8 wichtige Punkte für Ihre BEC-Richtlinie

Protokolle für Rechnungen und Finanztransaktionen

Eine der wichtigsten Maßnahmen, um große Verluste durch BEC zu vermeiden, hat nichts mit E-Mail-Abwehr oder technischem Schutz zu tun. Es geht darum, sichere Prozesse für die Rechnungsstellung und die Auslösung von Finanztransaktionen einzurichten, die gegen Betrugsversuche resistent sind.

"Hier geht es eher darum, dass Defense-in-Depth im gesamten Unternehmen in die Geschäftspraktiken integriert wird, nicht nur in die Netzwerksicherheit. Wenn zum Beispiel eine Anfrage zur Änderung von Zahlungsinformationen per E-Mail eintrifft - wie reagiert der Geschäftsprozess darauf?" erklärt Fortra-CISO Chris Reffkin gegenüber CSO. "Standardverfahren wie definierte Prozesse für Geschäftsanfragen und festgelegte Genehmigungshierarchien sind eine gute Maßnahme gegen BECs.

Diese Richtlinien sollten idealerweise verlangen, dass alle Zahlungen zu einer genehmigten Rechnung zurückverfolgt werden können, die einen verifizierten Namen des Zahlungsempfängers, eine Adresse und Zahlungsanweisungen enthält, empfiehlt Roger Grimes, Defense Evangelist bei KnowBe4. "Jede Ad-hoc-Zahlungsanforderung muss formell geprüft werden, bevor die Zahlung ausgestellt wird", sagt Grimes. "Verlangen Sie, dass alle Änderungen von Zahlungsanweisungen auf legitimen Wegen überprüft werden, bevor sie genehmigt werden."

Eine strenge Richtlinie in diesem Bereich kann das Gefühl der Dringlichkeit und die Angst mindern, die Angreifer gegen Mitarbeiter einsetzen, indem sie sich als Führungskraft oder als Chef ausgeben, der eine ungewöhnliche Anfrage stellt. "Eine Richtlinie kann dazu beitragen, Mitarbeiter zu schützen, die die Richtlinie befolgen. Nehmen wir zum Beispiel an, ein Chef schickt von zu Hause aus eine Notfall-E-Mail, in der er einen Mitarbeiter anweist, eine dringende Rechnung zu bezahlen. Der Mitarbeiter kann mit Verweis auf die Richtlinie antworten, dass er die entsprechenden, vordefinierten Richtlinien befolgen muss, bevor er die Rechnung bezahlt. Die Richtlinie schützt den Mitarbeiter davor, dass er Schaden erleidet, nur weil er die Richtlinie befolgt", sagt Grimes.

Out-of-Band-Verifizierung für risikoreiche Änderungen und Transaktionen

Um die Richtlinien für Rechnungen und Finanztransaktionen zu verfeinern, sollten Unternehmen besonders darauf achten, wie sie risikoreiche Transaktionen und Änderungen an Finanzkonten überprüfen und genehmigen. "Die Implementierung strenger Überprüfungsprozesse für Finanztransaktionen und Datenanfragen ist von entscheidender Bedeutung", sagt Igor Volovich, Vice President of Compliance Strategy bei Qmulos. "Dies ist ein entscheidender Schutz gegen BEC-Angriffe und gewährleistet eine gründliche Überprüfung jeder Anfrage. Die Einbindung dieser Prozesse in die täglichen Abläufe schafft einen robusten Abwehrmechanismus."

Eine der wichtigsten Maßnahmen zur Abwehr von BEC-Angriffen besteht darin, sicherzustellen, dass alle risikoreichen Anfragen, die per E-Mail gestellt werden, durch eine Art Verifizierungsprozess außerhalb des Netzwerks weiterverfolgt werden. Das kann ein Telefonanruf, ein gesichertes System oder eine SMS sein.

"Dies ist eine der wichtigsten Richtlinien. Ändern Sie niemals Zahlungs-/Bankdaten allein aufgrund einer E-Mail-Anfrage", betont Robin Pugh, Director of Intelligence for Good und CEO von DarkTower. "Wann immer eine Änderung der Zahlungs- oder Bankdaten per E-Mail angefordert wird, sollte der Empfänger verpflichtet werden, den Anforderer über eine vertrauenswürdige Kontaktmethode telefonisch zu kontaktieren. Mit anderen Worten: Rufen Sie ihn über die hinterlegte Telefonnummer an und vergewissern Sie sich, dass er die Änderung autorisiert hat." Pugh sagt, dass das Hinzufügen einer Richtlinie für einen zweiten Genehmiger in der Hierarchie für risikoreiche Transaktionen das Risiko noch weiter reduzieren und die Bedrohungen durch Insider verringern kann.

