Diese kaum beachteten Betrugsmaschen bedrohen Unternehmen

5.11.2025 – Der Assekuradeur Stoïk beobachtet, dass insbesondere kleine Unternehmen häufig Opfer von E-Mail-Betrug werden. Die Täter geben sich dabei als Mitarbeiter aus und verfügen oft über längere Zeit gesammelte Unternehmens- und Personaldaten. Der Cyberexperte stellt vier typische Szenarien vor – auch, um Mitarbeiter potenzieller Opfer für die Risiken zu sensibilisieren.

Laut der Studie „Wirtschaftsschutz 2025“ (PDF, 1,01 MB) des Branchenverbandes Bitkom e.V. waren 87 Prozent aller deutschen Unternehmen von Schäden durch Cyberkriminalität betroffen – darunter Diebstahl, Industriespionage und Sabotage. Der Gesamtschaden für die deutsche Wirtschaft wird auf 289,2 Milliarden Euro geschätzt.

E-Mail-Betrug […] zielt auf Geschäftsprozesse statt auf Technik.

Stoïk GmbH

KMU häufig Opfer von E-Mail-Betrug

Der auf Cyberversicherungen spezialisierte Assekuradeur Stoïk GmbH warnt aktuell, dass insbesondere KMU überproportional häufig von E-Mail-Betrug und Phishing-Attacken betroffen seien.

Diese Fälle fänden in der öffentlichen Berichterstattung jedoch kaum Beachtung. Nach eigenen Angaben registriert Stoïk im Bestand bis zu zehnmal so viele Betrugsfälle dieser Art wie Ransomware-Schäden. Im Pressetext heißt es hierzu:

„Anders als Ransomware hinterlässt E-Mail-Betrug keine lahmgelegten Systeme. Keine IT-Notfälle, keine Krisenstäbe, keine Pressemitteilungen. Die Angriffe zielen auf Geschäftsprozesse statt auf Technik: umgeleitete Gehälter, gefälschte Rechnungen, manipulierte Zahlungsströme. Wenn der Betrug auffällt, ist das Geld meist längst weg – und die Firma schweigt aus Reputationsgründen.“

Die Angreifer gehen wenig wählerisch vor, berichtet der Assekuradeur. Sie scannen massenhaft Zielfirmen und schlagen dort zu, wo sie schwache Prozesse identifizieren. Das erkläre auch, weshalb kleinere Firmen oft betroffen seien – unabhängig von ihrer Umsatzgröße. Häufig würden sie den Cyberschutz vernachlässigen oder keine wirksamen Sicherheitsmechanismen einsetzen.

Vier häufige Angriffszenarien

Der Assekuradeur identifiziert vier häufige Szenarien aus der Praxis, mit denen Hacker Geschäftsprozesse ins Visier nehmen. Diese seien „erschreckend simpel, hocheffektiv“ und könnten Unternehmen jeder Größe treffen.

Ein erstes Szenario ist die Gehaltsumleitung nach einer Recherche auf Linkedin. Die Angreifer würden im Businessnetzwerk Namen und Positionen von Mitarbeitern identifizieren und dann gefälschte Mailadressen erstellen, die den Adressen im geschäftlichen Gebrauch überraschend ähneln.

Anschließend schreiben sie unter den gefälschten Adressen an die Personalabteilung, wonach das Gehalt ab sofort auf ein neues Konto zu überweisen sei. Die Änderung werde ohne Rückfrage oder Verifikation hinterlegt. Erst beim nächsten Gehaltseingang falle der Betrug auf – weil das Geld über Strohmänner ins Ausland transferiert werde, sei es kaum zurückzuholen.

Gefälschte Rechnungen nach Übernahme des E-Mail-Kontos

Ein zweites Szenario, das die Sicherheitsexperten identifiziert haben, ist etwas komplexer. Die Angreifer verschaffen sich mit Phishing-Mails, die Mitarbeiter zum Klicken auf falsche Login-Seiten verleiten, Zugang zum Postfach. Oder sie nutzen bereits gestohlene oder schwache Passwörter.

Haben die Täter einmal Zugriff auf ein Firmen-E-Mail-Konto, senden sie von dort gefälschte Nachrichten an Buchhaltung oder Einkauf. Darin geben sie vor, eine neue oder geänderte Bankverbindung eines beauftragten Lieferanten oder Dienstleisters mitzuteilen.

Weil die Mail direkt aus dem Unternehmenspostfach stammt, wird die Zahlung mitunter ohne Rückfrage ausgeführt – häufig mit fünf- bis sechsstelligen Verlusten.

Drittes Szenario: Thread-Rekonstruktion außerhalb des gehackten Mailsystems

Ein drittes Szenario sei das raffinierteste, berichtet Stoïk. Nach der Übernahme eines E-Mail-Kontos laden Angreifer den bisherigen Mailverkehr herunter, bauen eine fast identische Absenderadresse und setzen die Unterhaltung außerhalb des gehackten Systems fort.

Dem Empfänger wird der frühere E-Mail-Verlauf oft als PDF angehängt, sodass der Kontakt glaubwürdig wirkt. Kurz vor einer Zahlung kommt dann die Aufforderung zur Änderung der IBAN. Problematisch: Weil die Nachricht nicht mehr über das kompromittierte Konto laufe, würden klassische IT-Sicherheitslösungen sie häufig nicht erkennen, warnt der Assekuradeur.

Viertes Szenario: Whatsapp-Betrug

In einem vierten Szenario nutzt der Angreifer Whatsapp oder ähnliche Messengerdienste, um an Geld zu kommen. Er kontaktiert über mehrere Tage oder Wochen hinweg einen Mitarbeiter und gibt sich als ranghoher Kollege aus.

Er berichtet von einer angeblichen Unternehmensübernahme, die im Stillen vorbereitet werden soll, und erklärt, dass ein externer Berater eine Anzahlung benötige, die nach Abschluss zurückgezahlt werde.

Das Opfer stellt Rückfragen, die der Täter korrekt beantwortet. Der Angreifer kann auf interne Informationen zugreifen, indem er öffentlich verfügbare Daten, frühere E-Mail-Kommunikation oder gestohlene Zugangsdaten nutzt. So wirken seine Antworten auf Rückfragen glaubwürdig, selbst wenn es um vermeintlich vertrauliche Details geht.