Während Massen-Phishing auf hohe Stückzahl bei niedriger Erfolgsrate setzt, dreht Spear-Phishing das Verhältnis um: wenige Ziele, viel Recon im Vorfeld, hohe Erfolgsrate pro Versuch. Wenn es klappt, geht es selten um einen einzelnen Account — es geht um sechs- bis siebenstellige Überweisungen, manchmal um den Schlüssel zur ganzen Infrastruktur. Dieser Artikel ordnet die wichtigsten Spielarten (Spear-Phishing, BEC, CEO-Fraud, Voice-Klon-Angriffe) und zeigt, was wirklich gegen sie wirkt — wovon Awareness-Schulung nur ein Teil ist.
Der Unterschied zu Massen-Phishing
Massen-Phishing schickt eine Mail an Millionen und hofft auf einen niedrigen einstelligen Prozentsatz an Klicks. Die Mail kann generisch sein — wer keinen Amazon-Account hat, ignoriert die Mail, wer einen hat, ist ein potenzielles Opfer.
Spear-Phishing schickt eine Mail an eine Person — nach Recon. Die Mail nimmt Bezug auf real existierende Kolleg:innen, laufende Projekte, terminliche Abwesenheit. Klickraten in Studien (KnowBe4, Cofense, Proofpoint) liegen bei gezielten Kampagnen reproduzierbar im zweistelligen Prozent-Bereich; bei sehr gut vorbereiteten Kampagnen >40 Prozent. Das ist eine Größenordnung über Massen-Phishing.
| Massen-Phishing | Spear-Phishing | |
|---|---|---|
| Zielmenge | Hunderttausende bis Millionen | Eine Person bis ein kleines Team |
| Recon-Aufwand | Minuten (Mail-Listen kaufen) | Stunden bis Tage (LinkedIn, Press, Leaks) |
| Personalisierung | Generisch, vielleicht der Vorname | Konkrete Bezüge zu echten Personen, Projekten, Terminen |
| Klickrate (typisch) | 1–3 % | 10–40 % |
| Mögliche Beute | Kleine Konto-Übernahmen | Sechs- bis siebenstellige Schäden, Infrastruktur-Zugang |
| Branchen-Beispiele | Bank-Phishing, Paket-Phishing | BEC bei Buchhaltung, CEO-Fraud, Lieferanten-Imitation |
Business E-Mail Compromise (BEC)
BEC ist der Sammelbegriff für gezielte Mail-Betrugs-Maschen gegen Unternehmen — meist mit dem Ziel Geld oder Datenherausgabe. Das FBI Internet Crime Complaint Center (IC3) beziffert die jährlichen BEC-Schäden in den USA in den letzten Jahren reproduzierbar im zweistelligen Milliardenbereich — mehr als Ransomware.
Die vier verbreitetsten BEC-Varianten:
1. CEO-Fraud (Fake-President) Mail wirkt von der Geschäftsführung. Geht meist an die Buchhaltung oder Assistenz mit der Bitte um eine dringende, vertrauliche Überweisung. Häufig zeitlich abgestimmt mit echter Abwesenheit des Geschäftsführers (Reise, Konferenz, Urlaub — alles oft auf LinkedIn oder Veranstaltungs-Seiten sichtbar).
2. Vendor-Email-Compromise Ein echter Lieferant wird gehackt — oder sein Mail-Account kompromittiert. Dann geht aus seinem echten Account eine Mail mit „geänderte Bank-Verbindung, ab sofort bitte auf diese IBAN überweisen". Sehr schwer zu erkennen, weil Absender authentisch ist.
3. Account-Compromise Ein Mitarbeiter-Account innerhalb des Ziel-Unternehmens wird übernommen. Aus diesem Account geht eine Mail an die Buchhaltung mit gefälschten Rechnungs-Anweisungen oder Bitte um Daten. Die interne Authentizität (echter Absender, intern bekannter Sprachstil) macht es besonders wirksam.
4. Data-Theft-BEC Statt Geld geht es um Daten. Mail von „HR an die Lohnbuchhaltung" mit Bitte um die W-2-/Lohnsteuer-Daten aller Mitarbeitenden. Identitäts-Diebstahl als nachgelagertes Geschäft.
Was alle vier eint: die Mail selbst macht keinen Code-Schaden — sie löst eine Handlung beim Menschen aus. Klassische technische Schutzmaßnahmen wie Anti-Malware oder URL-Sandbox helfen nicht. Was hilft: Prozesse auf der Ziel-Seite.
