Foto: MMD Creative - shutterstock.com
Laut Verizon machten BEC-Angriffe (Business E-Mail Compromise) im Jahr 2023 mehr als 50 Prozent der Vorfälle im Bereich Social Engineering aus. Die Aggressoren steigern nicht nur das Volumen ihrer Angriffsversuche, sondern werden auch immer raffinierter und automatisierter in der Art und Weise, wie sie ihre Imitationsnachrichten gestalten. Um finanzielle Verluste zu vermeiden, sollten CISOs gemeinsam mit ihren Rechtsteams angemessene BEC-Richtlinien erstellen.
"Cyberkriminelle sind sehr gut darin geworden, sehr überzeugende E-Mail-Angriffe zu verfassen. Vor allem jetzt, da viele von ihnen generative KI-Tools wie ChatGPT nutzen, um diese Angriffe sowohl im Umfang als auch in der Raffinesse zu steigern", betont Mike Britton, CISO bei Abnormal Security. "Viele Social-Engineering-Angriffe sind kaum von legitimen E-Mails zu unterscheiden, so dass sie nicht nur das menschliche Auge täuschen, sondern sich auch der Erkennung durch herkömmliche E-Mail-Sicherheitstools entziehen können."
Angesichts der Zunahme von BEC-Angriffen im Jahr 2024 müssen Cybersicherheitsteams und Unternehmensleiter verstehen, dass technologische Schutzmaßnahmen das Risiko nur bedingt mindern können. Die E-Mail-Verteidigung ist deshalb von entscheidender Bedeutung - von Anti-Spoofing-Technologien wie DMARC und SPF bis hin zu Verhaltensanalysen und anderen Tools, um Bedrohungen zu erkennen. Hinzu kommen Schutzmaßnahmen wie Multi-Faktor-Authentifizierung (MFA) und ein solides Identitäts- und Zugriffsmanagement (IAM). Um jedoch eine wirksame Tiefenverteidigung aufzubauen, müssen Unternehmen intelligente, auf den Menschen ausgerichtete Geschäfts- und Technologierichtlinien einbauen, die die Risiken auf andere Weise minimieren können.
"Die Stärke eines BEC-Angriffs liegt in seiner Fähigkeit, sein Opfer zu täuschen. Diese Arten von Angriffen enthalten in der Regel keine bösartigen Links, Malware-Anhänge oder Phishing-Hyperlinks und werden oft von kompromittierten Konten vertrauenswürdiger Quellen gesendet", erklärt James Dyer, Threat Intelligence Lead bei Egress. "Sie sind sehr gezielt und gut gestaltet und erscheinen wie legitime, alltägliche Anfragen, die keinen Verdacht erregen würden. Richtlinien wie die Festlegung eines Verfahrens für die Überweisung von Geldern helfen dabei, die Social-Engineering-Stress-Taktiken zu umgehen, die einen Mitarbeiter zu schnellem Handeln zwingen."
Aus diesem Grund ist es für Unternehmen so wichtig, eine umfassende BEC-Richtlinie zu erstellen, die die Benutzer widerstandsfähiger gegen Angriffe macht. Hier sind acht Punkte, die Experten dazu empfehlen:
Regeln zur akzeptablen Nutzung
Eines der grundlegenden Regelwerke, die Unternehmen auf geschäftlicher und technischer Ebene festlegen sollten, um Angriffe abzuwehren, sind akzeptable Nutzungsstandards für Mitarbeiter, die auf E-Mails und andere Geschäftssysteme zugreifen. Eine Acceptable Use Policy (AUP) ist das absolute Minimum für einen richtlinienbasierten Schutz vor BEC-Risiken, sagt Britton.
