DMARCPulse
Kostenlos starten
Alle Beiträge FBI IC3 Bericht 2025: 3 Milliarden Dollar Schaden durch Business E-Mail Compromise

Das 3-Milliarden-Dollar-E-Mail-Problem: Was der FBI-IC3-Bericht 2025 für den DACH-Mittelstand bedeutet

Thorsten Dunker
BECFBI IC3DMARCNIS2MittelstandE-Mail-Sicherheit

Das Internet Crime Complaint Center des FBI hat vor wenigen Wochen seinen Jahresbericht 2025 veröffentlicht. Eine Zahl darin sticht heraus, wenn man ein mittelständisches Unternehmen führt: Business E-Mail Compromise hat im vergangenen Jahr Schäden von 3,046 Milliarden US-Dollar verursacht – verteilt auf nur 24.768 gemeldete Fälle. Macht im Schnitt rund 123.000 Dollar Schaden pro Vorfall.

BEC ist damit die zweitschädlichste Cyberkriminalitätsform, die das FBI erfasst – nur Investmentbetrug liegt davor. Und auch wenn die IC3-Zahlen aus den USA stammen, lässt sich das Muster eins zu eins übertragen: dieselben Imitationstaktiken, dieselbe Zahlungsabwicklung über Überweisungen, dieselbe Lücke zwischen “Wir haben E-Mail-Sicherheit” und “Unsere Domain ist tatsächlich geschützt”.

Für den DACH-Mittelstand ist das 2026 relevanter als in jedem Jahr zuvor. Drei Dinge haben sich geändert: NIS2 ist jetzt operativ und schafft persönliche Haftung für Geschäftsführer. Die Bitkom-Studie “Wirtschaftsschutz 2025” meldet Rekordschäden von 289 Milliarden Euro für die deutsche Wirtschaft. Und KI-gestütztes Phishing macht laut FBI Erkennungsmethoden, die auf schlechtem Sprachstil basieren, “zunehmend unbrauchbar”.

Dieser Beitrag ordnet ein, was die IC3-Zahlen tatsächlich aussagen, was sie für DACH-Unternehmen bedeuten und welche technische Maßnahme die größte Lücke schließt – ohne Enterprise-Sicherheitsbudget.

Was die FBI-Zahlen wirklich über BEC aussagen

Ein paar Details aus dem IC3-Bericht 2025 lohnen den genaueren Blick, weil die Schlagzeile allein das Bild nicht vollständig wiedergibt.

Volumen versus Schaden. Die 24.768 BEC-Meldungen sind ein kleiner Anteil der insgesamt 1.008.597 Beschwerden, die das IC3 2025 erhalten hat. Der finanzielle Schaden pro Fall ist aber überproportional: BEC macht weniger als drei Prozent des Meldungsvolumens aus, aber 14,6 Prozent der Gesamtschäden. Das ist keine hochfrequente Massenkriminalität – es ist das genaue Gegenteil.

Die Überweisungs-Realität. Laut Bericht erfolgten 86 Prozent der BEC-Schäden über klassische Überweisungen oder ACH-Transaktionen. Sobald das Geld unterwegs ist, wird die Rückholfrist in Stunden gemessen, nicht in Tagen. Das Recovery Asset Team des FBI arbeitet mit einem “Financial Fraud Kill Chain”-Verfahren, das Gelder abfangen kann – aber nur, wenn die Meldung innerhalb von rund 72 Stunden nach der Überweisung eingeht.

KI skaliert die Bedrohung, sie verändert sie nicht. Der Bericht enthält erstmals einen eigenen Abschnitt zu KI-gestütztem Betrug. BEC-Fälle mit nachweislichem KI-Bezug verursachten über 30 Millionen Dollar Schaden – ein noch kleiner, aber rasch wachsender Anteil. Die wichtigere Aussage des Berichts: KI schafft keine neuen Angriffskategorien. Sie macht bestehende billiger zu skalieren und schwerer durch Sprachqualität allein zu erkennen.

Trendlinie über die Jahre. Die BEC-Meldungen stiegen von 21.442 im Jahr 2024 auf 24.768 im Jahr 2025, die Schäden von 2,77 auf 3,04 Milliarden Dollar. BEC hält sich seit mehreren Jahren stabil unter den zwei schadenträchtigsten Kriminalitätsformen. Das ist kein einmaliger Ausreißer – das ist eine stabile, sich ausweitende Bedrohung.

Warum DACH-Mittelständler die idealen Ziele sind

Die FBI-Daten sind US-zentriert, aber die strukturellen Gründe, warum BEC funktioniert, gelten überall.

Ein typischer BEC-Angriff erfordert keinen Einbruch in den Mailserver des Unternehmens. Der Angreifer registriert eine ähnlich aussehende Domain – oder noch einfacher: Er versendet von irgendeiner Domain und fälscht den sichtbaren “Von”-Absender. Der empfangende Server muss entscheiden, ob er der Nachricht traut. Wenn die imitierte Domain keinen DMARC-Eintrag hat oder DMARC auf p=none (nur Monitoring) steht, hat der Empfangsserver keine Richtlinie, die er durchsetzen könnte. Die gefälschte E-Mail landet im Posteingang.