Voice-Klon-Angriffe und Deepfake-CEO-Fraud
Seit 2023 ist eine neue Welle dazugekommen: synthetische Stimmen. Mit verfügbaren TTS-Modellen (ElevenLabs, OpenAI, viele Open-Source-Modelle) lässt sich aus 30 Sekunden Audio einer Person — z. B. aus einem YouTube-Vortrag, einem Podcast-Interview oder einer Voice-Mail — eine täuschend echte Klon-Stimme erzeugen.
Realistisches Szenario:
- Vorabend: Spear-Phishing-Mail an die Buchhaltung, angeblich vom CFO: „Morgen melde ich mich telefonisch wegen einer dringenden Sache." — bereitet das Opfer mental vor.
- Nächster Tag: Anruf vom CFO mit gekloner Stimme. Drei Sätze, Druck, gewünschte IBAN, „Ich bin gleich im nächsten Termin, bitte erledigen Sie das jetzt."
- Überweisung.
Erste dokumentierte Großfälle: 2019 ein Energie-Konzern in UK mit 220 000 EUR Schaden über CEO-Voice-Klon; 2024 in Hongkong eine Finanzabteilung, die in einer Deepfake-Video-Konferenz mit mehreren synthetischen „Vorgesetzten" 25 Mio. USD überwies. Beide Fälle sind durch Berichterstattung von HKPF, Mandiant und Reuters belegt.
Was die alten Tricks neu macht:
- Skalierbarkeit. Was vorher viel Schauspiel-Talent verlangte, ist jetzt API-Aufruf.
- Glaubwürdigkeit. Die Tonlage trifft, der Sprachfluss stimmt, der Akzent passt. Menschliches Ohr ist mittlerweile unzuverlässig.
- Echtzeit-Möglichkeit. Manche Tools können Sprach-Klon im Live-Telefonat erzeugen — Anrufer und „CEO" sind dieselbe Person, in Echtzeit umgewandelt.
Diese Technologie ist seit 2023 breit zugänglich, nicht mehr nur staatliche Akteure. Bedeutet für jede Buchhaltungs-Abteilung: ein Anruf, der wie der eigene Vorgesetzte klingt, ist kein Beleg mehr — der echte Beleg ist ein vorab vereinbarter Rückruf-Kanal und der dokumentierte Prozess.
Wie Recon konkret abläuft
Spear-Phisher arbeiten methodisch. Eine typische Recon-Liste vor einem Angriff auf ein mittelständisches Ziel:
- LinkedIn-Profile aller Mitarbeitenden mit relevanten Rollen — Geschäftsführung, Buchhaltung, IT-Leitung, Assistenz. Inkl. Aktivitäts-Historie (was haben sie kürzlich gepostet?), Verbindungen, „Wir freuen uns über das neue Teammitglied"-Posts.
- Web-Auftritt der Firma — Team-Seite, Impressum, Karriere-Seite, Press-Releases.
- Öffentlich zugängliche Sprache der Person, die imitiert werden soll — Podcast-Interviews, Vorträge, Vortragsfolien, eigene Blog-Posts.
- Aktuelle Abwesenheits-Indikatoren — Konferenz-Sprecher-Listen, X-/LinkedIn-Posts mit Reise-Bezug.
- Branchen-Kontext — Lieferanten-Beziehungen aus Press-Releases, Kunden-Logos auf der Webseite, Erwähnungen in Branchen-Medien.
- Datenleck-Recherche. Frühere Datenlecks (durchsuchbar über Have-I-Been-Pwned-Domain-Suche bzw. kommerzielle Stealer-Logs) liefern oft Mail-Adressen, manchmal Passwörter, manchmal kompromittierte interne Mail-Inhalte.
Mit dieser Datensammlung lassen sich Mails, Anrufe oder Video-Calls präzise vorbereiten. Aufwand pro Ziel: typisch zwei bis acht Stunden, abhängig vom Wertversprechen.
Was wirklich gegen BEC schützt
Awareness allein reicht nicht — vor allem nicht, wenn die Mail aus einem echten Account kommt (Vendor-EC, Account-Compromise). Wirksam sind Prozesse:
Vier-Augen-Prinzip bei IBAN-Änderungen und Zahlungs-Anweisungen. Jede neue IBAN, jeder geänderte Zahlungsempfänger wird von einer zweiten Person außerhalb des Mail-Flows verifiziert. Konkret:
- Bei Beträgen über einer definierten Schwelle (typisch 5 000–25 000 EUR): Telefonische Rückbestätigung beim Auftraggeber — nicht auf eine in der Mail genannte Nummer, sondern auf die in den Stammdaten hinterlegte Festnetz-Durchwahl.
