Am Nachmittag des 15. April 2026 ging an ein Schweizer Industrieunternehmen eine E-Mail ein. Betreff: «Procurement Proposal». Absender: angeblich der CEO eines etablierten Schweizer Branchenverbands. Plausibler Ton, saubere HTML-Signatur mit Logo und Adresse, Mailserver technisch authentifiziert. SPF: pass.
Nur: Der genannte CEO hat diese Mail nie geschrieben.
Was auf den ersten Blick wie eine gewöhnliche Geschäftsanfrage aussah, war ein Business Email Compromise – eine der lukrativsten Betrugsformen des letzten Jahrzehnts. Das FBI beziffert die weltweit gemeldeten BEC-Schäden zwischen Oktober 2013 und Dezember 2023 auf rund 55 Milliarden US-Dollar. Und der Kniff, der diesen konkreten Fall besonders perfide machte, lag in einem einzigen Buchstaben.
Ein Buchstabe, der alles verändert
Stellen wir uns ein illustratives Beispiel vor:
- Legitim:
swisscompany.ch - Betrügerisch:
swlsscompany.ch
Das kleine «i» wurde durch ein kleines «L» ersetzt. In den meisten serifenlosen Schriften – und das sind jene, die Outlook, Gmail und Apple Mail standardmässig verwenden – ist der Unterschied mit blossem Auge praktisch nicht erkennbar. Diese Technik heisst Confusable-Character-Typosquatting: Angreifer registrieren eine Domain, die optisch identisch mit dem Original wirkt, aber technisch eine eigene Identität hat – mit eigener Mail-Infrastruktur, eigenem SPF-Record, eigenen Zertifikaten. Für Mailserver ist die gefälschte Domain völlig legitim. Für das menschliche Auge ist sie nicht vom Original zu unterscheiden.
Genau dieses Muster wurde im vorliegenden Fall angewendet. Der Täter hatte einen regulären Mail-Account bei einem indischen Hosting-Provider (PDR/Directi, Mailhostbox) angelegt, die Identität des Verbands-CEOs übernommen und begann, gezielt Geschäftspartner anzuschreiben. Dokumentiert sind mindestens fünf Fälle bei Firmen in der Schweiz, Deutschland und den USA. Der klassische BEC-Ablauf sieht vor: freundlicher Erstkontakt mit harmlosem Pretext, dann Vertrauensaufbau, dann eine «dringende» Rechnung mit geänderter IBAN oder eine Vorauszahlungsanfrage.
Ein kurzer Schreckensmoment
Ein Angriff dieser Art trifft eine Organisation selten in ruhigen Wochen. Beim betroffenen Verband lief parallel die heisse Phase der Vorbereitung auf ein wichtiges Branchenevent – Messehalle, Sponsoring, Programm, tausende registrierte Teilnehmende. Mitten hinein platzten die ersten Meldungen betroffener Geschäftspartner.
Die erste Frage war naheliegend: «Ist unser Mailserver gehackt?» Gefolgt von Überlegungen zu Datenleck und DSG-Meldepflicht.
Berechtigte Fragen – und solche, die sich gerade in einer ohnehin intensiven Vorbereitungsphase ungern stellen. Die gute Nachricht: Dank der bereits etablierten Anti-Scam-Infrastruktur und der eingespielten Meldekette zwischen dem Verband und unserem Support liessen sich diese Punkte rasch klären. Der Blick in die Original-Header zeigte eindeutig: keine Kompromittierung der echten Domain, keine kompromittierten Mailboxen, keine Datenabflüsse. Eine externe, gefälschte Domain – schlimm genug, aber mit klaren Grenzen. Diese Einordnung gab dem CEO-Team die Ruhe, sich weiter auf das Event zu konzentrieren, während wir parallel die Takedown-Kette aufsetzten.
Unser Abuse-Handling-Prozess
Wir betreuen den betroffenen Verband seit Jahren – von der Website über das CRM bis zur Abwehr von Phishing- und Scam-Kampagnen rund um seine Veranstaltungen. Als die Beweislage zur Typosquat-Domain stand, war klar: Dieser Fall gehört nicht in ein Support-Ticket, sondern in eine strukturierte Incident-Response.
1. Forensische Analyse der Rohdaten
Das betroffene Unternehmen stellte uns die Original-.eml-Datei zur Verfügung – inklusive aller SMTP-Header. Das ist der entscheidende Rohstoff: Ein Screenshot oder eine weitergeleitete Mail reicht nicht. Nur die vollständige Quelle erlaubt die Beweisführung gegenüber Registrar und Mail-Hoster.