Angreifer neigen dazu, in einem kompromittierten E-Mail-Postfach zu sitzen und darauf zu warten, dass eine Zahlungsaktivität stattfindet, die ihnen die Möglichkeit gibt, sich in den Prozess einzuschleusen, warnt Troy Gill, Senior Manager of Threat Intelligence bei OpenText Cybersecurity. Selbst wenn ein Kontakt ein legitimes Dokument per E-Mail zur Verfügung stellt, sollte es durch eine Verifizierung außerhalb des Netzwerks ergänzt werden. "In vielen Fällen nehmen sie ein legitimes Dokument, das zuvor verschickt wurde, und ändern es leicht ab, um ihre (vom Angreifer kontrollierten) Konto- und Bankleitzahlen einzufügen. In diesem Fall sieht der Angriff fast genauso aus wie ein Routinedokument von einem bekannten Kontakt, mit dem einzigen Unterschied, dass die Kontodaten geändert wurden", erklärt Gill. "Es ist entscheidend, dass alle Änderungen außerhalb des E-Mail-Threads bestätigt werden müssen."

Prozess des Antragsregisters

Für einige Unternehmen ist eine Richtlinie, die einen Ad-hoc-Anruf außerhalb der Geschäftszeiten verlangt, möglicherweise nicht streng genug, um das BEC-Risiko zu verringern. Eine Strategie, um die Verifizierungsrichtlinien auf die nächste Stufe zu heben, besteht darin, ein internes sicheres "Anforderungsregister" einzurichten, durch das jede Anfrage zum Austausch oder zur Änderung sensibler Informationen geleitet wird, erklärt Trevor Horwitz, CISO und Gründer von TrustNet.

"Die Vorbeugung von BECs erfordert eine breit angelegte Strategie, da die Bedrohung sowohl von externen gefälschten E-Mails als auch von internen kompromittierten E-Mail-Quellen ausgeht. Wir plädieren für eine neuartige Strategie, die sich an der Betrugsprävention im Finanzdienstleistungssektor orientiert", sagt Horowitz, der auch Präsident von InfraGard Atlanta war, einer Abteilung der gemeinnützigen Vereinigung des FBI für den Informationsaustausch im Bereich der Internetkriminalität. "Diese Richtlinie erfordert eine sekundäre Methode der positiven Überprüfung für alle sensiblen Informationen, die ausgetauscht oder geändert werden, einschließlich Zahlungsempfänger, Bankinformationen, Forderungen und Mitarbeiterdaten. Zu den Mechanismen gehört ein internes sicheres 'Anforderungsregister', das eine positive Validierung vor jedem Informationsaustausch oder jeder Änderung gewährleistet."

Durch diese Richtlinie und Methodik wird jede sensible Anfrage im zentralisierten System registriert und dann durch einen zweiten Faktor genehmigt, sei es ein Telefonanruf, ein einmaliger Passcode (OTP) oder ein Hardware-Sicherheitsschlüssel wie FIDO2. "Die Benutzer werden geschult, sensible Anfragen durch dieses Register zu überprüfen, bevor sie Informationen preisgeben oder Änderungen vornehmen", erklärt Horowitz gegenüber CSO.

Berichterstattung mit offener Tür

Unternehmen sollten eine Richtlinie, eine Kultur und eine Reihe von Prozessen entwickeln, die es den Mitarbeitern leicht machen, Anfragen zu melden, die ihnen unangenehm sind - auch wenn sie bereits Fehler gemacht haben. "Es ist wichtig, dass die Mitarbeiter sich nicht scheuen, einen Vorfall oder eine fragwürdige Handlung zu melden", sagt Feaver. "Je früher etwas gemeldet wird, desto leichter ist es zu beheben, aber verängstigte Mitarbeiter wollen vielleicht keine Fehler zugeben."

Die Idee ist, dokumentierte Schritte und Mechanismen für die Meldung einzurichten und zu versuchen, vereitelte Fehler stärker zu belohnen, als Fehler zu bestrafen. "Als zusätzlichen Anreiz schlage ich ein Belohnungssystem vor - zum Beispiel einen Preispool oder Geschenkkarten - für diejenigen, die erfolgreich versuchte BEC-Angriffe identifizieren und vereiteln", sagt Gill. "Dies wird dazu beitragen, eine defensive Denkweise und eine Null-Vertrauens-Mentalität zu fördern, und die Mitarbeiter müssen wissen, wie sie dies sicher tun können." (jm)