"AUPs umreißen allgemeine bewährte Sicherheitspraktiken und sollten einen besonderen Schwerpunkt auf Phishing- und BEC-Präventionsrichtlinien legen", erklärt Britton gegenüber CSO. "Dazu können Anforderungen gehören, wie zum Beispiel nicht auf verdächtige Dateianhänge oder Links zu klicken, keine sensiblen Informationen an Dritte weiterzugeben, Anträge auf Rechnungszahlungen und Änderungen der Gehaltsabrechnung doppelt zu prüfen und Schritte zur Meldung von vermuteten Angriffen zu unternehmen."
AUPs sind das Yin zum Yang der Sicherheitsschulung. Während die AUPs sehr genau festlegen, was der Arbeitgeber von seinen Nutzern erwartet, beispielsweise in Bezug auf verdächtige Links, den Umgang mit Änderungen von Rechnungsdaten etc., erklärt das Sicherheitstraining, warum die Richtlinien existieren. Awareness-Schulungen bieten einen Kontext darüber, wie Angreifer vorgehen, warum sie ein Ziel sind und wie teuer ein Fehler sein kann. Im Idealfall bieten sie bessere Werkzeuge, um einen potenziellen Angriff zu erkennen, und gewinnen auch die Zustimmung zur Einhaltung der AUP.
Anforderungen und Häufigkeit von Schulungen
Wie bei den AUPs sollten Security-Awareness-Schulungen in der BEC-Richtlinie als Schlüsselkomponente für das Onboarding vorgeschrieben werden. Die Richtlinie sollte jedoch auch regelmäßige und häufige Trainingskontrollen vorschreiben, wenn der Mitarbeiter im Unternehmen bleibt. "Da sich die Taktiken der Cyberkriminellen ständig weiterentwickeln, sollten Unternehmen mindestens alle vier bis sechs Monate eine Auffrischung durchführen", sagt Britton. "Ziehen Sie in Erwägung, nach Tools zu suchen, mit denen sich diese Schulungen automatisieren lassen.
Diese Aktualisierungen dienen nicht nur dazu, die Bedrohung in Erinnerung zu rufen und zu verdeutlichen, wie ein BEC-Angriff in den verschiedenen Stadien aussieht. Sie bieten auch eine wichtige Gelegenheit, Informationen darüber zu vermitteln, wie sich diese Angriffstechniken seit der letzten Schulung verändert haben. "Informieren Sie Ihre Mitarbeiter regelmäßig im Rahmen von Schulungsprogrammen über die Entwicklung von BEC-Bedrohungen und -Taktiken", erklärt David Derigiotis, Chief Insurance Officer bei Embroker, einem Unternehmen für Unternehmens- und Cyberversicherungen, gegenüber CSO.
Er betont, dass Simulationstests und andere Audits Teil dieser regelmäßigen Aktualisierungen sein müssen. "Der Betrug hat sich von der E-Mail zu gefälschten Audioanrufen entwickelt, bei denen Führungskräfte aus der Führungsebene imitiert werden. Verwenden Sie simulierte Phishing- und Social-Engineering-Übungen, um die Fähigkeit der Mitarbeiter zu testen und zu stärken, verdächtige Anfragen zu erkennen, unabhängig davon, ob sie in Form von E-Mails oder gefälschten Audio- oder Videoanrufen kommen."
Vorgeschriebener BEC-spezifischer Reaktionsplan für Vorfälle
Vorstände und CEOs sollten vorschreiben, dass CISOs BEC-spezifische Verfahren in ihre Incident-Response-Pläne (IRP) aufnehmen. Unternehmen sollten Richtlinien erstellen, die von den Sicherheitsteams verlangen, diese IR-Pläne regelmäßig zu aktualisieren und ihre Wirksamkeit zu testen. In diesem Zusammenhang empfehlen Sicherheits- und Rechtsexperten, dass Unternehmen die Rechtsabteilung in allen Phasen der Reaktion auf Vorfälle beteiligen. Die Rechtsabteilung sollte vor allem in die Kommunikation von Vorfällen mit internen und externen Stakeholdern einbezogen werden, um sicherzustellen, dass das Unternehmen im Falle eines BEC-Angriffs nicht seine rechtliche Haftung erhöht.
