Die größten Cyberrisiken für Mittelständler lauern in alltäglichen E-Mails. Gefälschte Absender, IBAN-Änderungen oder manipulierte Nachrichten genügen, um in Sekunden hohe Summen zu verlieren. Wer Prozesse absichert, klare Prüfregeln einführt und KI-gestützte Tools nutzt, kann sich effektiv vor diesen Angriffen schützen, unterstreicht Franziska Geier, Geschäftsführerin Stoïk GmbH.
Kurz gesagt: In KMU entstehen die meisten Cyberschäden nicht durch verschlüsselte Server und Ransomangriffe, sondern durch einfache E-Mails an Mitarbeiter. Ransomware sorgt für Schlagzeilen, E‑Mail‑Betrug ebenso für reale Verluste. Die Angriffe treffen zum Beispiel Personalabteilung, Einkauf oder Buchhaltung. Überall dort, wo Prozesse verwundbar sind. Vier typische Fälle aus unserer Praxis zeigen, wie leicht Geld abfließt und wo Makler ihre Kunden sofort robuster machen können
Fall 1: Gehaltsumleitung über Look‑alike‑Domain
So läuft es ab: Eine täuschend ähnliche Absenderadresse (z. B. @company‑gmbh.de @company.de) bittet die Personalabteilung „kurz“ um IBAN‑Änderung. Die Anpassung wird per E‑Mail bestätigt – ohne Rückruf an die hinterlegte Nummer oder Verifizierung im HR‑Portal. Beim nächsten Lauf ist das Gehalt weg. Identifizieren kann man solche Angriffe durch ungewohnte Domains oder abweichende “Reply-To”-Adressen.
Fall 2: Falsche Lieferanten‑IBAN nach Postfach‑Übernahme
So läuft es ab: Nach der Übernahme eines Postfaches durch einen Hacker schreibt der „Lieferant“ aus einem realen Thread: „Neue Bankverbindung, bitte ab dieser Rechnung verwenden.“ Einkauf oder Buchhaltung passt die Stammdaten an und überweist – oft fünf‑ bis sechsstellige Beträge. Ein typisches Anzeichen in dem Fall: IBAN‑Wechsel kurz vor Fälligkeit.
Fall 3: „Thread‑Rekonstruktion“ außerhalb des gehackten Kontos
So läuft es ab: Täter exportieren den E‑Mail‑Verlauf aus dem kompromittierten Postfach, setzen die Konversation über eine Look‑alike‑Adresse fort und hängen den bisherigen Thread als PDF an. Am Ende folgt die Aufforderung, auf eine neue IBAN zu zahlen. Technische Schutzsysteme schlagen nicht an – der Absender wirkt formal sauber. Erkennen lassen sich diese Angriffe oft nur an der minimal veränderten Domain.
Fall 4: Langfristiger WhatsApp‑Druck (CEO‑Fraud)
So läuft es ab: Über Wochen baut ein angeblicher Top‑Manager via Messenger Vertrauen auf („Top‑secret Deal“). Fachfragen werden überzeugend beantwortet. Kurz vor der „Deadline“ wechselt die Kommunikation auf E‑Mail „für die Unterlagen“ – die Anzahlung soll sofort raus. Misstrauisch sollte man werden bei Bitten übliche Sicherheitsprozesse zu umgehen und Vorgänge geheim zu halten.
Gemeinsamer Nenner
Meist versuchen die Angreifer durch suggerierte Eile, Autoritätsbezug, Kanalwechsel – oder langfristig aufgebautes Vertrauen Verwirrung zu stiften und damit die folgenschweren Fehler zu verursachen. Es handelt sich dann meist um Prozessschäden mit digitalem Anlauf, nicht um reine IT‑Vorfälle. Wer nur Firewalls und Backups diskutiert, verfehlt das Hauptrisiko im Mittelstand. Es ist der Mittelstand – insbesondere kleinere Unternehmen – der häufig betroffen ist, weil die Angriffe kaum Kosten verursachen und besonders erfolgreich in diesen Strukturen sich durchführen lassen.
Einfacher und wirksamer Schutz
Wirksamen Schutz bieten technische Systeme, aber auch ein sauberer Prozess. Bankdaten sollten niemals per E-Mail geändert werden – stattdessen ist ein Rückruf an eine bekannte Nummer oder eine Freigabe im HR- oder ERP-Portal mit Zweitbestätigung Pflicht. Kommunikationskanäle dürfen nicht mit Freigabekanälen verwechselt werden: Änderungen an Stammdaten gehören in definierte Workflows mit Vier-Augen-Prinzip. Auch Ausnahmewege über Messenger sind tabu; besonders bei vermeintlicher Eile oder vertraulichen Anweisungen ist eine Gegenprüfung unerlässlich. Schließlich hilft Sensibilisierung für Look-alike-Domains, verbunden mit klaren Checklisten für Rückrufe und Freigaben, um Routinefehler zu vermeiden.
Moderne Softwarelösungen schaffen zusätzliche Kontrolle, ohne Prozesse zu verkomplizieren: Stoïk Email Security kann bereits nach einer Einrichtung in weniger als 5 Minuten Betrugsfälle verhindern. Eine KI-gestützte E-Mail- und Postfachanalyse erkennt finanziell motivierte Betrugsversuche wie Dringlichkeit, gefälschte Zahlungsanweisungen oder vorgetäuschte Lieferantenidentitäten. Aber auch Veränderungen an MFA- oder 2FA-Regeln oder ungewöhnliche VPN-Zugriffe nach Kompromittierung von Postfächern werden erfasst.
So entsteht eine Kombination aus menschlicher Wachsamkeit und automatisierter Präzision – Vertrauen und Kontrolle in Balance.