peterschreiber.media - stock.ado

Leitfaden zur Reaktion auf Business E-Mail Compromise

Cyberkriminelle versuchen mit sehr gezielten E-Mail-Angriffen Unternehmen um Geldbeträge zu betrügen. Unternehmen müssen sich vorbereiten und bei einem Vorfall richtig reagieren.

Business E-Mail Compromise (BEC) kostet Unternehmen jedes Jahr Milliarden von Euro. Ein BEC-Betrug kommt in der Regel als Phishing-E-Mail, die zur Zahlung einer neuen Rechnung oder um eine laufende, regelmäßige Zahlung im Namen des Geschäftsführers auffordert.

Das ahnungslose Opfer, in der Regel ein Mitarbeiter aus der Buchhaltung, bezahlt die betrügerische Rechnung. Oftmals kommt die Aufforderung angeblich von einem Vorgesetzten, einer Führungskraft oder einem geschäftskritischen Lieferanten. Dieser behauptet, er sei derzeit nicht erreichbar (zum Beispiel im Flugzeug, auf einer wichtigen Geschäftsreise, das Mobiltelefon funktioniert nicht und so weiter).

Darüber hinaus behauptet er, dass die Zahlung sofort erfolgen müsse, da sonst eine wichtige geschäftliche Transaktion nicht stattfinden würde. In diesem Zusammenhang ist neben dem Begriff Business E-Mail Compromise auch von CEO-Betrug oder CEO-Fraud die Rede.

BEC-Betrügereien können durch eine Richtlinie entschärft werden, die verlangt, dass alle neuen Anfragen für neue Zahlungen oder Änderungen des Zahlungsziels bestätigt werden, indem der Anfragende unter einer zuvor verifizierten Telefonnummer angerufen wird, um die Anfrage zu bekräftigen. Diese Richtlinie muss unumstößlich sein und von der Geschäftsleitung unterstützt werden, damit sich kein Mitarbeiter unter Druck gesetzt fühlt, eine unerwartete, „Last-Minute“-Zahlung ohne die erforderliche Überprüfung vorzunehmen.

Sicherlich sind vor allem große Unternehmen ein lukratives Ziel. Aber kleine und mittlere Unternehmen sind genauso betroffen. Abgesehen davon, dass es sich um ein Unternehmen handeln muss, das Überweisungen tätigt, gibt es kein erkennbares Muster hinsichtlich einer Konzentration auf einen bestimmten Sektor oder eine bestimmte Art von Unternehmen. Glücklicherweise können sich Unternehmen mit den Methoden der Angreifer vertraut machen und lernen, sich gegen sie zu schützen.

Die wichtigsten Angriffsmethoden beim Business-E-Mail-Compromise

Phishing: Phishing-E-Mails werden von den Cyberkriminellen an eine große Anzahl von Benutzern gleichzeitig gesendet, um sensible Informationen zu „fischen“, indem sie sich als seriöse Quellen ausgeben – oft mit legitim aussehenden Logos im Anhang. Banken, Kreditkartenanbieter, Zustelldienste, Strafverfolgungsbehörden und das Finanzamt sind nur einige der gängigen Beispiele. Die meisten dieser Phishing-Mails werden dabei zwar an Personen gesendet, die die jeweilige Bank oder den Finanzdienst nicht nutzen, aber durch die schiere Masse an Aussendungen erreichen diese E-Mails dennoch einen gewissen Prozentsatz der passenden Opfer.

Spear Phishing: Dies ist eine viel gezieltere Form des Phishings. Der Cyberkriminelle hat entweder die anzugreifende Gruppe ausgiebig beobachtet oder Daten von Social-Media-Websites gesammelt, damit er einen persönlicheren Angriff durchführen kann. Die E-Mail geht beim Spear Phishing in der Regel an eine Person oder eine kleine Gruppe von Personen, die die jeweilige Bank oder den Dienst nutzen, für den sich die Betrüger ausgeben. Es ist stets eine Form der Personalisierung enthalten, zum Beispiel der Name des Opfers oder der Name eines Kunden.