"Daher ist es am besten, die Diskussion vor dem Verstoß zu führen und so viel wie möglich zu planen, um Probleme im Voraus anzugehen, anstatt versehentlich Maßnahmen zu ergreifen, die entweder zu einer Haftung führen, die andernfalls nicht bestanden hätte, oder die Haftung über das hinaus erhöhen, was bereits bestanden hätte", erklärt Reiko Feaver, Anwalt für Datenschutz und Datensicherheit und Partner bei Culhane Meadows, gegenüber CSO.
Feaver, die Klienten in Bezug auf BEC Best Practices, Schulungen und Compliance berät, sagt, dass BEC-Richtliniendokumente vorsehen sollten, dass die Rechtsabteilung Teil des Bedrohungsmodellierungsteams ist, das die potenziellen Auswirkungen verschiedener Arten von BEC-Angriffen analysiert, damit der Gesichtspunkt der rechtlichen Haftung in den Reaktionsplan aufgenommen werden kann.
"Darüber hinaus können kompromittierte oder gefährdete Informationen über Geschäftspartner, Kunden, Mitarbeiter etc., einschließlich vertraulicher Informationen, rechtliche Konsequenzen haben, die ebenfalls bei der Erstellung eines IRP und bei der Reaktion auf eine tatsächliche Verletzung berücksichtigt werden sollten", sagt sie.
Regeln für Weitergabe von Organigrammen und anderen betrieblichen Details
BEC-Betrüger können oft sehr überzeugende Social-Engineering-Versuche durchführen, indem sie sich das Wissen über die inneren Abläufe eines Unternehmens zunutze machen. Ziel ist es, bestimmte Mitarbeiter für eine Kontoübernahme anzusprechen und eine glaubwürdige Anfrage an ihre Opfer zu stellen. Wenn die Betrüger beispielsweise wissen, dass ein bestimmter Mitarbeiter die Nummer zwei des Finanzvorstands oder der Assistent des Vorstandsvorsitzenden ist, können sie ihre Bemühungen darauf ausrichten, wen sie zuerst kompromittieren müssen, um glaubwürdige Anfragen zu Finanzgeschäften zu erstellen.
Die Konten dieser jüngeren Mitarbeiter werden vielleicht weniger streng überwacht als die ihrer hochrangigen Chefs, aber ein Angreifer könnte diesen Zugang nutzen, um einem anderen Mitarbeiter eine Anfrage für finanzielle Transaktionen mit fast derselben Autorität zu senden, als wenn sie vom CFO oder CEO selbst gesendet würde. Aus diesem Grund sollten Unternehmen betriebliche Details wie Organigramme und Stellenbeschreibungen nur auf einer Need-to-know-Basis aufbewahren.
"Stellenbeschreibungen, Organigramme und andere Details, die Hacker für gezielte Phishing-Betrügereien nutzen könnten, sollten von Unternehmenswebseiten entfernt werden", betont Stephen Spadaccini, CTO und CPO von SafeGuard Cyber. "Vermeiden Sie es, detaillierte persönliche Informationen auf Social-Media-Seiten zu veröffentlichen, die denjenigen in die Hände spielen, die ihre Social-Engineering-Betrügereien personalisieren wollen."
Protokolle für Rechnungen und Finanztransaktionen
Eine der wichtigsten Maßnahmen, um große Verluste durch BEC zu vermeiden, hat nichts mit E-Mail-Abwehr oder technischem Schutz zu tun. Es geht darum, sichere Prozesse für die Rechnungsstellung und die Auslösung von Finanztransaktionen einzurichten, die gegen Betrugsversuche resistent sind.
"Hier geht es eher darum, dass Defense-in-Depth im gesamten Unternehmen in die Geschäftspraktiken integriert wird, nicht nur in die Netzwerksicherheit. Wenn zum Beispiel eine Anfrage zur Änderung von Zahlungsinformationen per E-Mail eintrifft - wie reagiert der Geschäftsprozess darauf?" erklärt Fortra-CISO Chris Reffkin gegenüber CSO. "Standardverfahren wie definierte Prozesse für Geschäftsanfragen und festgelegte Genehmigungshierarchien sind eine gute Maßnahme gegen BECs.
