Thought Leadership
Nicht Ransomware, sondern E‑Mail‑Betrug verursacht in vielen KMU die größten Schäden. Vier realistische Angriffsmuster und klare Kontrollen zeigen, wie HR, Einkauf und Buchhaltung robuste Prozesse etablieren – ohne Reibungsverlust.
Bei vielen Mittelständlern entstehen hohe Verluste nicht durch verschlüsselte Server, sondern durch unscheinbare Nachrichten an HR, Einkauf oder Buchhaltung. E‑Mail‑Betrug nutzt Routinen und Prozesslücken – der Vorfall startet digital und endet als Fehlentscheidung. Wer intern nur über Firewalls, Virenscanner und Backups spricht, greift zu kurz: Große Risiken liegen in der Entscheidungs‑ und Freigabepraxis.
Vier Angriffsmuster aus der Praxis
Fall 1 – Gehaltsumleitung via verwechslungsfähige Absenderdomain
Ablauf: Eine E‑Mail wirkt wie vom Mitarbeiter, die Adresse ist minimal verändert (z. B. @company‑gmbh.de statt @company.de). Es folgt die Bitte um eine schnelle IBAN‑Änderung.
Warnsignale: ungewohnte Domain, abweichende „Reply‑To“, künstliche Eile.
Sofortmaßnahme: Kontodatenänderungen ausschließlich im HR‑Portal mit Dual‑Control‑Freigabe oder Rückruf an eine bekannte Nummer.
Fall 2 – Neue Lieferanten‑IBAN nach Postfachübernahme
Ablauf: Nach Zugriff auf das Postfach eines echten Lieferanten folgt im bestehenden Thread die Bitte, eine neue Kontoverbindung zu nutzen.
Warnsignale: Kontodatenänderung unmittelbar vor Zahlungsziel, Änderung außerhalb des formalen Prozesses.
Sofortmaßnahme: Kreditorenstammdaten nur per definiertem Workflow; strikte Trennung von Kommunikations‑ und Freigabekanal.
Fall 3 – Thread‑Fortsetzung über ähnlich wirkende Adresse
Ablauf: Täter exportieren den Verlauf aus dem kompromittierten Konto, setzen die Unterhaltung über eine leicht veränderte Domain fort.
Warnsignale: minimal abweichende Absenderadresse (.com statt .de, vertauschte Buchstaben) oder neue Konversation im E-Mailprogramm (da veränderte Absendeadresse) mit bekanntem Verlauf
Sofortmaßnahme: Domain‑Prüfung, Abgleich mit dem internen Adressbuch, Freigaben nur in Systemen – nicht per E‑Mail, Telefonische Kontaktaufnahme und Rückversicherung unter vorher definierter Rufnummer.
Fall 4 – CEO‑Fraud via Messenger mit spätem Kanalwechsel
Ablauf: Ein angeblicher Top‑Manager baut Vertrauen per Messenger auf („vertrauliches Projekt“) und wechselt kurz vor „Deadline“ auf E‑Mail – mit Forderung nach sofortiger Anzahlung.
Warnsignale: Umgehung von Kontrollen, Schweigeappelle, untypische Dringlichkeit.
Sofortmaßnahme: Keine Zahlung ohne formale Freigabe; Rückversicherung über bekannte, unabhängige Kontakte.
Gemeinsames Muster
Erfolgstreiber der Angreifer sind Eile, Autorität und der Kanalwechsel. Betroffen sind Bereiche mit hohem Transaktionsvolumen und Routinedruck. Fazit: Es sind vor allem Prozess‑ und Identitätsangriffe; Kontrollen müssen dort greifen, wo Entscheidungen fallen – in HR, Einkauf, Buchhaltung und Treasury.
Praxis‑Check: Drei Maßnahmen, die sofort wirken
1. „No‑Change‑per‑Mail“-Policy etablieren
Bankverbindungs‑ oder Stammdatenänderungen werden nie per E‑Mail akzeptiert. Pflicht: Out‑of‑Band‑Rückruf an bekannte Nummer, Vier‑Augen‑Freigabe ab definierter Schwelle, kurze Checkliste (Anlass, Ansprechpartner, Rückruf dokumentiert).
2. Härtung der E-Mail-Infrastruktur
Regelmäßige Prüfung auf verdächtige Mailbox‑Regeln (Auto‑Forward, „als gelesen markieren“) vollständige Unterbindung von Weiterleitun zu externen Domänen. Konfiguration von SPF, DKIM und DMARC
3. Police auf E‑Mail‑Betrug prüfen
Explizite Einschlüsse und Sublimits für „Fraudulent Instruction/Payment Diversion“ prüfen – inklusive Zahlungen an Dritte im In‑ und Ausland. Obliegenheiten (z. B. Rückrufpflicht, Vier‑Augen‑Freigabe) schriftlich fixieren und im Kundenprozess verankern.
Lösungen und Innovationspotenziale
Moderne Lösungen liefern zusätzliche Kontrolle ohne Reibung. Beispiel: Stoïk Email Security lässt sich in wenigen Minuten einrichten und analysiert eingehende E‑Mails sowie Postfachaktivitäten per KI. Erkannt werden u. a. untypische Dringlichkeit, gefälschte Zahlungsanweisungen, vorgetäuschte Lieferantenidentitäten sowie Veränderungen an MFA‑/Weiterleitungsregeln und ungewöhnliche VPN‑Zugriffe nach einer Kompromittierung. Auf diese Weise werden Angriffe frühzeitig markiert.
Stärke ist die Prozessnähe: Signale aus Postfächern und Zahlungsprozessen werden zusammengeführt, ohne die Arbeitsabläufe zu verkomplizieren. So entsteht ein Sicherheitsnetz, das die relevanten Risiken dort adressiert, wo sie entstehen – in den Freigaben und Stammdatenänderungen.
Fazit
E‑Mail‑Betrug ist im Mittelstand kein Randthema, sondern ein Kernrisiko. Wer Kommunikations‑ und Freigabekanal trennt, Identitäten absichert, Mitarbeiter befähigt und an den richtigen Stellen automatisiert, senkt das Schadenspotenzial drastisch. Ziel sind klare Kontrollen ohne Reibungsverlust.
Autorin: Franziska Geier, Geschäftsführerin, Stoïk GmbH
