Was ist Business Email Compromise (BEC)?

Business Email Compromise (BEC) ist eine Angriffsform, bei der Kriminelle nicht primär Systeme angreifen, sondern die Geschäftskommunikation per E-Mail. Sie verschaffen sich Zugang zu einem E-Mail-Postfach — beim Absender oder beim Empfänger — und beobachten den Schriftverkehr. Im richtigen Moment greifen sie ein: eine Rechnung wird abgefangen und mit einer geänderten Bankverbindung weitergeleitet, eine Zahlungsanweisung wird im Namen des Geschäftsführers verschickt, ein laufender Kaufprozess wird übernommen. BEC ist deshalb so wirksam, weil keine technische Schwachstelle ausgenutzt wird — sondern Vertrauen in eine bestehende E-Mail-Konversation.

Wie häufig kommt Rechnungsbetrug im Fahrzeughandel vor?

Belastbare branchenspezifische Zahlen sind selten öffentlich. Klar ist: BEC-Angriffe gehören zu den finanziell schädlichsten Cyberangriffsarten überhaupt. Der Fahrzeughandel ist aufgrund der hohen Einzelbeträge und der E-Mail-basierten Kommunikation überproportional betroffen.

Wer haftet, wenn ein Kunde auf ein falsches Konto überweist?

Das hängt davon ab, ob der Kunde Privatperson oder Unternehmen ist — und davon, welche Sicherheitsmaßnahmen das Autohaus getroffen hatte. Im B2B-Bereich hat das OLG Karlsruhe (Az. 19 U 83/22) entschieden, dass der Käufer erneut zahlen muss, wenn der Verkäufer alltagsübliche Sicherheitsmaßnahmen ergriffen hatte. Im B2C-Bereich hat das OLG Schleswig-Holstein (Az. 12 U 9/24) demgegenüber entschieden, dass der Verkäufer den Schaden tragen kann, wenn nur eine Transportverschlüsselung verwendet wurde. Eine pauschale Aussage ist nicht möglich — eine rechtliche Beratung im konkreten Fall ist unerlässlich.

Schützt eine Cyberversicherung vor solchen Schäden?

In vielen Cyberversicherungen sind BEC-Schäden eingeschlossen — allerdings oft mit Voraussetzungen, die das Autohaus erfüllen muss (MFA, dokumentierte Prozesse, Awareness-Trainings). Prüfen Sie Ihren Versicherungsvertrag und sprechen Sie mit Ihrem Versicherungsmakler.

Was bringt mir ein Reality-Check, wenn der Angreifer beim Kunden saß?

Eine berechtigte Frage. Der Reality-Check beantwortet, ob Ihr eigenes Netzwerk sauber ist. Das ist aus zwei Gründen wertvoll: Erstens schließen Sie aus, dass es einen zweiten, parallelen Vorfall in Ihrem Netz gegeben hat. Zweitens haben Sie eine belastbare Aussage gegenüber Versicherung, Anwalt oder im Streitfall vor Gericht.

Können wir einen Reality-Check machen, ohne dass unser IT-Dienstleister involviert ist?

Ja. In der Regel arbeiten wir aber direkt mit dem IT-Dienstleister zusammen — das ist effizienter und führt zu besseren Ergebnissen. Wenn Sie bewusst eine Sicht unabhängig vom IT-Dienstleister wollen, etwa weil Sie dessen Aussage hinterfragen, ist das ebenfalls möglich.

Ressource — Rechnungsbetrug

Rechnungsbetrug beim Fahrzeugkauf — was Autohäuser wissen müssen

Cyberkriminelle manipulieren zunehmend die Kommunikation zwischen Autohäusern und Kunden. Rechnungen werden verändert, Bankverbindungen ausgetauscht, Kaufpreise auf falsche Konten umgeleitet. Dieser Artikel erklärt, wie solche Angriffe ablaufen, wo sie wirklich sitzen — und was Autohäuser tun können.

Verfasst von Achim Kraus, Co-Founder & CTO bei AEGYS

Veröffentlicht: 02. Mai 2026 · Lesezeit ca. 7 Min.

