· magra-sec

Identity-basierte Angriffe und BEC: Die unterschätzte Gefahr für KMU 2026

630 untersuchte Sicherheitsvorfälle bei kleinen und mittleren Unternehmen in Deutschland, Österreich, der Schweiz und den Benelux-Ländern - das ist die Datenbas

Dienstleistungen IT KMU

630 untersuchte Sicherheitsvorfälle bei kleinen und mittleren Unternehmen in Deutschland, Österreich, der Schweiz und den Benelux-Ländern - das ist die Datenbasis des aktuellen Eye Security Incident Response Reports 2026. Die Zahlen offenbaren eine alarmierende Entwicklung: 454 dieser Vorfälle, also über 70 Prozent, waren Business Email Compromise-Angriffe. Während viele Unternehmen ihre IT-Sicherheit auf den Schutz vor Ransomware ausrichten und technische Schwachstellen im Blick haben, findet die eigentliche Bedrohung längst woanders statt. Angreifer nutzen heute nicht mehr primär Sicherheitslücken in Software, sondern kompromittierte Identitäten und das Vertrauen zwischen Geschäftspartnern. Dieser fundamentale Shift in der Bedrohungslandschaft wird von vielen KMU noch immer unterschätzt - mit teils gravierenden finanziellen Folgen.

Was ist Business Email Compromise?

Business Email Compromise, kurz BEC, beschreibt eine Angriffsform, bei der Cyberkriminelle Geschäftsprozesse manipulieren, indem sie E-Mail-Kommunikation fälschen oder übernehmen. Anders als bei technischen Angriffen auf Systeme setzen BEC-Täter auf Social Engineering und menschliche Schwächen. Die klassischen Szenarien sind vielfältig: Beim sogenannten CEO-Fraud gibt sich ein Angreifer als Geschäftsführer aus und fordert die Buchhaltung zur dringenden Überweisung auf. Beim Rechnungsbetrug werden legitime Rechnungen abgefangen und die Bankverbindungen geändert. Besonders perfide ist der Lieferantenwechsel-Betrug, bei dem Angreifer eine bestehende E-Mail-Konversation übernehmen und die Zahlung auf ein anderes Konto umleiten. Der Erfolg von BEC-Angriffen basiert auf einem simplen Prinzip: Vertrauen. Geschäftsbeziehungen leben von Verlässlichkeit und etablierten Kommunikationswegen. Wenn der vermeintliche Geschäftspartner eine E-Mail schreibt, die vom gewohnten Absender kommt und im bekannten Tonfall verfasst ist, hinterfragen nur wenige Mitarbeiter die Echtheit. Erschwerend kommt hinzu, dass BEC-Angriffe oft monatelang vorbereitet werden. Die Täter infiltrieren E-Mail-Konten, lesen mit, lernen Kommunikationsmuster und Geschäftsprozesse kennen und schlagen dann zum optimalen Zeitpunkt zu. Die heydata Cybersecurity-Trendanalyse 2026 bestätigt diesen Trend: 80 Prozent aller Sicherheitsvorfälle gehen auf menschliches Fehlverhalten zurück - BEC-Angriffe spielen hier die Hauptrolle.

