8 wichtige Punkte für Ihre BEC-Richtlinie

Laut Verizon machten BEC-Angriffe (Business E-Mail Compromise) im Jahr 2023 mehr als 50 Prozent der Vorfälle im Bereich Social Engineering aus. Die Aggressoren steigern nicht nur das Volumen ihrer Angriffsversuche, sondern werden auch immer raffinierter und automatisierter in der Art und Weise, wie sie ihre Imitationsnachrichten gestalten. Um finanzielle Verluste zu vermeiden, sollten CISOs gemeinsam mit ihren Rechtsteams angemessene BEC-Richtlinien erstellen.

"Cyberkriminelle sind sehr gut darin geworden, sehr überzeugende E-Mail-Angriffe zu verfassen. Vor allem jetzt, da viele von ihnen generative KI-Tools wie ChatGPT nutzen, um diese Angriffe sowohl im Umfang als auch in der Raffinesse zu steigern", betont Mike Britton, CISO bei Abnormal SecuritySecurity. "Viele Social-Engineering-Angriffe sind kaum von legitimen E-Mails zu unterscheiden, so dass sie nicht nur das menschliche Auge täuschen, sondern sich auch der Erkennung durch herkömmliche E-Mail-Sicherheitstools entziehen können." Alles zu Security auf CIO.de

Angesichts der Zunahme von BEC-Angriffen im Jahr 2024 müssen Cybersicherheitsteams und Unternehmensleiter verstehen, dass technologische Schutzmaßnahmen das Risiko nur bedingt mindern können. Die E-Mail-Verteidigung ist deshalb von entscheidender Bedeutung - von Anti-Spoofing-Technologien wie DMARC und SPF bis hin zu Verhaltensanalysen und anderen Tools, um Bedrohungen zu erkennen. Hinzu kommen Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) und ein solides Identitäts- und Zugriffsmanagement (IAM). Um jedoch eine wirksame Tiefenverteidigung aufzubauen, müssen Unternehmen intelligente, auf den Menschen ausgerichtete Geschäfts- und Technologierichtlinien einbauen, die die Risiken auf andere Weise minimieren können.

"Die Stärke eines BEC-Angriffs liegt in seiner Fähigkeit, sein Opfer zu täuschen. Diese Arten von Angriffen enthalten in der Regel keine bösartigen Links, Malware-Anhänge oder Phishing-Hyperlinks und werden oft von kompromittierten Konten vertrauenswürdiger Quellen gesendet", erklärt James Dyer, Threat Intelligence Lead bei Egress. "Sie sind sehr gezielt und gut gestaltet und erscheinen wie legitime, alltägliche Anfragen, die keinen Verdacht erregen würden. Richtlinien wie die Festlegung eines Verfahrens für die Überweisung von Geldern helfen dabei, die Social-Engineering-Stress-Taktiken zu umgehen, die einen Mitarbeiter zu schnellem Handeln zwingen."

Aus diesem Grund ist es für Unternehmen so wichtig, eine umfassende BEC-Richtlinie zu erstellen, die die Benutzer widerstandsfähiger gegen Angriffe macht. Hier sind acht Punkte, die Experten dazu empfehlen:

Regeln zur akzeptablen Nutzung

Eines der grundlegenden Regelwerke, die Unternehmen auf geschäftlicher und technischer Ebene festlegen sollten, um Angriffe abzuwehren, sind akzeptable Nutzungsstandards für Mitarbeiter, die auf E-Mails und andere Geschäftssysteme zugreifen. Eine Acceptable Use Policy (AUP) ist das absolute Minimum für einen richtlinienbasierten Schutz vor BEC-Risiken, sagt Britton.

"AUPs umreißen allgemeine bewährte Sicherheitspraktiken und sollten einen besonderen Schwerpunkt auf Phishing- und BEC-Präventionsrichtlinien legen", erklärt Britton gegenüber CSO. "Dazu können Anforderungen gehören, wie zum Beispiel nicht auf verdächtige Dateianhänge oder Links zu klicken, keine sensiblen Informationen an Dritte weiterzugeben, Anträge auf Rechnungszahlungen und Änderungen der Gehaltsabrechnung doppelt zu prüfen und Schritte zur Meldung von vermuteten Angriffen zu unternehmen."

AUPs sind das Yin zum Yang der Sicherheitsschulung. Während die AUPs sehr genau festlegen, was der Arbeitgeber von seinen Nutzern erwartet, beispielsweise in Bezug auf verdächtige Links, den Umgang mit Änderungen von Rechnungsdaten etc., erklärt das Sicherheitstraining, warum die Richtlinien existieren. Awareness-Schulungen bieten einen Kontext darüber, wie Angreifer vorgehen, warum sie ein Ziel sind und wie teuer ein Fehler sein kann. Im Idealfall bieten sie bessere Werkzeuge, um einen potenziellen Angriff zu erkennen, und gewinnen auch die Zustimmung zur Einhaltung der AUP.

Anforderungen und Häufigkeit von Schulungen

Wie bei den AUPs sollten Security-Awareness-Schulungen in der BEC-Richtlinie als Schlüsselkomponente für das Onboarding vorgeschrieben werden. Die Richtlinie sollte jedoch auch regelmäßige und häufige Trainingskontrollen vorschreiben, wenn der Mitarbeiter im Unternehmen bleibt. "Da sich die Taktiken der Cyberkriminellen ständig weiterentwickeln, sollten Unternehmen mindestens alle vier bis sechs Monate eine Auffrischung durchführen", sagt Britton. "Ziehen Sie in Erwägung, nach Tools zu suchen, mit denen sich diese Schulungen automatisieren lassen.

