E-Mail-Betrug in der Supply Chain

Cyberbedrohungen sind nicht länger gleichzusetzen mit Malware. Vielmehr ist es so, dass viele der heute schwerwiegendsten Bedrohungen keinerlei Malware beinhalten – darunter das Credential Phishing (Abgreifen von Anmeldedaten) und der E-Mail-Betrug. Folglich müssen Unternehmen, deren Cyberabwehr sich auf die Erkennung und Blockierung von Malware konzentriert, ihre IT-Sicherheitsstrategie von Grund auf neu überdenken. IT-Security-Teams sind heute gefragt, einem weiten Spektrum unterschiedlichster Cyberbedrohungen effektiv zu begegnen. Und dazu zählt – oftmals stiefmütterlich behandelt – der Betrug über den Angriffsvektor E-Mail.

Je ausgereifter die Methoden der Cyberkriminellen werden, umso systematischer gehen sie vor, um die Supply-Chain-Partner eines Unternehmens mit den jeweiligen Kontaktpersonen auszukundschaften, mit denen man oft tagtäglich oder gar mehrfach am Tag E-Mails austauscht. Sie verfolgen damit das Ziel, dieses Wissen für ihre betrügerischen Zwecke auszunutzen. Verstehen Internet-Betrüger erst einmal, welche Vertrauensbeziehungen mit externen Partnern vorhanden sind, werden sie diese Schwachstelle schnell ausnutzen und den unwissentlichen Mitarbeiter zum unfreiwilligen Alliierten der Cyberkriminellen machen.

Doch die Betrüger gehen bei der Auswahl der Branchen für ihre Betrugsversuche sehr selektiv vor. Vergleicht man verschiedene Branchen hinsichtlich der Angriffshäufigkeit, fällt auf, dass scheinbar offensichtliche Ziele von Cyberkriminellen wie der Rüstungssektor und die Luft- und Raumfahrtbranche deutlich weniger Attacken ausgesetzt sind als beispielsweise Unternehmensberatungen, Firmen der Unterhaltungsbranche und Medien oder Telekommunikationsunternehmen. All diese Branchen rangierten im "Human Factor Report 2018" von Proofpoint unter den Top 5 der Marktsegmente mit den meisten E-Mail-Betrugsversuchen. Der Grund dafür ist, dass es die Mehrheit der E-Mail-Betrüger primär auf Geld und nicht auf Geschäftsgeheimnisse abgesehen haben. Dies führt dazu, dass Branchen besonders attraktiv sind, die regelmässig wertvolle Transaktionen mit komplexen sowie vielfältigen Lieferketten und Kundenbeziehungen vornehmen, und daher einfacher von finanziell motivierten Akteuren ausgenutzt werden können.

Was IT-Security-Teams unternehmen können

Der Schlüssel liegt in einer unternehmensübergreifenden Zusammenarbeit, in die so viele Supply-Chain-Partner wie möglich eingebunden werden sollen. Nur so lässt sich das eigene Unternehmen wirkungsvoll schützen. Dies beginnt bei der E-Mail-Authentisierung ausgehender E-Mails (sodass Lieferanten und Partner den Absender eindeutig identifizieren können), reicht über die Verifikation der Authentizität eingehender E-Mails (um Domain-Betrug zu erkennen), der Verschlüsselung der Übertragung, (sodass E-Mails nicht abgefangen oder verfälscht werden können) und der Nutzung sogenannter Data Loss Prevention Policies (Richtlinien zur Verhinderung von Datenverlust, die ähnlich eines Wachhundes immer dann anschlagen, wenn etwas ungewöhnlich ist und sie zum Beispiel Anomalien in der Kommunikation beobachten).

Nicht zu vernachlässigen ist der Aspekt der Mitarbeiterschulung, da 99 Prozent aller erfolgreichen Angriffe auf die – wenngleich unwissentliche – Aktion eines Mitarbeiters angewiesen sind. IT-Security-Teams sollten überlegen, wie ihre Security-Awareness-Trainings Lieferanten und Partner mit einbinden können. Auch sind simulierte Angriffe, die angeblich von einem Supply-Chain-Partner stammen, eine sinnvolle Option, um zu testen, ob und in welchem Ausmass Mitarbeiter das erforderliche Misstrauen an den Tag legen.

Erfolgt die Umsetzung dieser Massnahmen gemeinsam mit den Partnern, ist ein wichtiger Schritt geschafft, das Risiko über die Supply Chain Opfer von Cyberbetrug zu werden deutlich zu reduzieren.