Executive „Whaling“: Beim Whaling haben es die Bösewichte auf Top-Führungskräfte und Administratoren abgesehen, typischerweise um Geld von Konten abzuschöpfen oder vertrauliche Daten zu stehlen. Personalisierung und detaillierte Kenntnis der Führungskraft und des Unternehmens sind die Kennzeichen dieser Art von Betrug.

Social Engineering: Alle bisher genannten Techniken fallen unter die breitere Kategorie des Social Engineering. Diese harmlos klingende Bezeichnung wurde ursprünglich als Anwendung soziologischer Prinzipien auf bestimmte soziale Probleme definiert. Im Sicherheitskontext bedeutet der Begriff jedoch den Einsatz von psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren.

Die Kunst des Social Engineering umfasst oft die Auswertung von Informationen aus Social-Media-Seiten, die so genannte Open Source Intelligence (OSINT) sammeln. LinkedIn, Facebook und andere Plattformen bieten eine Fülle von Informationen über Mitarbeiter von Organisationen, die für die Planung von Angriffen genutzt werden können. Dies kann deren Kontaktinformationen, Verbindungen, Freunde, laufende Geschäfte und mehr beinhalten. Leider haben diese Betrügereien eine hohe Erfolgsquote.

Doch auch wenn Phishing-E-Mails nicht direkt zum Betrug des Geschäftsführers oder CEO führen, sind sie die wichtigste Eintrittspforte für Malware und Spyware in das Unternehmen. Einmal im Unternehmen angekommen, können Cyberkriminelle den richtigen Zeitpunkt abwarten, um die finanziellen Verbindungen und Interaktionen innerhalb der Organisation zu finden.

Schließlich lernen sie genug, um einen überzeugenden BEC-Angriff zu starten, wobei sie sich in der Regel als Führungskraft oder Mitarbeiter der Buchhaltung ausgeben. Sie können monatelang unbeobachtet bleiben, während sie die Schlüsselpersonen, Prozesse, Abläufe und Protokolle studieren, die notwendig sind, um Überweisungen oder andere finanzielle Umleitungen innerhalb der Geschäftsumgebung durchzuführen.

Leitfaden zur Reaktion auf Business-E-Mail-Compromise

Sollte es zu einem BEC-Betrugsfall kommen, sollten Unternehmen die folgenden Maßnahmen ergreifen:

Kontaktieren Sie sofort Ihre Bank: Informieren Sie sie über die betreffende Überweisung. Geben Sie den Betrag, den Verwendungszweck und alle anderen relevanten Details an. Fragen Sie die Bank, ob es möglich ist, die Überweisung rückgängig zu machen. Setzen Sie sich mit der Cybersicherheitsabteilung der Bank in Verbindung, informieren Sie sie über den Vorfall und bitten Sie sie um ihr Eingreifen. Sie können sich auch mit ihren Kollegen in der ausländischen Bank in Verbindung setzen, damit diese verhindern, dass die Gelder abgehoben oder anderweitig überwiesen werden.

Kontaktieren Sie Ihre Anwälte: In einigen Fällen, insbesondere bei einem erheblichen Verlust, müssen möglicherweise Mitteilungen an Aktionäre und Stakeholder gemacht werden, und die Vorschriften können eine Meldung des Vorfalls innerhalb eines bestimmten Zeitrahmens erfordern. Ihre Anwälte können Sie über die nächsten Schritte beraten, bei der Erstellung einer Meldeerklärung helfen und bei der Navigation durch die behördlichen und versicherungstechnischen Abläufe unterstützen.

Kontaktieren Sie die Strafverfolgungsbehörden: Neben dem BSI sollte auch das BKA informiert werden. Wenn Sie sich mit den Strafverfolgungsbehörden in Verbindung setzen, identifizieren Sie den Vorfall als „BEC", geben Sie eine kurze Beschreibung des Vorfalls.

Berufen Sie eine Krisensitzung ein: Dies dient dazu, den Vorstand und die Geschäftsleitung über den Vorfall, die unternommenen Schritte und die weiteren Maßnahmen zu informieren.