Worum es bei Rechnungsbetrug beim Fahrzeugkauf geht

Bei einem Fahrzeugkauf werden in der Regel hohe Beträge per Überweisung bewegt — fünf- bis sechsstellige Summen sind die Regel, nicht die Ausnahme. Die Kommunikation zwischen Autohaus und Kunde verläuft heute fast ausschließlich digital: per E-Mail, mit angehängter Rechnung, oft über mehrere Mitarbeiter und Wochen hinweg.

Genau dort setzen Angreifer an. Sie greifen nicht das Fahrzeug an, sondern die Kommunikation. Eine veränderte Bankverbindung in einer scheinbar legitimen Rechnung reicht aus, damit der Kunde den Kaufpreis auf ein Konto der Angreifer überweist. Das Fahrzeug ist bereits ausgeliefert. Das Geld kommt nie an. Und die Frage, wer den Schaden trägt, landet vor Gericht.

Dieses Vorgehen wird in der Fachsprache Business Email Compromise (BEC) genannt. Es gehört zu den finanziell schädlichsten Cyberangriffsarten überhaupt — und ist im Fahrzeughandel besonders effektiv, weil hier mehrere Faktoren zusammenkommen: hohe Einzelbeträge, lange Kommunikationswege, viele Beteiligte, Zeitdruck am Ende des Verkaufsprozesses.

Warum Autohäuser ein attraktives Ziel sind

Die deutsche Bitkom-Studie Wirtschaftsschutz 2025 beziffert allein den Schaden durch Cyberangriffe für die deutsche Wirtschaft auf 202 Milliarden Euro¹ — Teil eines Gesamtschadens von 289 Milliarden, der höchste je gemessene Wert. Die Mehrheit der betroffenen Unternehmen sind kleine und mittlere Betriebe. Autohäuser fallen genau in dieses Profil.

Aus Angreifersicht macht den Fahrzeughandel besonders interessant:

Hohe Einzelbeträge. Ein einziger erfolgreicher Angriff bringt mehr ein als monatelanges Phishing in anderen Branchen.
E-Mail als Standardkanal. Verträge, Rechnungen, Zahlungsdaten — alles geht digital, oft ungesichert.
Mehrere Ansprechpartner. Verkäufer, Buchhaltung, Werkstattleitung, Geschäftsleitung — Angreifer können sich auf den schwächsten Punkt konzentrieren.
Zeitdruck am Verkaufsende. Wenn der Kunde liefern soll, ist die Aufmerksamkeit für Details gering.
Selten eigenes Security-Team. Die IT wird typischerweise extern betreut, oft im Stundenmodell.

Wie ein Angriff in der Praxis abläuft

1
1 — Zugang verschaffen
Der Angreifer dringt in ein E-Mail-Konto ein. In den meisten Fällen ist das das Postfach des Kunden, nicht das des Autohauses. Phishing, schwache Passwörter, Daten aus früheren Datenleaks.
2
2 — Kommunikation beobachten
Der Angreifer liest die laufende Korrespondenz mit. Er kennt Beträge, Liefertermine, Ansprechpartner. Oft Wochen lang, ohne entdeckt zu werden.
3
3 — Rechnung manipulieren
Kurz vor der Zahlung greift der Angreifer ein. Er fängt die echte Rechnung des Autohauses ab, ändert die Bankverbindung und leitet die manipulierte Version an den Kunden weiter. Für den Kunden sieht alles legitim aus, weil die Mail aus dem erwarteten Mailwechsel kommt.
4
4 — Zahlung umleiten
Der Kunde überweist auf das Konto der Angreifer. Das Fahrzeug wird ausgeliefert, weil die Übergabe vereinbart ist. Erst Tage oder Wochen später fällt auf, dass die Zahlung nie beim Autohaus eingegangen ist.

Eine wichtige Aufklärung: Der Angreifer sitzt meist außerhalb Ihres Netzwerks

Eine wichtige Unterscheidung: Wo der Angreifer sitzt — und wo Sie hinsehen müssen

Eine verbreitete Annahme ist, dass Rechnungsbetrug aus dem Autohaus-Netzwerk heraus passiert — etwa, weil dort ein E-Mail-Konto kompromittiert wurde. Das kommt vor, ist aber nicht der häufigste Fall.

In der Mehrheit der Vorfälle ist es das Postfach des Kunden, das übernommen wurde. Der Angreifer sitzt also nicht zwingend in der Infrastruktur des Autohauses. Er sieht nur die Mailwechsel, weil er beim Kunden mitliest.

