Abwehr benötigt zusätzlich: Domain-Monitoring, prozessuale Sicherheitsmaßnahmen (Vier-Augen-Prinzip) und Mitarbeiterschulungen.
Wie läuft eine KI-gestützte BEC-Forensik ab und wie lange dauert sie?
Unsere KI-gestützte BEC-Forensik umfasst: Datensicherstellung, automatisierte Log-Korrelation, DKIM/SPF/DMARC-Analyse, OSINT-Anreicherung, Zeitstrahl-Rekonstruktion und Berichterstattung. Bei einem typischen KMU-Fall (wie gen-solutions.com) dauert dies 3–5 Arbeitstage. Ohne KI-Unterstützung wäre dieselbe Analyse 3–4 Wochen in Anspruch genommen.
Was sollte ich sofort tun, wenn ich einen BEC-Angriff vermute?
Erste Priorität: Hausbank anrufen (nicht mailen!) und Überweisungsrückruf einleiten — Zeitfenster ist oft unter 4 Stunden. Parallel: alle relevanten Logs sichern und keinesfalls löschen. Dann IT-Forensiker und ggf. Rechtsbeistand kontaktieren. Strafanzeige bei der Polizei und BSI-Meldung. Bei DSGVO-Relevanz: Datenschutzbeauftragten und ggf. Aufsichtsbehörde informieren.
Was kostet eine KI-forensische BEC-Untersuchung in Deutschland?
Die Kosten einer professionellen BEC-Forensikuntersuchung für ein KMU liegen je nach Komplexität und Datenmenge bei 3.000–15.000 Euro. Im Vergleich zum durchschnittlichen BEC-Schaden (50.000–500.000 Euro) ist dies eine sinnvolle Investition — nicht nur zur Schadensbegrenzung, sondern auch für die Beweissicherung bei Strafverfolgung und Versicherungsansprüchen.
Kann KI BEC-Angriffe in Echtzeit erkennen?
Ja. Moderne KI-gestützte E-Mail-Security-Systeme analysieren Schreibstil, Sendemuster, Kommunikationsbeziehungen und Verhaltensanomalien in Echtzeit. Sie erkennen subtile Abweichungen, die menschliche Analysten übersehen: ungewöhnliche Sendezeitpunkte, stilistische Abweichungen vom historischen Kommunikationsverhalten einer Person, und neue IP-Adressen im Kommunikationsfluss.
NM
NextMittelstand AI Consulting
KI-Forensik & AI-Beratung für den deutschen Mittelstand · Berlin
NextMittelstand spezialisiert sich auf KI-gestützte Forensik, DSGVO-konforme KI-Infrastruktur und AI-Implementierung für den deutschen Mittelstand. Das Team kombiniert forensisch-technische Expertise mit Praxiserfahrung aus Hunderten von KMU-Projekten.

Haben Sie Fragen zu diesem Thema?

Sprechen Sie mit uns über passende Fördermöglichkeiten, digitale Prozesse und sichere KI-Infrastruktur für Ihr Unternehmen.

Jetzt Kontakt aufnehmen