Roman - stock.adobe.com
Business E-Mail Compromise: Risiken und Schutzmaßnahmen
Die Gefahrenlage bei E-Mail-Angriffen ändert sich rasant. Die Methoden der Cyberkriminellen werden immer ausgefeilter. Das zwingt auch Unternehmen dazu, sich anzupassen.
Wenn man Unternehmen und Sicherheitsdienstleister befragt, welche Bedrohungen besonders häufig über E-Mail ins Haus flattern, dann stehen wohl Phishing-Mails und Ransomware an der Spitze der Liste. Doch mittlerweile lässt sich eine Verschiebung innerhalb der Bedrohungslage erkennen. Neue Methoden – individueller und technisch ausgefeilter – sind im Kommen. Der Druck durch staatliche Behörden und erfolgreiche Maßnahmen gegen Cyberkriminellen-Banden zwingt diese sich weiterzuentwickeln. Insbesondere eine neue Methode steht dabei im Fokus von staatlichen Behörden und privaten Sicherheitsdienstleistern:
„Wenn der Chef das sagt, wird es schon so stimmen.“ So oder ähnlich denken sich wohl viele Mitarbeiter in Unternehmen, wenn eine neue E-Mail mit einer (dringlichen) Aufforderung vom Chef höchstpersönlich kommt. Diese Gutgläubigkeit nutzen Angreifer gerne aus, um Mitarbeiter zu manipulieren. Ein vermeintlicher Vorgesetzter weist etwa einen Mitarbeiter per E-Mail an, eine Überweisung zu tätigen, was in vielen Unternehmen ein üblicher Vorgang ist. Aber Betrügern dienen solche vermeintlich harmlosen Prozesse als Einfallstor: Es handelt sich um eine Betrugsmasche namens Business E-Mail Compromise (BEC), bei der die Betrüger die Mitarbeiter dazu bewegen, Geld zu überweisen oder vertrauliche Unternehmens- oder personenbezogene Daten preiszugeben.
Ransomware oder BEC – Was ist die größere Bedrohung?
Zurzeit wird Ransomware noch als die größte Bedrohung in der Unternehmenswelt gesehen. Die disruptive Natur der Attacke zielt darauf ab, den größtmöglichen Schaden zu erzeugen. So wird das Opfer unter Druck gesetzt, die Erpressungssumme, die scheinbar weniger schlimm ist, zu akzeptieren. Das ist bei BEC anders. Der Hauptschaden für das Unternehmen ist das verlorene Geld, das das Opfer dem Social-Engineering-Angreifer übergibt. In der Regel gibt es keine Datenschutzverstöße und es werden selten Kunden oder Lieferanten in Mitleidenschaft gezogen, sodass nur größere Fälle öffentlich bekannt sind und kleinere Fälle unter dem Stichwort „Unfall“ möglicherweise gänzlich ignoriert werden. Aus Tätersicht sieht die Lage jedoch anders aus.
Wenn man die „Einnahmen“ der Kriminellen betrachtet, stellt das FBI in seinem Internet Crime Report von 2023 (PDF) fest, dass Cyberkriminelle in den USA durch BEC-Attacken etwa 50-mal mehr Einnahmen erzielten als durch Ransomware-Lösegelder.
Auch der Trend Micro Email Threat Landscape Report 2023 kommt zum Ergebnis, dass die Anzahl der BEC-E-Mails an Kunden im Vergleich zum Vorjahr um 16 Prozent auf 446.234 gestiegen sei. Im Gegensatz dazu ist die Anzahl der Attacken mit Ransomware-Anhängen gesunken. Das liegt zwar auch an der sich entwickelnden Technologie und weitervoranschreitenden Spezialisierung der Täter, doch der Trend ist deutlich zu erkennen: BEC-Attacken – vor allem gegen Unternehmen – nehmen zu, während Ransomware eher abnimmt. Doch wie läuft ein solcher BEC-Angriff ab?
Business E-Mail Compromise: Der Ablauf einer Attacke
Den Respekt eines Menschen gegenüber seinen Vorgesetzten auszunutzen, um ihn bösartig zu manipulieren, ist so perfide wie effizient. Deshalb ist BEC – im Deutschen auch als „Chef-Masche“ bekannt – die weltweit wohl zurzeit erfolgreichste Cyberangriffstaktik auf Unternehmen. Doch wie funktioniert die Masche genau?