Aus den Headern lasen wir heraus:
- Sending MTA:
us2.outbound.mailhostbox.com(IP 208.91.198.44) – ein SMTP-Relay von PDR/Directi - Authentifizierung: SPF pass (die Täter kontrollieren die Typosquat-Domain selbst und konnten einen passenden Record setzen), DKIM fehlt, DMARC nicht publiziert
- Message-ID: ein gültiger Hash auf der gefälschten Domain – Beweis dafür, dass die Mail von dieser Domain regulär versendet wurde
- Submission-Origin: internes Netzwerk
10.25.144.110des Mail-Hosters – kein Spoofing, sondern ein bewusst angelegter, regulär authentifizierter Account
Besonders aufschlussreich waren Artefakte in der HTML-Signatur: Rückstände aus einem Fremd-Template – ein Firmenlogo mit passendem alt-Attribut aus einer völlig anderen Branche und ein unausgefüllter Platzhalter mitten in der Adresszeile. Das sind unübersehbare Spuren eines Signatur-Templates, das zuvor in anderen BEC-Kampagnen gegen andere Organisationen verwendet wurde – ein forensischer Fingerabdruck, der diese Kampagne mit einer breiteren Gruppe aktiver BEC-Operatoren verknüpft.
2. Gezielte Abuse-Reports an die richtigen Stellen
BEC ist ein Mehrfrontenkrieg. Eine generische Meldung an «irgendeine Stelle» bewirkt selten etwas. Wir priorisierten, wem wir in welcher Reihenfolge mit welcher Forderung schreiben:
| Empfänger | Rolle im Angriff | Unsere Forderung |
|---|---|---|
| Mailhostbox | Mail-Hoster – sendet die Mails aktiv aus | SMTP-Account sperren |
| MonoVM | Reseller – hat die Domain verkauft | Kundendaten erhalten für Strafverfolgung |
| Key-Systems | Upstream-Registrar – kontrolliert die .org-Registrierung | Domain deaktivieren |
| NCSC | Bundesamt für Cybersicherheit | Offizielle Schweizer Meldung |
| Betroffene Unternehmen | Direkte Opfer | Warnung vor Folge-Mails |
Jeder dieser Reports wurde individuell formuliert – mit den korrekten forensischen Daten, den passenden Rechtsgrundlagen und einer präzise begründeten Bitte um Handlung. Ein pauschaler Abuse-Brief landet im Standardprozess und wird wochenlang nicht angeschaut. Ein sauber dokumentierter Report mit Message-ID, IP-Adresse, Header-Auszug und Schadensbeleg landet bei einem Case Handler, der eine Entscheidung treffen kann.
Ein Detail, das in diesem Fall den entscheidenden Unterschied machte: Nach dem schriftlichen Report an den Registrar folgte ein persönlicher Nachfass-Anruf. Das Gespräch hat den Fall intern eskaliert – und damit aus einer Warteschlange von hunderten Abuse-Mails auf den Tisch einer Person gehoben, die den Takedown tatsächlich ausführen konnte.
3. Beweissicherung für spätere Verwendung
Parallel zu den technischen Reports sorgten wir dafür, dass die digitalen Spuren des Täters nicht mit dem Takedown verschwinden. Registrierungszeitpunkt, Zahlungsspuren und Login-IPs werden von Registraren nur auf behördlichen Antrag herausgegeben und nach einer gewissen Frist automatisch gelöscht. In unserem Report an MonoVM formulierten wir deshalb explizit eine Datenerhaltungsanfrage:
«Please preserve all customer records associated with the registration, including registration data, login IPs, payment records and communication history, in case of a future formal disclosure request.»
Ob diese Daten je angefordert werden, entscheidet sich später – typischerweise dann, wenn sich aus mehreren Einzelfällen ein Muster mit klarem finanziellem Schaden ergibt und eine Strafverfolgung konkret möglich wird. Ohne den Satz im Abuse-Report wären die Spuren bis dahin längst weg.
Das Ergebnis
Am 16. April 2026, 11:21 UTC – weniger als 24 Stunden nachdem wir die erste Beweiskette zusammengestellt hatten – deaktivierte Key-Systems GmbH die Typosquat-Domain. Mailhostbox sperrte den Sender-Account. MonoVM bestätigte die Datenerhaltung. Das NCSC hat einen offiziellen Vorgang eröffnet. Die betroffenen Unternehmen wurden direkt gewarnt, bevor ein zweiter «Follow-up» kommen konnte.