Führen Sie IT-Forensik durch: Lassen Sie die IT-Abteilung den Vorfall untersuchen, um den Angriffsvektor zu finden. Wenn die E-Mail einer Führungskraft kompromittiert wurde, ergreifen Sie sofortige Maßnahmen, um die Kontrolle über dieses Konto wiederzuerlangen, wie zum Beispiel das Ändern des Passworts und das Überprüfen aller E-Mail-Adressen zur Wiederherstellung des Kontos auf Änderungen, die von den Angreifern vorgenommen wurden. Es ist wahrscheinlich, dass die Organisation weiter infiltriert wurde und andere Konten kompromittiert wurden. Lassen Sie daher die gesamte Palette an Erkennungstechnologien durchlaufen, um jegliche Malware zu finden, die darauf lauert, erneut zuzuschlagen.

Kontaktieren Sie Ihre Versicherungsgesellschaft: Wenn das Geld einmal weg ist, kann es in den meisten Fällen nicht wieder zurückerlangt werden. Dies gilt besonders, wenn das betroffene Unternehmen nicht schnell handelt. Daher ist es notwendig, sich mit Ihrer Versicherung in Verbindung zu setzen, um herauszufinden, ob Sie für den Fall eines Angriffs versichert sind.

Jelle Wieringa

BEC-Betrügereien können durch eine Richtlinie entschärft werden, die verlangt, dass alle neuen Anfragen für neue Zahlungen oder Änderungen des Zahlungsziels bestätigt werden.“

Jelle Wieringa, KnowBe4

Ziehen Sie gegebenenfalls externe Sicherheitsspezialisten hinzu: Wenn in das Unternehmensnetzwerk eingebrochen wurde, sollte dies Mängel in den bestehenden technologischen Sicherheitsvorkehrungen aufzeigen. Diese sind für die eigene IT-Abteilung oft schwieriger zu erkennen als für Außenstehende. Ziehen Sie daher externe Hilfe hinzu, um alle Bereiche des Eindringens aufzuspüren, die die IT-Abteilung möglicherweise übersehen hat.

Das Ziel ist es, jegliche Malware zu eliminieren, die in bestehenden Systemen versteckt sein könnte. Das Unternehmen ist erst dann sicher, wenn der Angriffsvektor isoliert ist und alle Spuren des Angriffs beseitigt wurden.

Isolieren Sie Verstöße gegen die Sicherheitsrichtlinien: Wenn ein solcher Vorfall eintritt, gibt dies wahrscheinlich Hinweise auf Verstöße gegen bestehende Richtlinien. Führen Sie eine interne Untersuchung durch, um solche Verstöße zu erfassen und auch um die Möglichkeit einer Absprache mit den Kriminellen auszuschließen. Ergreifen Sie die entsprechenden disziplinarischen Maßnahmen.

Erstellen Sie einen Plan zur Behebung von Sicherheitsmängeln: Nachdem die unmittelbaren Folgen des Angriffs beseitigt und alle Daten über den Angriff gesammelt wurden, erstellen Sie einen Plan, der die Ergänzung der Technologie und die Schulung der Mitarbeiter umfasst, um zu verhindern, dass sich ein solcher Vorfall wiederholt. Ein wichtiger Teil dieses Plans ist es, das Bewusstsein der Mitarbeiter zu schärfen.

Fazit

Am wichtigsten ist die Vorbereitung. Der hier vorgestellte Leitfaden zur Vorbeugung von CEO-Betrug zeigt Unternehmen die notwendigen Schritte auf, die sie unternehmen müssen, um sich gegen Business E-Mail Compromise abzusichern.

Obwohl diese Schritte die Wahrscheinlichkeit eines Einbruchs erheblich verringern, genügt ein leichtgläubiger oder unaufmerksamer Benutzer, um eine Infektion herbeizuführen. Die Schulung des Sicherheitsbewusstseins spielt eine wesentliche Rolle beim Aufbau einer menschlichen Firewall. Nur wenn die Benutzer die vielen Facetten von Phishing kennen, werden Mitarbeiter und dadurch auch ihre Unternehmen in der Lage sein, selbst den raffiniertesten Versuchen von CEO-Fraud zu widerstehen.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Bedrohungen