Kein Virenscanner bietet Schutz

So wurden BEC-Angriffe bereits aus 150 Ländern gemeldet. Beunruhigend ist hier weniger die Zunahme dieser Attacken – alleine 2018 nahmen sie um 297 Prozent zu –, sondern ihre Erfolgsquote. Denn zwischen Dezember 2016 und Mai 2018 stiegen die durch BEC verursachten Schäden um 136 Prozent. Zwischen Juni 2016 und Juli 2019 haben Kriminelle auf diese Weise rund 26 Mrd. US-Dollar erbeuten können. Und nur für Deutschland berichtet der Kreditversicherer Euler Hermes mehr als 165 Mio. Euro gemeldeter Schäden in den Jahren 2015 bis 2019, Tendenz steigend.

Zudem blieb es in Deutschland laut des von Proofpoint veröffentlichen „State of the Phish“-Reports nicht bei einzelnen BEC-Attacken. So verzeichneten 29 Prozent der Befragten zwischen elf und 25 Angriffe, 22 Prozent nahmen zwischen 26 und 50 Angriffe wahr. Dies betrifft die erkannten Angriffe – daneben könnte auch eine Dunkelziffer von BEC-Angriffen bestehen, die nicht als solche erkannt werden.

Jedoch können Unternehmen sich gegen diese Angriffe schützen. Zunächst sollten sie aber verstehen, wie jene Attacken aufgebaut sind. Die erste Gemeinsamkeit der Chefmasche ist, dass sie als solche meistens nicht auf den ersten Blick zu erkennen ist, da sie als vermeintlich vertrauenswürdige E-Mail einer bekannten Person innerhalb des Unternehmens oder von einem vertrauten Lieferanten in der Lieferkette daher kommt. Hier können legitime E-Mail-Adressen auch durch so genanntes Spoofing vorgetäuscht werden.

Phasen eines Angriffs

Damit ein Angriff auch erfolgreich für die Kriminellen verläuft, muss er gut vorbereitet werden. Ziel der Aktionen sind oft nicht etwa Führungskräfte mit weitreichenden Entscheidungsfreiheiten, denn diese können geschult bzw. vorbereitet sein und schneller Verdacht schöpfen. Vielmehr nehmen die Kriminellen die Mitarbeiter ins Visier, die beispielsweise mit der Sachbearbeitung betraut sind und nicht an oberer Stelle in der Unternehmenshierarchie stehen. Hier können die Angreifer besser Druck ausüben.

Ein Angriff unterteilt sich in vier Phasen. In der ersten recherchieren Cyberkriminelle zunächst, wer als Adressat in Frage kommen könnte. Hierzu nutzen sie verschiedene Quellen und identifizieren die Personen, die etwa über eine finanzielle Entscheidungskompetenz verfügen. Das können etwa Personen aus der Buchhaltung oder dem Controlling sein. Ein Teil der Recherche ist es, an Hintergrundinformationen zu gelangen, die den Inhalt einer gefälschten E-Mail glaubwürdig erscheinen lassen. Hierzu nutzen die Kriminellen jede verfügbare Quelle – auch und gerade soziale Medien im beruflichen Umfeld wie Linkedin und Xing.

Anschließend erfolgt die Vorarbeit. Hier bauen die Betrüger eine Beziehung zur Zielperson auf. Dieser Prozess kann sich über Tage, Wochen oder gar Monate hinziehen, um die notwendige Vertrautheit herzustellen. Die dritte Phase besteht aus der eigentlichen Falle. Sobald der Angreifer ein oder mehrere Absendekonten entweder kompromittiert oder täuschend nachgeahmt hat und davon überzeugt ist, dass das Opfer sie für echt hält, macht er seinen Zug. In den meisten Fällen wird die Zielperson aufgefordert, eine Überweisung zu veranlassen oder die Zahlungsdetails einer bestehenden ausstehenden Zahlung zu ändern.

Schließlich schnappt die Falle zu und der Cyberkriminelle kann seine Ernte einfahren. In der letzten Phase, dem Betrug, glaubt das Opfer, dass die Anweisung echt ist und überweist Geld auf das Konto des Betrügers. Nach der Überweisung wird die Summe in der Regel schnell weitergeleitet, so dass eine Rückbuchung unmöglich wird, falls der Betrug aufgedeckt wird.

Passende Abwehrmaßnahmen

Um wirksam gegen BEC vorzugehen, müssen die Mitarbeiter entsprechend geschult und sensibilisiert werden. Anders als in den Fällen, in denen beispielsweise Malware über E-Mail verteilt wird, fehlt in BEC-Mails ein Anhang oder ein Link, da diese Angriffe sich nicht gegen die IT-Infrastruktur wenden, sondern gegen den Menschen. Auch die Verteidigungsstrategie gegen diese Art der Angriffe muss „Mensch-kompatibel“ aufgebaut werden.

Neben technischen Maßnahmen wie etwa der Einführung von DMARC (Domain-based Message Authentication, Reporting and Conformance) in der Lieferkette, ist eine gute Methode ein kontinuierliches Training der Mitarbeiter. Dies soll nicht bedeutet, dass mit einer Präsentation oder einer eintägigen Schulung alles erledigt ist. Vielmehr sollten Trainer gelegentlich Scheinangriffe auf Mitarbeiter unternehmen, um sie dann anhand ihres Verhaltens zu coachen. Da BEC zu einem beträchtlichen Schaden bei Unternehmen führen kann, sollten IT-Verantwortliche zügig handeln und den Faktor „Mensch“ in ihre Sicherheitsstrategie miteinbeziehen.

Bildquelle: Getty Images / iStock / Getty Images Plus