- Bei neuen Lieferanten: schriftliche Bestätigung über zweiten Kanal (z. B. Post oder über das Lieferanten-Portal).
- Genehmigungs-Workflow im ERP-/Zahlungs-System mit zweitem Approver für hohe Beträge.
Out-of-Band-Verifikation als Kultur. „Stimmt das gerade?" als Frage ist nicht Misstrauen, sondern Pflicht. Geschäftsführung muss das explizit unterstützen, sonst übersehen Mitarbeitende es aus Höflichkeit oder Eile. Auch der CEO selbst sollte einen Rückruf bei einer „dringenden" Mail begrüßen — und es offen kommunizieren.
Geschäftsführungs-Reisen mit klarem Kommunikations-Plan. Wenn der/die GF auf Reise ist: vorher klar festlegen, „dringende Zahlungs-Anweisungen kommen während meiner Abwesenheit nur über [definierten Kanal] und werden mit [Codewort/Verifikation] bestätigt". Schwellenwert: alles über X EUR braucht meine direkte mündliche Freigabe.
DMARC, SPF, DKIM auf der eigenen Domain. Verhindert (oder erschwert) Spoofing der eigenen Domain durch Angreifer von außen. Wer als CEO einen Anruf einer Mail-„von sich selbst" bekommt, die wirklich aus dem Internet kam, hat ein DMARC-Konfigurations-Problem.
Anomalie-Erkennung im Mail-Gateway. Moderne Mail-Sicherheits-Produkte (Proofpoint, Mimecast, Microsoft Defender for Office 365, Vade) erkennen Display-Name-Spoofing, neu registrierte Look-alike-Domains, ungewöhnliche Geo-Login-Aktivität in Konten, atypisches Mail-Verhalten von intern. Reduziert Volumen — ersetzt aber Prozess nicht.
Codewort-Verfahren bei Voice-/Video-Anrufen. Für besonders exponierte Rollen: vereinbarte Code-Phrase, die im Anruf genannt werden muss. „Welche Stadt hatten wir bei der Klausur letztes Jahr?" — eine Frage, deren Antwort nicht auf LinkedIn steht. Klingt umständlich; spart im Ernstfall sechsstellige Summen.
Übung mit Vorständen. Tabletop-Übungen, in denen die Geschäftsführung einen Spear-Phish-Versuch durchspielt, sind eine der unterschätzten Maßnahmen. Wer einmal sieht, wie überzeugend die eigene Stimme synthetisiert wird, denkt Vier-Augen-Prozesse anders.
Für kleine Unternehmen und Solo-Selbstständige
Wer kein Compliance-Team hat, kommt mit fünf Punkten weit:
- Eine Mail-Adresse als Bestell- und Rechnungs-Adresse. Nicht der Hauptaccount der Person, sondern ein dedizierter Posteingang. Reduziert Vermischung.
- IBAN-Änderungen niemals nur per Mail. Jeder neue Empfänger wird telefonisch verifiziert. Auch der Lieferant, mit dem du seit zehn Jahren arbeitest.
- Kein Klick auf Zahlungs-Aufforderungen aus Mails. Lieber direkt im Online-Banking nachsehen.
- Lieferanten-Vorab-Kommunikation. Wenn du einen Wechsel auf eigenen Bank-Daten anstehst, kündige das per Telefon oder im persönlichen Termin an — und bitte deine Geschäftspartner um dieselbe Disziplin.
- Konten getrennt halten. Kontokorrent fürs operative Geschäft, separates Konto für Reserven. Verlust durch CEO-Fraud bleibt im Worst Case auf dem operativen Konto.
Solo- und Kleinst-Unternehmen sind keine seltenen Ziele — im Gegenteil. Statistisch werden sie öfter getroffen als Konzerne, weil die Prozess-Disziplin geringer ist und der Aufwand für den Angreifer gering bleibt.
Erkennungs-Hinweise bei Spear-Phish
Auch wenn die Mail individuell wirkt, gibt es Muster:
- Druck + Vertraulichkeit + Ausnahme. „Bitte vertraulich behandeln, ich kläre das später" — soll Rückfragen verhindern. Echte Geschäftsführung möchte nicht, dass ihre Anweisungen vor Augen anderer in der Buchhaltung versteckt werden.
- Verschobener Antwort-Kanal. Anruf nicht auf die normale Durchwahl, sondern auf eine Mobile-Nummer, die in der Mail steht. „Nutzen Sie bitte die Nummer in der Signatur, ich erreiche nicht meinen Festnetz-Anschluss."
