Gezielter E-Mail-Betrug: Das Risiko in den Griff bekommen

Wie gehen Cyberkriminelle bei Betrugs-E-Mails vor?

In einigen Fällen genügte eine präparierte E-Mail, um die Opfer zu täuschen. In anderen Fällen wurden darüber hinaus dem Original nachempfundene Webseiten eingerichtet, um die Glaubwürdigkeit bei einer Nachrecherche der potenziellen Opfer zu erhöhen.

Ein anderer Ansatz ist die telefonische Kontaktaufnahme der Betrüger, bei der sie sich beispielsweise als Geschäftsführer ausgeben und über ein Gespräch versuchen, Zahlungen zu veranlassen. Dieses Risiko verschärft sich durch Audio-Deepfakes, bei denen die verwendete Stimme exakt so wie die des realen Geschäftsführers klingt.

Betrüger, die in diesem Bereich aktiv sind, verwenden üblicherweise typische Vorgehensweisen, um die potenziellen Opfer zu täuschen:

Fleißarbeit und Recherche. Bei dieser Angriffsform versenden die Kriminellen nicht einfach wahllos E-Mails. Die Betrüger recherchieren vorher, durchkämmen soziale Medien, wie die öffentlich zugängliche Webangebote des Unternehmens auf der Suche nach der richtigen Zielperson und relevanter Zusatzinformationen.

Kontextbezogene Anfragen. Ist die Zielperson identifiziert, geben sich die Betrüger als real existierende Geschäftspartner, Lieferanten oder Dienstleister aus.

Imitieren von Domänen. In ihren Adressen verwenden die Cyberkriminellen ganz ähnliche Domänen, die es für das potentielle Opfer so aussehen lassen als wäre es die Originaladresse.

Social Engineering. Das Betrugsnachrichten leicht am Text und der Bitte um eine Überweisung an eine obskure Person aus einem fernen Land zu erkennen waren, ist längst Geschichte. Bei den aktuellen Angriffen ist sichergestellt, dass die E-Mails sehr ordentlich verfasst und sehr glaubwürdig sind. Diese könnten formell in der Tat vom eigentlichen Geschäftspartner stammen. Zudem verstehen es die Kriminellen in der Nachricht eine Dringlichkeit zu erzeugen, um das potentielle Opfer zum Handeln zu bewegen.

Wie können Unternehmen Business-E-Mail-Compromise begegnen?

Was können Unternehmen tun, um derartige Angriffe zu vereiteln? Dazu bedarf es einer Kombination aus Technologie, Prozessen und nicht zuletzt menschlichem Verhalten. Werfen wir einen Blick auf die einzelnen Faktoren:

Technologie: Es existieren eine ganze Reihe von Sicherheitsprodukten auf dem Markt, die sich sehr intensiv mit eingehenden E-Mails befassen und diese scannen. Dabei werden Absender- und Empfängerangaben auf den Prüfstand gestellt und auf Plausibilität geprüft. Gleiches gilt für die verwendeten Domänen und auch die Reputation derselben. Die E-Mail-Nachrichten selbst werden auf die Verwendung bestimmter Begriffe hin untersucht. Es ist wichtig, dass Unternehmen solche Tools einsetzen, um eine weitere Sicherheitsschicht einzuziehen und bereits möglichst viele potenziell bedrohlichen E-Mails vom Posteingang der Opfer fernzuhalten.

Prozesse: Jedes Mal, wenn eine Anfrage gestellt wird, die Angaben zu finanziellen Transaktionen zu enthält, muss eine Verifizierung erfolgen. Das kann Bankangaben wie Kontonummer, IBAN oder Zahlungsdaten bis hin zu Informationen über Beziehungen zu den Verkäufern haben.

Eine derartige Überprüfung muss obligatorisch sein, und zwar ganz besonders für alle Anwender, die in ihre Rolle von Berufs wegen mit Finanztransaktionen zu tun haben. Sprich, beispielsweise die Finanz- oder Kreditorenbuchhaltung. Die Verwendung eines zweiten Mediums beziehungsweise Informationsweges muss obligatorisch sein.

Eine telefonische Überprüfung einer schriftlichen Anfrage ist beispielsweise ein ganz guter Ansatz. Dies bedeutet, der Empfänger tätigt einen Anruf and den augenscheinlich Anfragenden. Und zwar unter der Verwendung eigener, bereits bestehender Kontaktdaten und nicht denen aus der E-Mail. Diese einfache Verfahrensänderung ist recht einfach zu implementieren und kann große Wirkung haben.

Menschen: Keine Frage, die richtigen Tools und Verfahren stärken die Sicherheit von Unternehmen ungemein. Aber ohne dies bezüglich sensible und gut weitergebildete Mitarbeiter sind diese Bemühungen deutlich weniger wert. Diese Angriffe sind deswegen erfolgreich, weil Menschen einer Kommunikation vertrauen, die augenscheinlich authentisch aussieht.

Wenn eine E-Mail scheinbar von einer bekannten Person aus einem bekannten Unternehmen zu reinem realen Geschäftsvorfall eintrifft, gehen üblicherweise keine Alarmglocken an. Und genau da setzen die Betrüger an. Daher müssen Anwender im Unternehmen über Schulungen zum Sicherheitsbewusstsein aufgeklärt werden, dass diese Art der Bedrohung besteht. So lernen die Nutzer auch auf kleinste Details zu achten, um entsprechende Phishing-Mails zu entlarven.

In der IT-Sicherheit ist das vollständige Abwenden eines Risikos immer eine eher selten gewählte Formulierung. Das ist im Bereich CEO-Fraud beziehungsweise Business-E-Mail-Compromise (BEC) aber ein durchaus erreichbares Ziel. So muss der Cyberkriminelle, das potenzielle Opfer ja in jedem Fall dazu bewegen, eine Banküberweisung in irgendeiner Form zu tätigen. Damit der Angriff nicht erfolgreich ist, muss sichergestellt werden, dass dieses Begehren nicht einfach erfüllt wird.

Wenn die drei genannten Faktoren – Menschen, Prozesse und Technologie – richtig zusammenspielen, kann der Erfolg derlei Angriffe durchaus verhindert werden. Der technische Teil lässt sich dabei am einfachsten umsetzen, die Herausforderung besteht darin, das Sicherheitsbewusstsein aller Beteiligten zu schärfen und veränderte Prozesse hinsichtlich der Überprüfung wirklich nachhaltig zu etablieren.