Die Täter werden die nächste Lookalike-Domain registrieren – das gehört zum Modell. Für uns ist der Fall deshalb nicht abgeschlossen, sondern in die laufende Kampagnen-Beobachtung übergegangen.
Drei Faktoren, die den Unterschied machten
Warum lief dieser Takedown in 24 Stunden, wenn Abuse-Reports sonst tage- oder wochenlang liegen bleiben? Drei Dinge kamen zusammen:
1. Engagierter Agentur-Service mit bestehender Beziehung. Wir kennen den Verband, seine Mailinfrastruktur, seine wichtigen Events und seine internen Abläufe. Als der Fall aufkam, mussten wir keine Briefings führen – wir konnten sofort operativ arbeiten. Und für einen Kunden, den man seit Jahren begleitet, setzt man sich anders ein als für ein anonymes Ticket.
2. Claude als Forensik- und Redaktions-Beschleuniger. Header-Analyse, Template-Spurensuche, die Formulierung eines sauberen, fachlich wasserdichten Abuse-Reports in der Tonalität, die Registrare ernst nehmen – bei diesen Aufgaben beschleunigt uns der Anthropic-AI-Assistent um ein Vielfaches. Was früher einen halben Arbeitstag pro Report gekostet hat, ist jetzt eine Frage von Minuten – mit mehr Konsistenz und weniger Tippfehlern in den Message-IDs.
3. Der persönliche Anruf beim Registrar. Ein E-Mail-Report ist notwendig, aber oft nicht hinreichend. Das kurze Telefongespräch mit dem Abuse-Team hat den Fall vom Standard-Backlog in die Eskalationsschiene gehoben. Das ist nicht technisch, sondern zwischenmenschlich – und genau deshalb so wirkungsvoll.
Keiner dieser drei Faktoren allein hätte es gebracht. Die Kombination schon.
Was Sie aus diesem Fall mitnehmen können
Drei Punkte, die jede Organisation mit einer bekannten Marke betreffen:
1. Typosquats lassen sich nicht technisch verhindern. Weder DMARC noch SPF noch DKIM schützen gegen eine Domain, die einfach ähnlich aussieht – technisch ist sie ja völlig legitim. Der Schutz liegt in der Sensibilisierung der Empfänger und, für kritische Marken, in der defensiven Registrierung der offensichtlichsten Lookalikes (.com, .ch, .co, Varianten mit Bindestrich, Varianten mit vertauschten Buchstaben). Pro Domain typischerweise im niedrigen zweistelligen Franken-Bereich pro Jahr – im Verhältnis zum potenziellen Schaden vernachlässigbar.
2. BEC-Abwehr ist Prozess, nicht Produkt. Kein Spamfilter erkennt zuverlässig eine Domain, die eine Stunde alt ist und per regulär authentifiziertem Account gesendet wird. Entscheidend ist, dass Ihre Organisation weiss, an wen sie sich wendet, wenn eine verdächtige Mail auftaucht – intern (IT, Finanzabteilung) und extern (Agentur, NCSC, Registrar). Wer diesen Prozess erst im Ernstfall erfindet, verliert Stunden, in denen Geld schon unterwegs ist.
3. Forensik-Rohdaten sind Gold wert. Ohne die vollständige .eml-Datei mit allen Headern ist ein Abuse-Report fast wirkungslos. Mitarbeitende sollten wissen, wie man bei Outlook, Gmail und Apple Mail eine Mail als Original-Quelltext exportiert – nicht als Screenshot, nicht als Weiterleitung. Ein Screenshot beweist nichts; eine .eml mit intakten Headern beweist alles.
Wenn Sie einen Vorfall haben
Wir betreuen Abuse-Fälle für unsere Kunden – und in dringenden Fällen auch für Organisationen, die sonst keine spezialisierte Anlaufstelle haben. Wir erstellen die Forensik-Analyse, formulieren Abuse-Reports in der Sprache, die Registrare und Mail-Hoster ernst nehmen, koordinieren die Eskalation bis zum NCSC und sichern die Beweisspuren für eine mögliche spätere Strafverfolgung.
Je früher Sie melden, desto grösser die Chance auf Takedown, bevor das zweite Opfer gezahlt hat.
Dieser Artikel beschreibt einen realen Fall aus dem April 2026. Auf Wunsch des betroffenen Verbands bleiben Organisation und Personen ungenannt; ebenso die direkt betroffenen Empfängerunternehmen. Alle dargestellten technischen Details stammen aus den Original-SMTP-Headern und den versendeten Abuse-Reports.