----------

Cyberkriminelle nutzen heute ­über­wiegend Mitarbeiter als Einfallstor

Viele der heute schwerwiegendsten Cyberattacken enthalten keine Malware mehr, sondern erfolgen über E-Mail-­Betrug. Michele Rapisarda, Senior Channel Account Manager, Switzerland & Austria bei Proofpoint, sagt im Interview, wie sich Unternehmen davor schützen können. Interview: Coen Kaat

Wie sieht eine Cyberattacke über die Supply Chain aus?

Michele Rapisarda: Besonders relevant sind in diesem Zusammenhang Angriffe auf Geschäftsprozesse zwischen den Supply-Chain-Beteiligten. Bei den sogenannten Business-Process-Compromise-Attacken machen sich Angreifer firmeninterne Prozesse oder sogar einzelne Computer oder Maschinen zunutze, um diese durch Manipulation in ihrem Sinne zu verändern. Da es jedoch eine enorme Bandbreite an Angriffsvektoren gibt, müssen Unternehmen priorisieren, welche Geschäftsprozesse besonders geschützt werden müssen. Wir empfehlen, die Priorisierung anhand des mit dem Prozess verbundenen Werts/Risikos sowie der jeweiligen Anfälligkeit für mögliche Angriffe vorzunehmen.

Wie schützt man sich vor Angriffen, die über Zulieferer laufen?

Unternehmen sollten eine Lösung für die korrekte Authentifizierung von Personen und Geräten entlang der gesamten Prozess­kette etablieren. Mittlerweile gelingt es Cyberkriminellen jedoch immer öfter, Identitäten zu stehlen, sodass selbst die raffinierteste Authentifizierungsprüfung ins Leere läuft. Da Identitäten in aller Regel über eine Phishing-Attacke via E-Mail erbeutet werden, muss der Schutz hier ansetzen. Das Unternehmen sollte daher zu Lösungen greifen, die insbesondere E-Mail-basierte Angriffe erkennen und blockieren können. Zudem empfiehlt sich die Verschlüsselung sensibler Daten sowie Regeln, die beispielsweise vorsehen, dass zur Verifizierung eines kritischen Auftrags ein anderer Kommunikationskanal verwendet werden muss. Erfolgt die Anweisung via E-Mail, so muss sich der Mitarbeiter beispielsweise telefonisch die Bestätigung einholen, bevor er einen hohen Betrag überweist oder einen Auftrag storniert, der die gesamte Produktionskette lahmlegen könnte. Des Weiteren muss sichergestellt werden, dass die Mitarbeiter entsprechende Awareness besitzen und sensibilisiert werden.

Woher hole ich die nötige Expertise, um meine Mitarbeiter im Umgang mit Phishing korrekt zu schulen?

Den Faktor Mensch im Mittelpunkt der IT-Sicherheit zu erkennen, ist hierbei von grundlegender Bedeutung. Denn Cyberkriminelle nutzen heute überwiegend Mitarbeiter als Einfallstor. Bei der Zusammenstellung geeigneter Schulungen – beziehungsweise der Auswahl des richtigen Schulungsanbieters – ist darauf zu achten, dass nicht nur die ganze Bandbreite von möglichen Angriffstaktiken vermittelt, sondern das Training in den Arbeitsalltag der Mitarbeiter eingebettet wird. Mitarbeiter sollten auch nach einer Schulung im Arbeitsalltag weiterhin mit "realistisch-echten" vorgetäuschten Phishing-Attacken konfrontiert werden, sodass deren Aufmerksamkeit zu keiner Zeit nachlässt. Indem man ferner feststellt, wer besonders gefährdet ist, lassen sich die Trainings noch individueller an den jeweiligen Bedarf anpassen. Denn diese von uns Very Attacked Persons (VAPs) genannten Mitarbeiter hat die IT-Sicherheitsabteilung oftmals noch gar nicht auf dem Radar, genau da muss man ansetzen.

Welche Geschäftsmöglichkeiten bieten sich hierdurch für den Fachhandel?

Proofpoints technologische Stärken kommen in Europa – und insbesondere auch in der Schweiz – erst durch den Channel zum Tragen. Gegenwärtig werden 100 Prozent des Neukundengeschäfts über Channelpartner abgewickelt. Es ist somit die Kombination der Innovationen und des Know-hows aus dem Hause Proofpoint mit der Expertise unserer Channelpartner, die dazu beitragen, dass die Zufriedenheit unserer langjährigen Kunden bei über 95 Prozent liegt. Durch die Partnerschaft mit Proofpoint kann der Fachhandel seinen Kunden Lösungen bieten, die zielgerichtete Angriffe in der Supply Chain stoppen, Daten und sensible Informationen schützen sowie die Abwehr des Unternehmens gegen Cyberattacken im kompletten Bereich der E-Mail-Kommunikation stärken.