Phishing Email auf Laptop

Aktuelle Bedrohungslage 2026 - Zahlen und Fakten

Die Analysedaten von Eye Security aus drei Jahren Incident Response bei KMU zeichnen ein eindeutiges Bild: Von 630 untersuchten Vorfällen waren 454 Business Email Compromise-Angriffe. Das entspricht einer Quote von über 72 Prozent. Zum Vergleich: Ransomware-Angriffe, die medial deutlich präsenter sind, machen nur einen Bruchteil der tatsächlichen Vorfälle aus. Besonders bemerkenswert ist der Einstiegsvektor: 41 Prozent aller erfolgreichen Angriffe begannen mit einer Phishing-Mail. Die Täter verschafften sich zunächst Zugang zu einem E-Mail-Account, um dann von dort aus weitere Angriffe zu starten oder direkt BEC-Betrug zu begehen. Ein weiteres alarmierendes Detail betrifft die Verweildauer der Angreifer im System. Ohne Managed Detection and Response-Lösungen bleiben Täter durchschnittlich über 24 Tage unentdeckt im Netzwerk. In dieser Zeit können sie E-Mails mitlesen, Geschäftsprozesse analysieren und den optimalen Zeitpunkt für einen Betrugsversuch identifizieren. Mit professionellem MDR-Service lässt sich diese Verweildauer auf durchschnittlich 23 Minuten reduzieren - ein Faktor, der den Unterschied zwischen einem abgewehrten Angriff und einem erfolgreichen Betrug ausmacht. Auch geografisch zeigt sich eine besorgniserregende Entwicklung: Der Anteil deutscher Unternehmen unter den betroffenen KMU stieg von sechs Prozent im Jahr 2024 auf 13 Prozent im Jahr 2025. Die Täter haben den DACH-Markt offenbar als lukratives Ziel erkannt. Der Security Insider analysiert in seinem Cybersecurity-Trends-Artikel den fundamentalen Paradigmenwechsel: Angreifer setzen nicht mehr primär auf technische Schwachstellen, sondern auf kompromittierte Identitäten. Dieser Shift erfordert völlig neue Abwehrstrategien, denn klassische Perimeter-Security greift bei BEC-Angriffen nicht. Wenn ein legitimer Account für illegitime Zwecke genutzt wird, versagen viele traditionelle Sicherheitsmechanismen.

Warum trifft es gerade KMU so hart?

Kleine und mittlere Unternehmen sind aus mehreren Gründen besonders anfällig für BEC-Angriffe. Der offensichtlichste Faktor ist das fehlende Personal: Während Großkonzerne dedizierte Security-Teams beschäftigen, die sich ausschließlich um IT-Sicherheit kümmern, fehlen in KMU oft selbst grundlegende IT-Ressourcen. Der Geschäftsführer kümmert sich nebenbei um die IT, die Buchhaltung arbeitet ohne spezielles Security-Training, und systematische Cybersicherheits-Checklisten existieren häufig nicht. Diese Ressourcenknappheit führt dazu, dass Sicherheitswarnzeichen übersehen oder falsch eingeschätzt werden. Ein zweiter kritischer Punkt ist die fehlende Security Awareness. In vielen KMU gibt es keine regelmäßigen Schulungen zum Thema Phishing und Social Engineering. Mitarbeiter wissen oft nicht, woran sie eine gefälschte E-Mail erkennen können, welche Warnsignale es gibt und wie sie im Verdachtsfall reagieren sollten. Diese Wissenslücke machen sich Angreifer systematisch zunutze. Hinzu kommt das Vertrauen in etablierte Geschäftsbeziehungen: Gerade in mittelständischen Unternehmen gibt es oft langjährige Partnerschaften mit festen Ansprechpartnern. Wenn dann eine E-Mail vom bekannten Lieferanten kommt, wird sie kaum hinterfragt - selbst wenn Details wie die Bankverbindung plötzlich anders sind. Technisch fehlt es vielen KMU an zentraler E-Mail-Security. Während Großunternehmen auf umfassende E-Mail-Gateway-Lösungen mit Advanced Threat Protection setzen, nutzen viele kleinere Firmen Standard-Lösungen ohne erweiterte Sicherheitsfunktionen. Multi-Faktor-Authentifizierung wird oft als zu kompliziert empfunden, E-Mail-Authentication-Standards wie SPF, DKIM und DMARC sind vielen IT-Verantwortlichen unbekannt. Diese technischen Lücken kombiniert mit den organisatorischen Schwächen ergeben eine ideale Angriffsfläche für BEC-Täter. Die Kombination aus fehlendem Zero-Trust-Ansatz und unzureichenden Prozessen macht KMU zu bevorzugten Zielen.