Daraus folgt für Autohäuser eine doppelte Aufgabe — und beide Hälften sind wichtig:

Die Kommunikation strukturell absichern. Bankverbindungen nur über Kaufvertrag, niemals per E-Mail. Klare Zahlungsprozesse, eindeutige Hinweise auf Rechnungen. Diese Maßnahmen wirken auch dann, wenn der Kunde kompromittiert ist — weil sie nicht auf das Postfach angewiesen sind, sondern auf den Geschäftsprozess.
Das eigene Netzwerk im Blick behalten. Die Annahme „der Angreifer sitzt sowieso beim Kunden" ist gefährlich — denn sie führt dazu, das eigene Netzwerk gar nicht erst zu prüfen. In der Praxis kommt es vor, dass dieselbe Kampagne parallel beide Seiten trifft: das Kunden-Postfach und einen Mitarbeiter im Autohaus. Wer das nicht prüft, übersieht möglicherweise den Teil, der noch aktiv ist.

Beide Aufgaben sind unterschiedlich gelagert. Die erste ist organisatorisch und im Verkaufsprozess umzusetzen. Die zweite ist eine Frage der technischen Sicht: Was läuft eigentlich gerade in unserem Netzwerk? Die Antwort darauf ist nicht aus dem Bauchgefühl zu haben — und sie ist genau die Frage, auf die ein Reality-Check eine belastbare, unabhängige Antwort liefert.

Was sagen die Gerichte?

Zwei Urteile, zwei Realitäten

In der Rechtsprechung wird gerade ausgehandelt, wer bei manipulierten Rechnungen den Schaden trägt. Zwei Urteile zeigen, wie unterschiedlich die Antwort ausfallen kann.

OLG Karlsruhe, Az. 19 U 83/22 (B2B)

Ein Gebrauchtwagenkauf zwischen zwei Unternehmen über 13.500 Euro. Hacker fingen die Rechnung ab und sandten zwei Minuten später eine manipulierte Version. Der Käufer überwies an die Betrüger. Das Urteil: Der Käufer muss erneut zahlen. Der Verkäufer hatte alltagsübliche Sicherheitsmaßnahmen getroffen (Passwortwechsel, Firewall, Virenschutz) — mehr ist im normalen Geschäftsverkehr nicht zumutbar.

OLG Schleswig-Holstein, Az. 12 U 9/24 (B2C)

Ein Werkunternehmer rechnete rund 15.000 Euro gegenüber einem privaten Auftraggeber ab. Auch hier wurde die PDF-Rechnung manipuliert. Diesmal wurde die Klage des Unternehmers abgewiesen. Begründung: Bei privaten Empfängern reicht eine einfache Transportverschlüsselung nicht aus — das Gericht forderte Ende-zu-Ende-Verschlüsselung.

Take-Away: Im B2B-Geschäft trägt häufiger der Käufer das Risiko. Im B2C-Geschäft — also beim klassischen Privatverkauf eines Fahrzeugs — kann das Autohaus auf dem Schaden sitzen bleiben. Welche Sicherheitsmaßnahmen tatsächlich greifen und wie sie technisch umgesetzt sind, wird in beiden Konstellationen zur entscheidenden Frage.

Quellen: OLG Karlsruhe, Urteil vom 27.07.2023, Az. 19 U 83/22 · OLG Schleswig-Holstein, Urteil vom 18.12.2024, Az. 12 U 9/24

Was Autohäuser konkret tun können

Wirksame Schutzmaßnahmen lassen sich in drei Kategorien einteilen — und alle drei sind wichtig.

Maßnahme 1Wirkt am stärksten

Kommunikations-Disziplin

Bankverbindungen sollten ausschließlich über offizielle Dokumente kommuniziert werden:

Im Kaufvertrag, nicht später per E-Mail.
Auf der ausgedruckten Übergabe-Rechnung.
In den Fahrzeugdokumenten.

Eine ergänzende Regel auf jeder Rechnung:

„Änderungen unserer Bankverbindung werden niemals per E-Mail mitgeteilt. Bei Rückfragen rufen Sie uns bitte unter unserer bekannten Telefonnummer an."

Solche Hinweise verhindern den Großteil der Angriffe — auch dann, wenn der Kunde kompromittiert ist.

