BEC- und FTF-Angriffe – Cyberbedrohung mit größtem Schadenspotenzial

Die Mehrheit der Cyberversicherungsansprüche des Jahres 2024 resultierte aus der Kompromittierung von Geschäfts-E-Mail-Betrug und Überweisungsbetrug

[datensicherheit.de, 25.10.2025] Kürzlich hat der Cyberversicherungsanbieter Coalition seinen neuesten jährlichen „Cyber Claims Report“ vorgelegt. „Dessen Kernaussage: Die Mehrheit der Cyberversicherungsansprüche des Jahres 2024 resultierte aus der Kompromittierung von Geschäfts-E-Mail-Betrug und Überweisungsbetrug“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. 60 Prozent der Cyberversicherungsansprüche, so der Report, entfielen auf sogenannte BEC-Angriffe („Business Email Compromise“) und 29 Prozent hatten einen FTF-Angriff („Funds Transfer Fraud“) zur Folge. „Unternehmen rät der Report, das Sicherheitsbewusstsein ihrer Mitarbeiter zu stärken. Ein Punkt, in dem man ihm nur Recht geben kann“, so Krämer, ließen sich doch BEC- und FTF-Angriffe in aller Regel auf eine Schwachstelle zurückführen – nämlich die Anfälligkeit der Belegschaft für Phishing- bzw. Spear-Phishing-Angriffe. Unternehmen sollten also ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen – bevor es zu spät ist.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Angreifer gehen beim Phishing und Spear-Phishing immer professioneller vor – sie passen sich an und wissen um die Trainingsinhalte für Cybersicherheit vergangener Jahre

„Business Email Compromise“ eine ausgeklügelte Form der Cyberkriminalität

Krämer erläutert: „,Business Email Compromise’ (BEC), ist eine ausgeklügelte Form der Cyberkriminalität, bei der Angreifer Personen innerhalb einer Organisation zu manipulieren und zu bestimmten Handlungen zu bewegen suchen – in aller Regel zu Geldüberweisungen und zur Offenlegung sensibler Unternehmensdaten.“

Ausgangspunkt solcher Angriffe seien in aller Regel Phishing- und Spear-Phishing-Angriffe. Angreifer sammelten so Informationen über die Unternehmensstruktur, Schlüsselpersonen und Geschäftsprozesse, um dann überzeugende, personalisierte Fake-E-Mails für einen BEC- oder gleich einen FTF-Angriff zu erstellen.

Typische Opfer: Unternehmen, deren Belegschaft nur über geringes Cybersicherheitsbewusstsein verfügen

„Der Report hält fest, dass der Schaden der BEC-Angriffe 2024 um 23 Prozent zugenommen hat. Durchschnittlich liegt er mittlerweile bei umgerechnet rund 31.000 Euro. Erklären lässt sich dieser Anstieg, so der Report, zumindest zum Teil durch die gestiegenen Kosten für Rechtsberatungen, Maßnahmen zur Schadensbegrenzung und zur Wiederherstellung.“ Immerhin: Die Häufigkeit von FTF-Angriffen sei 2024 um zwei Prozent gesunken, die Schadenshöhe um 46 Prozent – allerdings auch nach einem Allzeithoch im Jahr 2023.

Der Bericht hält fest, dass Unternehmen, deren Belegschaft nur über ein geringes Cybersicherheitsbewusstsein verfügen, prädestiniert dafür seien, Opfer von Phishing- und Spear-Phishing-Angriffen zu werden. „Er rät Unternehmen deshalb, die eigenen Mitarbeiter über Taktiken, Strategien und Tools von Bedrohungsakteuren aufzuklären, ihnen beizubringen, wie man solche Angriffe erkennt und vermeidet – zum Beispiel unter Zuhilfenahme von Schulungen und Phishing-Simulationen.“

Moderne Anti-Phishing-E-Mail-Tools kombinieren KI mit „Crowdsourcing“

Krämer unterstreicht: „Ein Rat, der nur zu unterstützen ist!“ Allerdings genügten mittlerweile traditionelle Schulungen und Trainings allein nicht mehr. Angreifer gingen beim Phishing und Spear-Phishing immer professioneller vor, passten sich an, wüssten um die Inhalte der Trainings der vergangenen Jahre. „Unternehmen können und müssen dem etwas entgegensetzen!“

Sie müssten ihre Cybersicherheit weiter ausbauen – auch und gerade im Bereich intelligenter Anti-Phishing-Technologien. „Moderne Anti-Phishing-E-Mail-Tools kombinieren KI mit ,Crowdsourcing’, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren.“ Im Gegensatz zu herkömmlichen Tools, könnten sie potenzielle Phishing-E-Mails ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und möglicher Social-Engineering-Taktiken. „Daneben werden Unternehmen aber auch fortschrittliche Schulungen und Trainings zum Einsatz bringen müssen.“

Weitere Informationen zum Thema:

Coalition, Robert Jones, 08.05.2025
Insights from Coalition’s 2025 Cyber Claims Report

datensicherheit.de, 10.04.2025
BEC-Angreifer: Beuteforderungen verdoppelten sich innerhalb eines Quartals / Waren es im 3. Quartal 2024 durchschnittlich rund 60.000 Euro, so fordern Cyber-Kriminelle per BEC im 4. Quartal 2024 bereits etwa 120.000 Euro

datensicherheit.de, 05.03.2025
Spear Phishing-Angriffe: OT-Systeme der Fertigungsbranche am häufigsten betroffen / „Spear Phishing“-E-Mails werden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung auffordern

datensicherheit.de, 02.09.2021
Weltweite Zunahme der BEC-Attacken / Erfolgreicher BEC-Angriff kann für Unternehmen zu Schäden in Millionenhöhe führen

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar / Angriff über kompromittiertes E-Mail-Konto eines Mitarbeiters