Die Täter suchen zunächst nach einem Opfer und versuchen einen möglichen Angriffsweg mithilfe von öffentlich verfügbaren Informationen zu öffnen. Es handelt sich dabei hauptsächlich um aus Angreifersicht interessante Details, wie zum Beispiel, wer im Unternehmen die Kontrolle hat, welche Geschäfte das Unternehmen tätigt, welche Projekte diskutiert werden und so weiter. Gewisse Personenkreise stehen ebenfalls im Fokus der gezielten Informationssammelei. Das sind Führungskräfte, führende Projektleiter und Mitarbeiter der Finanzabteilung. Der tatsächliche Angriff erfolgt daraufhin in der Regel per E-Mail.
„In den meisten Fällen gibt sich der Täter entweder als Angestellter der Geschäftsführung oder als höhere Führungskraft des Unternehmens aus. Die E-Mails sind authentisch formuliert und zielen darauf ab, dem potenziellen Opfer so viel Druck wie möglich zu machen.“
Richard Werner, Trend Micro
Das angeschriebene Opfer gehört normalerweise zum unteren Management oder ist ein Angestellter in der Buchhaltung. In den meisten Fällen gibt sich der Täter entweder als Angestellter der Geschäftsführung oder als höhere Führungskraft des Unternehmens aus. Die E-Mails sind authentisch formuliert und zielen darauf ab, dem potenziellen Opfer so viel Druck wie möglich zu machen. Es wird im fordernden Ton deutlich gemacht, dass die zu tätigende Aufgabe äußerst dringend sei. Beispielsweise wird von einem bedeutsamen Projekt gesprochen, das von einem schnellen Agieren abhängig sei. Daher wäre es auch „Chefsache“. Ein solcher Befehlston setzt das Opfer unter enormen Druck. Sobald jedoch die Zahlung abgeschlossen ist, gibt es nur noch ein paar herzliche Grüße und das Geld ist futsch. Vom vermeintlichen „Chef“ hört man niemals wieder.
BEC: Diese Maßnahmen können Unternehmen ergreifen
Die aufkommende Bedrohung durch BEC-Angriffe darf nicht länger von deutschen Unternehmen unterschätzt werden. Da die bevorzugte BEC-Methode stark an E-Mails gebunden ist, ist es empfehlenswert in Schulungen darauf einzugehen. Wenn beispielsweise eine dringende Bitte oder Aufforderung von außen kommt, ist sie wahrscheinlich falsch. Auch wenn die „Führungsperson“ momentan keinen Zugriff auf die Unternehmensressourcen hat, da sie sich im Ausland, am Strand oder an einem anderen Ort aufhält – solche Ausreden werden häufiger von Angreifern eingesetzt. Diese Schulungsmaßnahmen kann man sich allerdings schenken, wenn es zur üblichen Praxis der Geschäftsführung gehört, auf privaten Kanälen mit dem Unternehmen zu kommunizieren. Dann muss man sich eher über Prozesse unterhalten, die es ermöglichen die Vorgesetzten zweifelsfrei zu identifizieren.
Es kommt jedoch immer häufiger vor, dass Täter bereits Zugang zu internen Ressourcen hatten. Die E-Mail stammt dann tatsächlich aus dem Inneren und enthält häufig interne Informationen, die zuvor abgegriffen wurden. Aus technischer Sicht gibt es als Gegenmaßnahme etwa KI-gestützte „Schreibstilanalysen“ (Writing Style DNA). Dabei ist wichtig, dass diese Tools zuerst mit Beispiel-E-Mails von Führungskräften auf deren persönlichen Schreibstil trainiert werden. Wenn dies der Fall ist, ist eine solche KI mit hoher Wahrscheinlichkeit in der Lage, falsche E-Mails zu erkennen und auszusortieren. Es gibt also durchaus einige erfolgversprechende Maßnahmen gegen die neueren Arten von E-Mail-Angriffen. Sollten Unternehmen diesen Best Practices und Maßnahmen folgen, werden Angreifer es schwer haben, die Mitarbeitenden zu täuschen und mit dem Geld des Unternehmens weitere kriminelle Aktivitäten zu finanzieren.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