Maßnahme 2Standard-Hygiene

Eigene IT absichern

Auch wenn der Angreifer meist außerhalb sitzt: Die eigene IT muss sauber sein. Zentral sind:

Mehrfaktor-Authentifizierung für alle E-Mail-Konten. Ohne Ausnahme.
Sichere Passwort-Richtlinien und Schutz vor Login-Versuchen aus dem Ausland.
Regelmäßige Prüfung der Postfach-Einstellungen — gerade bei automatischen Weiterleitungen, die Angreifer gerne unbemerkt einrichten.

Diese Maßnahmen sind kein AEGYS-Produkt. Sie gehören in den Aufgabenbereich Ihres IT-Dienstleisters oder eines klassischen Security-Anbieters.

Maßnahme 3Ergänzung

Mitarbeiter sensibilisieren

Eine kurze, regelmäßige Schulung für alle, die im Verkaufs- oder Zahlungsprozess beteiligt sind. Die zentralen Inhalte:

Wie typische BEC-Angriffe aussehen.
Warum Mailadressen oft fast identisch wirken (Tippfehler, vertauschte Zeichen).
Wann zur Sicherheit ein Telefonanruf besser ist als eine E-Mail-Antwort.

Wenn der Vorfall passiert ist — und wenn er noch nicht passiert ist

Schutzmaßnahmen wirken nach vorne. Sie sagen aber wenig darüber aus, was gerade jetzt im Netzwerk passiert. Genau dort bleibt für viele Geschäftsführer eine Frage offen — in drei Situationen:

Nach einem Vorfall. Nach einem Vorfall. Es gab Rechnungsbetrug, der IT-Dienstleister hat die akute Gefahr beseitigt. Aber lief der Angriff auch im eigenen Netz? Oder beschränkte sich der Vorfall auf das Kunden-Postfach?

Bei einem leisen Verdacht. Mehrfache Kunden-Rückfragen zu Bankverbindungen. Eine ungewöhnliche Anmeldung. Etwas, das nicht passt.

Aus Vorsorge. Kein konkreter Anlass — nur die ehrliche Frage: Wenn die Branchenpresse jeden Monat einen neuen Fall meldet, sind wir vielleicht längst betroffen, ohne es zu wissen?

Eine saubere Antwort darauf gibt es nicht aus dem Bauchgefühl. Sie kommt aus einer strukturierten Sicht auf die tatsächliche Netzwerkaktivität — AEGYS Monitor wird passiv im Netzwerk angeschlossen und erkennt, welche Systeme mit welchen Servern sprechen und welche Aktivität tatsächlich läuft. Das Ergebnis ist ein strukturierter Bericht mit einer klaren Antwort: Sieht Ihr Netzwerk so aus, wie es aussehen sollte — oder läuft Aktivität, die niemand erklären kann?

Reality-Check für Autohäuser

Sind Sie sicher, dass Ihr Netzwerk sauber ist?

Eine belastbare, unabhängige Antwort darauf, was tatsächlich im Netzwerk läuft. Als punktueller Reality-Check oder als kontinuierliche Sicht. Auswertung in Deutschland, auf Wunsch direkt mit Ihrem IT-Dienstleister zusammen.

Erstgespräch vereinbaren

15 Minuten. Kein Sales-Call. Wenn nicht passend, sagen wir das offen.

Häufige Fragen

Häufige Fragen zu Rechnungsbetrug beim Fahrzeugkauf

Quellen

¹ Bitkom Wirtschaftsschutz 2025 — bitkom.org/Bitkom/Publikationen/Wirtschaftsschutz-2025
OLG Karlsruhe, Urteil vom 27.07.2023, Az. 19 U 83/22
OLG Schleswig-Holstein, Urteil vom 18.12.2024, Az. 12 U 9/24

Über den Autor

Achim Kraus

Co-Founder & CTO bei AEGYS

Achim hat für die größten Cybersecurity-Unternehmen komplexe Sicherheitsprojekte umgesetzt. Mit AEGYS bringt er diese Erfahrung dorthin, wo sie konkret gebraucht wird: zu Sicherheitsteams, die nach einem Vorfall oder bei einem Verdacht eine belastbare Antwort brauchen — ohne dass dafür ein neues Projekt aufgesetzt werden muss.

Zur ausführlichen Bio