Genau diese Konfiguration dominiert den DACH-Mittelstand. In einer Studie, die ich Anfang dieses Jahres mit 503 DACH-Domains aus 16 Branchen durchgeführt habe, zeigte sich: 97 Prozent hatten einen SPF-Eintrag, 87 Prozent einen DMARC-Eintrag – aber nur 56 Prozent setzen DMARC tatsächlich durch mit p=quarantine oder p=reject. Etwa jede dritte DACH-Domain mit DMARC steht im Monitoring-Modus: Sichtbarkeit, aber kein Schutz.

Die Bitkom-Studie “Wirtschaftsschutz 2025”, basierend auf einer Befragung von über 1.000 deutschen Unternehmen, meldet, dass 87 Prozent der Unternehmen in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen waren – nach 81 Prozent im Vorjahr. Der Gesamtschaden erreichte 289,2 Milliarden Euro, etwa 70 Prozent davon entfallen auf Cyberangriffe. Phishing und Social Engineering bleiben die häufigsten Angriffsvektoren.

Die Kombination ist unangenehm: DACH-Mittelständler werden auf nahezu universellem Niveau angegriffen, die finanziellen Mechanismen, die BEC in den USA profitabel machen, gelten in Europa genauso, und die technische Maßnahme, die den Angriff bricht – konsequente DMARC-Durchsetzung – ist nur bei gut der Hälfte der relevanten Domains umgesetzt.

Die NIS2-Dimension: von der Best Practice zur rechtlichen Pflicht

Bis 2025 war DMARC-Durchsetzung eine Empfehlung. Mit der operativen NIS2 und ihrer Umsetzung im Cybersicherheitsstärkungsgesetz hat sich das Bild verschoben.

NIS2 erfasst rund 29.500 deutsche Organisationen, die als “wesentliche” oder “wichtige” Einrichtungen gelten. Der Anwendungsbereich geht weit über die klassische kritische Infrastruktur hinaus und umfasst Gesundheitswesen, Lebensmittelproduktion, Logistik, verarbeitende Industrie und digitale Dienstleister. § 30 BSIG verlangt “geeignete technische und organisatorische Maßnahmen” zum Management von Cybersicherheitsrisiken – und § 38 schafft eine persönliche Haftung von Geschäftsführungen bei grober Fahrlässigkeit. Bußgelder reichen bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

E-Mail-Authentifizierung wird im Gesetz nicht namentlich genannt. Nach gängiger Auslegung fällt sie aber klar unter “geeignete technische Maßnahmen”. Die Argumentation ist einfach: BEC ist ein bekanntes, gut dokumentiertes Angriffsmuster. SPF, DKIM und DMARC sind bekannte, dokumentierte Gegenmaßnahmen. Ein Schaden, der auf Domain-Spoofing einer Domain mit p=none zurückgeht, lässt sich kaum als etwas anderes als Fahrlässigkeit verteidigen.

Das ist keine Rechtsberatung – diese Frage gehört zu Ihrem Anwalt. Aber die Richtung ist klar. Wo DMARC-Durchsetzung vor zwei Jahren ein “sollte man” war, ist sie jetzt Teil der dokumentierten Mindestanforderungen, die Auditoren, Versicherungen und Behörden erwarten.

Warum p=none der schlechteste Zustand ist

Von den 87 Prozent DACH-Domains mit DMARC-Eintrag sitzt die größte Einzelgruppe auf p=none. Das ist paradoxerweise die langfristig schlechteste Konfiguration – schlechter als gar kein DMARC.

Eine Domain ohne DMARC-Eintrag signalisiert empfangenden Servern: “Keine Richtlinie deklariert, wende deine Standardeinstellung an.” Viele große Mailbox-Provider wenden inzwischen zunehmend strenge eigene Standardeinstellungen an.

Eine Domain mit p=none sagt den Empfängern aktiv: “Liefere alles aus, auch fehlgeschlagene Authentifizierungen, aber schicke mir einen Bericht.” Die gefälschten E-Mails kommen durch. Der legitime Domaininhaber erhält Berichte über Spoofing-Versuche – unternimmt aber nichts, um sie zu blockieren. Der Empfänger bleibt ungeschützt.

Unternehmen bleiben aus nachvollziehbaren Gründen bei p=none hängen. Drei dominieren:

Angst, legitime E-Mails zu blockieren. Marketing-Automatisierung, Lohnabrechnungs-Dienstleister, Ticket-Systeme, CRM-Plattformen, Anbieter für transaktionale E-Mails – jeder davon ist ein Versender, der authentifiziert werden muss. Der Schritt zu p=quarantine oder p=reject ohne vorherige Identifikation aller legitimen Versender bedeutet, dass echte Geschäfts-E-Mails verloren gehen.