- Mobile-Endgerät-Signal. „Gesendet von meinem iPhone" — entschuldigt Tippfehler, Kürze, ungewöhnliche Formulierung. Wirkt natürlich, ist aber oft Phishing-Tarnung.
- Look-alike-Domain. Nicht
@firma.de, sondern@firma-gmbh.deoder@firma.comoder mit Umlautwechsel@firmа.de(mit kyrillischem а). Ein-Buchstaben-Unterschiede bei Mail-Domains sind das häufigste BEC-Signal. - Stilbruch zur sonstigen Kommunikation. Geschäftsführung, die sonst ausführlich schreibt, plötzlich kurz und drängend. Oder Buchhalter, der sonst formell ist, plötzlich locker. Stil-Anomalien sind ein realer Hinweis — den ältere Mitarbeitende oft besser erkennen als Anti-Phishing-Software.
Besonderheiten
Erster dokumentierter Voice-Klon-Fall: 2019, UK
Ein UK-basierter Energie-Konzern wurde Opfer eines CEO-Fraud-Anrufs mit gekloner Stimme des deutschen Mutter-Konzern-CEOs. Schaden: 220 000 EUR. Der Fall wurde 2019 vom Wall Street Journal aufgedeckt und ist der erste medienwirksame Beleg für synthetische-Stimmen-Angriffe.
Hongkong-Fall 2024: 25 Mio. USD über Deepfake-Videocall
Ein Mitarbeiter eines Multinational in Hongkong nahm an einer Video-Konferenz teil, in der mehrere "Vorgesetzte" per Deepfake-Video synthetisch erzeugt waren — inklusive Mimik, Stimme und Reaktion. Er überwies 25 Mio. USD an die Angreifer-Konten. Die Hong Kong Police bestätigte den Vorfall offiziell und nutzte ihn 2024 als Warn-Beispiel.
FBI IC3: BEC-Schäden über 50 Mrd. USD seit 2013
Die kumulierten globalen Schäden durch BEC-Operationen seit 2013 übersteigen laut IC3-Berichten 50 Milliarden USD — eine Größenordnung, die Ransomware und alle klassischen Cyber-Angriffsformen zusammengenommen übersteigt.
In Deutschland: BSI hat dezidierte Spear-Phishing-Warnungen
Das BSI veröffentlicht regelmäßig Warnungen zu CEO-Fraud-Wellen, oft mit konkreter Branchenbenennung. Bei kritischen Infrastruktur-Betreibern und im Rahmen von DORA (Finanzsektor) sind Spear-Phishing-Übungen heute Pflicht.
Lieferanten-Compromise ist der schwerste Fall
Wenn die Mail aus einem echten Lieferanten-Account kommt, scheitern fast alle technischen Schutzmaßnahmen. Die Mail hat gültige DKIM-/SPF-Signaturen, kommt von der erwarteten Domain, ist im erwarteten Schreibstil. Einzige Verteidigung: kanalwechselnder Rückruf bei IBAN-Änderungen.
DORA macht das für Finanzbranche zur Pflicht
Der EU-Digital-Operational-Resilience-Act (DORA), seit Januar 2025 vollständig anwendbar, verlangt für Finanz-Institute regelmäßige Threat-led Penetration Tests inkl. Social Engineering. Spear-Phishing-Übungen sind damit für Banken, Versicherungen und Zahlungsdienstleister kein „Nice to have" mehr.
Awareness-Training allein reicht nachweislich nicht
Wiederholte Studien (NCSC UK 2020, BSI Awareness-Studien) zeigen, dass selbst gut geschulte Mitarbeitende bei gut gemachten Spear-Phishs in zweistelliger Prozenthöhe klicken — die Klickrate sinkt durch Training, aber nicht auf null. Konsequenz: organisatorische Schutz-Layer (Prozesse, technische Filter) sind unverzichtbar.
Weiterführende Ressourcen
Externe Quellen
- FBI IC3 – Annual Reports
- BSI – CEO-Fraud (Chefmasche)
- BSI – Lagebericht zur IT-Sicherheit in Deutschland
- APWG – Anti-Phishing Working Group Trends Report
- Mandiant – M-Trends Reports
- Proofpoint – Voice of the CISO Report
- Hong Kong Police Force – Deepfake-Hinweise (Suche: Deepfake / CEO Fraud)
- EU DORA – Digital Operational Resilience Act
- Wall Street Journal – 2019 Voice-Clone CEO Fraud (Originalbericht)