Cybersecurity Monitoring

Schutzmaßnahmen für KMU

Der Schutz vor BEC-Angriffen erfordert einen mehrschichtigen Ansatz, der technische, organisatorische und kulturelle Maßnahmen kombiniert. Auf technischer Ebene ist Multi-Faktor-Authentifizierung die wichtigste Einzelmaßnahme. Selbst wenn Angreifer an Zugangsdaten gelangen, scheitern sie an der zweiten Authentifizierungsebene. MFA sollte ausnahmslos für alle E-Mail-Accounts aktiviert werden - nicht nur für Führungskräfte. Ergänzend sind E-Mail-Authentication-Standards wie SPF, DKIM und DMARC unverzichtbar. Diese Technologien stellen sicher, dass E-Mails wirklich vom angegebenen Absender stammen und nicht gefälscht wurden. Die Konfiguration ist zwar anfangs aufwendig, bietet aber langfristig erheblichen Schutz. Managed Detection and Response-Lösungen stellen den Game-Changer dar: Die Reduktion der Verweildauer von 24 Tagen auf 23 Minuten bedeutet, dass Angreifer keine Zeit mehr haben, Geschäftsprozesse zu analysieren und den perfekten Moment für einen Betrug abzuwarten. MDR-Services überwachen kontinuierlich verdächtige Aktivitäten, erkennen Anomalien im E-Mail-Verkehr und schlagen sofort Alarm, wenn ungewöhnliche Zugriffsmuster auftreten. Für KMU, denen interne Security-Teams fehlen, sind diese extern betriebenen Lösungen oft die einzige realistische Option für professionelle Bedrohungserkennung. Organisatorisch sollte das Vier-Augen-Prinzip bei allen Zahlungen über einem definierten Schwellenwert etabliert werden. Keine Überweisung sollte von einer einzelnen Person autorisiert werden können. Besonders wichtig: Änderungen von Bankverbindungen müssen immer über einen zweiten Kanal verifiziert werden. Wenn ein Lieferant per E-Mail eine neue Kontonummer mitteilt, sollte die Buchhaltung telefonisch unter der bekannten Nummer nachfragen - nicht unter einer Nummer aus der verdächtigen E-Mail. Diese einfache Regel verhindert die meisten BEC-Angriffe. Zusätzlich empfiehlt sich die Dokumentation aller kritischen Geschäftsprozesse, sodass Abweichungen schneller auffallen. Kulturell muss Security Awareness zum festen Bestandteil der Unternehmenskultur werden. Regelmäßige Phishing-Simulationen sensibilisieren Mitarbeiter für Angriffsmuster, ohne sie real zu gefährden. Wichtig ist dabei eine positive Fehlerkultur: Mitarbeiter, die auf Phishing-Simulationen hereinfallen, sollten geschult statt bestraft werden. Nur wenn sich niemand scheut, verdächtige E-Mails zu melden, funktioniert die menschliche Firewall. Ergänzend sollten klare Eskalationsprozesse definiert werden: Jeder Mitarbeiter muss wissen, an wen er sich im Verdachtsfall wendet und wie schnell reagiert werden muss. Ein Incident Response Plan gehört zur Grundausstattung jedes Unternehmens.