Mangelnde Sichtbarkeit über Versender. DMARC-Aggregat-Berichte (RUA) sind das Mittel, mit dem jede IP-Adresse und jede Domain sichtbar wird, die im Namen des Unternehmens E-Mails versendet. Sie sind allerdings notorisch schwer zu lesen – XML-Dateien, von jedem empfangenden Mailprovider täglich gesendet, oft hunderte pro Woche.

Keine Übersetzung von Bericht zu Maßnahme. Selbst wenn die DMARC-Berichte ausgewertet werden, sagen generische Warnungen wie “SPF check failed” dem Verantwortlichen nicht, welcher DNS-Eintrag konkret zu ändern ist. Die Lücke zwischen “wir haben ein Problem” und “hier ist die Lösung” ist die Stelle, an der die meisten Projekte stocken.

Die Kombination produziert ein stabiles Gleichgewicht: DMARC ist konfiguriert (weil Compliance es verlangt), bleibt aber auf p=none (weil ein Schritt nach vorn riskant wirkt). Das Ergebnis ist Dokumentations-Theater – ein Eintrag existiert, ein Schutz wird nicht geliefert.

Was die Lücke tatsächlich schließt

Drei konkrete Schritte, in der Reihenfolge ihrer Priorität:

1. Den Übergang von p=none auf einen Zeitplan setzen. Aggregat-Berichte müssen analysiert, alle legitimen Versender identifiziert, SPF und DKIM für jeden davon sauber konfiguriert und die Policy schrittweise über p=quarantine zu p=reject weitergeführt werden. Das ist kein Wochenendprojekt, aber für die meisten DACH-Mittelstandsdomänen eine Sache von Wochen, nicht Monaten – sobald die Auswertungspipeline steht.

2. MTA-STS einführen. Mit 8,2 Prozent Verbreitung in DACH ist MTA-STS die am stärksten unterausgeprägte E-Mail-Sicherheitsmaßnahme der Region. Sie erzwingt TLS-Verschlüsselung für eingehende Post und schützt vor SMTP-Downgrade-Angriffen. Die Einrichtung benötigt einen DNS-Eintrag und eine Policy-Datei, die per HTTPS bereitgestellt wird. Im Gesundheitssektor – mit Patientendaten – liegt die Verbreitung bei 15 Prozent, leicht über dem regionalen Durchschnitt, aber 85 Prozent der Gesundheitsdomänen bleiben damit ungeschützt.

3. DNSSEC aktivieren. Mit 15,7 Prozent DACH-Verbreitung bleibt DNSSEC eine Minderheitspraxis. Es schützt vor DNS-Hijacking und Cache-Poisoning-Angriffen. Die meisten DNS-Provider können es mit wenigen Klicks aktivieren; der technische Aufwand ist gering im Verhältnis zur Angriffsfläche, die geschlossen wird.

Keiner dieser Schritte erfordert ein Enterprise-Sicherheitsbudget. Alle sind für Auditoren und Versicherungen sichtbar. Alle brechen spezifische BEC-Angriffsmuster, die in der Drei-Milliarden-Zahl des FBI stecken.

Die ehrliche Zusammenfassung

Die FBI-IC3-Zahlen sind US-amerikanisch, aber das zugrundeliegende Muster ist universell. BEC funktioniert, weil Imitation günstig, Überweisungen schnell und Rückforderungen langsam sind. Die einzige technische Maßnahme, die den Imitations-Schritt bricht – konsequente DMARC-Durchsetzung – ist bei nur 56 Prozent der DACH-Domänen korrekt umgesetzt. NIS2 hat die Frage von “sollten wir das tun” zu “wann werden wir gefragt, warum wir es nicht getan haben” verschoben.

Für Mittelständler in DACH sind die nächsten zwölf Monate das Fenster, in dem diese Arbeit noch präventiv ist statt reaktiv. Die Kosten, bis zu p=reject mit kontinuierlichem Monitoring zu kommen, sind ein Bruchteil eines verhinderten Vorfalls. Die Kosten, einen erfolgreichen BEC-Angriff auf eine ungeschützte Domain zu erklären – gegenüber dem Vorstand, dem BSI, Versicherern, betroffenen Geschäftspartnern – gehören in eine andere Kategorie.

DMARCPulse hilft DACH-Organisationen dabei, diese Lücke zu schließen. Statt generischer Warnungen liefert es konkrete Empfehlungen mit kopierfertigen DNS-Werten, wertet Aggregat-Berichte kontinuierlich aus und verfolgt den Fortschritt zur Durchsetzung über die Zeit. Festpreis pro Domain, ohne Volumengrenze, 14 Tage kostenlos testen ohne Kreditkarte. Jetzt starten auf dmarcpulse.io.

Quellen: FBI Internet Crime Complaint Center, Annual Report 2025 (ic3.gov). Bitkom Wirtschaftsschutz 2025. DACH Email Security Adoption Report 2026 (DMARCPulse, 503 analysierte Domänen). NIS2 / § 30 BSIG.