Diese Aktualisierungen dienen nicht nur dazu, die Bedrohung in Erinnerung zu rufen und zu verdeutlichen, wie ein BEC-Angriff in den verschiedenen Stadien aussieht. Sie bieten auch eine wichtige Gelegenheit, Informationen darüber zu vermitteln, wie sich diese Angriffstechniken seit der letzten Schulung verändert haben. "Informieren Sie Ihre Mitarbeiter regelmäßig im Rahmen von Schulungsprogrammen über die Entwicklung von BEC-Bedrohungen und -Taktiken", erklärt David Derigiotis, Chief Insurance Officer bei Embroker, einem Unternehmen für Unternehmens- und Cyberversicherungen, gegenüber CSO.

Er betont, dass Simulationstests und andere Audits Teil dieser regelmäßigen Aktualisierungen sein müssen. "Der Betrug hat sich von der E-Mail zu gefälschten Audioanrufen entwickelt, bei denen Führungskräfte aus der Führungsebene imitiert werden. Verwenden Sie simulierte Phishing- und Social-Engineering-Übungen, um die Fähigkeit der Mitarbeiter zu testen und zu stärken, verdächtige Anfragen zu erkennen, unabhängig davon, ob sie in Form von E-Mails oder gefälschten Audio- oder Videoanrufen kommen."

Vorgeschriebener BEC-spezifischer Reaktionsplan für Vorfälle

Vorstände und CEOs sollten vorschreiben, dass CISOs BEC-spezifische Verfahren in ihre Incident-Response-Pläne (IRP) aufnehmen. Unternehmen sollten Richtlinien erstellen, die von den Sicherheitsteams verlangen, diese IR-Pläne regelmäßig zu aktualisieren und ihre Wirksamkeit zu testen. In diesem Zusammenhang empfehlen Sicherheits- und Rechtsexperten, dass Unternehmen die Rechtsabteilung in allen Phasen der Reaktion auf Vorfälle beteiligen. Die Rechtsabteilung sollte vor allem in die Kommunikation von Vorfällen mit internen und externen Stakeholdern einbezogen werden, um sicherzustellen, dass das Unternehmen im Falle eines BEC-Angriffs nicht seine rechtliche Haftung erhöht.

"Daher ist es am besten, die Diskussion vor dem Verstoß zu führen und so viel wie möglich zu planen, um Probleme im Voraus anzugehen, anstatt versehentlich Maßnahmen zu ergreifen, die entweder zu einer Haftung führen, die andernfalls nicht bestanden hätte, oder die Haftung über das hinaus erhöhen, was bereits bestanden hätte", erklärt Reiko Feaver, Anwalt für DatenschutzDatenschutz und Datensicherheit und Partner bei Culhane Meadows, gegenüber CSO. Alles zu Datenschutz auf CIO.de

Feaver, die Klienten in Bezug auf BEC Best Practices, Schulungen und ComplianceCompliance berät, sagt, dass BEC-Richtliniendokumente vorsehen sollten, dass die Rechtsabteilung Teil des Bedrohungsmodellierungsteams ist, das die potenziellen Auswirkungen verschiedener Arten von BEC-Angriffen analysiert, damit der Gesichtspunkt der rechtlichen Haftung in den Reaktionsplan aufgenommen werden kann. Alles zu Compliance auf CIO.de

"Darüber hinaus können kompromittierte oder gefährdete Informationen über Geschäftspartner, Kunden, Mitarbeiter etc., einschließlich vertraulicher Informationen, rechtliche Konsequenzen haben, die ebenfalls bei der Erstellung eines IRP und bei der Reaktion auf eine tatsächliche Verletzung berücksichtigt werden sollten", sagt sie.

Regeln für Weitergabe von Organigrammen und anderen betrieblichen Details

BEC-Betrüger können oft sehr überzeugende Social-Engineering-Versuche durchführen, indem sie sich das Wissen über die inneren Abläufe eines Unternehmens zunutze machen. Ziel ist es, bestimmte Mitarbeiter für eine Kontoübernahme anzusprechen und eine glaubwürdige Anfrage an ihre Opfer zu stellen. Wenn die Betrüger beispielsweise wissen, dass ein bestimmter Mitarbeiter die Nummer zwei des Finanzvorstands oder der Assistent des Vorstandsvorsitzenden ist, können sie ihre Bemühungen darauf ausrichten, wen sie zuerst kompromittieren müssen, um glaubwürdige Anfragen zu Finanzgeschäften zu erstellen.

Die Konten dieser jüngeren Mitarbeiter werden vielleicht weniger streng überwacht als die ihrer hochrangigen Chefs, aber ein Angreifer könnte diesen Zugang nutzen, um einem anderen Mitarbeiter eine Anfrage für finanzielle Transaktionen mit fast derselben Autorität zu senden, als wenn sie vom CFO oder CEO selbst gesendet würde. Aus diesem Grund sollten Unternehmen betriebliche Details wie Organigramme und Stellenbeschreibungen nur auf einer Need-to-know-Basis aufbewahren.

"Stellenbeschreibungen, Organigramme und andere Details, die Hacker für gezielte Phishing-Betrügereien nutzen könnten, sollten von Unternehmenswebseiten entfernt werden", betont Stephen Spadaccini, CTO und CPO von SafeGuard Cyber. "Vermeiden Sie es, detaillierte persönliche Informationen auf Social-Media-Seiten zu veröffentlichen, die denjenigen in die Hände spielen, die ihre Social-Engineering-Betrügereien personalisieren wollen."