Praxis-Checkliste: BEC-Schutz in 5 Schritten

**Schritt 1: MFA für ALLE E-Mail-Accounts aktivieren** Implementieren Sie Multi-Faktor-Authentifizierung ausnahmslos für jeden Mitarbeiter mit E-Mail-Zugang. Nutzen Sie bevorzugt App-basierte Authenticatoren oder Hardware-Token statt SMS-TAN. Lösungen wie Microsoft Authenticator, Google Authenticator oder Yubikey bieten hier robuste Optionen. **Schritt 2: Zahlungs-Workflows mit Verifizierung etablieren** Definieren Sie klare Schwellenwerte ab denen das Vier-Augen-Prinzip greift. Dokumentieren Sie den Prozess zur Verifizierung von Bankverbindungsänderungen: Welche zweite Kommunikationskanal wird genutzt? Wer ist verantwortlich? Wie wird die Verifizierung dokumentiert? Diese Prozesse müssen schriftlich fixiert und allen Beteiligten bekannt sein. **Schritt 3: Regelmäßige Phishing-Simulationen durchführen** Führen Sie mindestens quartalsweise Phishing-Tests durch. Dienste wie KnowBe4, Proofpoint oder IT-Seal bieten professionelle Phishing-Simulationen mit anschließenden Schulungen. Wichtig: Analysieren Sie die Ergebnisse und passen Sie Trainings an die Schwachstellen an. **Schritt 4: E-Mail-Authentication konfigurieren** Implementieren Sie SPF, DKIM und DMARC für Ihre Domain. Diese Konfiguration verhindert, dass Dritte E-Mails in Ihrem Namen versenden können. Tools wie MXToolbox oder DMARCian helfen bei der Einrichtung und Überwachung. Testen Sie die Konfiguration regelmäßig. **Schritt 5: MDR oder SIEM für Früherkennung prüfen** Evaluieren Sie Managed Detection and Response-Lösungen für Ihr Unternehmen. Auch wenn die Investition zunächst hoch erscheint, amortisiert sie sich durch die drastisch verkürzte Reaktionszeit. Alternativ können kleinere Unternehmen mit SIEM-Lösungen starten, die Anomalien im E-Mail-Verkehr erkennen. Die Investition in professionelles Schwachstellenmanagement und kontinuierliches Monitoring zahlt sich langfristig aus.

BEC ist die Nummer 1 Bedrohung 2026

Die Zahlen des Eye Security Reports sind eindeutig: Business Email Compromise ist nicht mehr eine Bedrohung unter vielen, sondern die dominierende Angriffsform gegen kleine und mittlere Unternehmen. Mit über 70 Prozent aller analysierten Sicherheitsvorfälle liegt BEC weit vor allen anderen Bedrohungen. Der Grund ist einfach: Diese Angriffe funktionieren. Sie erfordern weniger technische Expertise als Ransomware-Angriffe, sind schwerer zu erkennen und bieten bei minimalem Risiko für die Täter hohe Erfolgsaussichten. Der Shift von technischen Schwachstellen zu identitätsbasierten Angriffen markiert einen fundamentalen Wandel in der Cybersecurity-Landschaft. Die gute Nachricht: Effektiver Schutz ist möglich und muss nicht unbezahlbar sein. Die Kombination aus technischen Basismaßnahmen wie Multi-Faktor-Authentifizierung und E-Mail-Authentication, organisatorischen Prozessen wie dem Vier-Augen-Prinzip bei Zahlungen und kontinuierlicher Security Awareness schafft mehrere Verteidigungslinien. Besonders wertvoll ist der Einsatz von MDR-Lösungen, die die durchschnittliche Verweildauer von Angreifern von 24 Tagen auf 23 Minuten reduzieren - ein Unterschied, der in der Praxis zwischen erfolgreichem Betrug und rechtzeitiger Abwehr entscheidet. Der wichtigste Schritt ist jedoch: Jetzt handeln, nicht erst nach dem ersten Vorfall. Die meisten BEC-Opfer haben im Nachhinein erkannt, dass einfache Maßnahmen den Schaden hätten verhindern können. Investieren Sie in Prävention, schulen Sie Ihr Team und etablieren Sie klare Prozesse. Die Kosten für diese Maßnahmen sind minimal verglichen mit dem potenziellen Schaden eines erfolgreichen BEC-Angriffs. Sie möchten Ihr Unternehmen systematisch gegen BEC-Angriffe absichern oder benötigen Unterstützung bei der Implementierung der beschriebenen Schutzmaßnahmen? In meiner IT-Sicherheitsberatung analysiere ich Ihre aktuelle Risikolage, identifiziere Schwachstellen in Ihren E-Mail-Prozessen und entwickle mit Ihnen einen praktikablen Maßnahmenplan. Als zertifizierter CISSP und TÜV-geprüfter Datenschutzbeauftragter bringe ich die Expertise mit, um auch komplexe Security-Anforderungen in KMU-taugliche Lösungen zu übersetzen. Lassen Sie uns gemeinsam dafür sorgen, dass Ihr Unternehmen nicht zur Statistik wird.