Diese Richtlinien sollten idealerweise verlangen, dass alle Zahlungen zu einer genehmigten Rechnung zurückverfolgt werden können, die einen verifizierten Namen des Zahlungsempfängers, eine Adresse und Zahlungsanweisungen enthält, empfiehlt Roger Grimes, Defense Evangelist bei KnowBe4. "Jede Ad-hoc-Zahlungsanforderung muss formell geprüft werden, bevor die Zahlung ausgestellt wird", sagt Grimes. "Verlangen Sie, dass alle Änderungen von Zahlungsanweisungen auf legitimen Wegen überprüft werden, bevor sie genehmigt werden."
Eine strenge Richtlinie in diesem Bereich kann das Gefühl der Dringlichkeit und die Angst mindern, die Angreifer gegen Mitarbeiter einsetzen, indem sie sich als Führungskraft oder als Chef ausgeben, der eine ungewöhnliche Anfrage stellt. "Eine Richtlinie kann dazu beitragen, Mitarbeiter zu schützen, die die Richtlinie befolgen. Nehmen wir zum Beispiel an, ein Chef schickt von zu Hause aus eine Notfall-E-Mail, in der er einen Mitarbeiter anweist, eine dringende Rechnung zu bezahlen. Der Mitarbeiter kann mit Verweis auf die Richtlinie antworten, dass er die entsprechenden, vordefinierten Richtlinien befolgen muss, bevor er die Rechnung bezahlt. Die Richtlinie schützt den Mitarbeiter davor, dass er Schaden erleidet, nur weil er die Richtlinie befolgt", sagt Grimes.
Out-of-Band-Verifizierung für risikoreiche Änderungen und Transaktionen
Um die Richtlinien für Rechnungen und Finanztransaktionen zu verfeinern, sollten Unternehmen besonders darauf achten, wie sie risikoreiche Transaktionen und Änderungen an Finanzkonten überprüfen und genehmigen. "Die Implementierung strenger Überprüfungsprozesse für Finanztransaktionen und Datenanfragen ist von entscheidender Bedeutung", sagt Igor Volovich, Vice President of Compliance Strategy bei Qmulos. "Dies ist ein entscheidender Schutz gegen BEC-Angriffe und gewährleistet eine gründliche Überprüfung jeder Anfrage. Die Einbindung dieser Prozesse in die täglichen Abläufe schafft einen robusten Abwehrmechanismus."
Eine der wichtigsten Maßnahmen zur Abwehr von BEC-Angriffen besteht darin, sicherzustellen, dass alle risikoreichen Anfragen, die per E-Mail gestellt werden, durch eine Art Verifizierungsprozess außerhalb des Netzwerks weiterverfolgt werden. Das kann ein Telefonanruf, ein gesichertes System oder eine SMS sein.
"Dies ist eine der wichtigsten Richtlinien. Ändern Sie niemals Zahlungs-/Bankdaten allein aufgrund einer E-Mail-Anfrage", betont Robin Pugh, Director of Intelligence for Good und CEO von DarkTower. "Wann immer eine Änderung der Zahlungs- oder Bankdaten per E-Mail angefordert wird, sollte der Empfänger verpflichtet werden, den Anforderer über eine vertrauenswürdige Kontaktmethode telefonisch zu kontaktieren. Mit anderen Worten: Rufen Sie ihn über die hinterlegte Telefonnummer an und vergewissern Sie sich, dass er die Änderung autorisiert hat." Pugh sagt, dass das Hinzufügen einer Richtlinie für einen zweiten Genehmiger in der Hierarchie für risikoreiche Transaktionen das Risiko noch weiter reduzieren und die Bedrohungen durch Insider verringern kann.
Angreifer neigen dazu, in einem kompromittierten E-Mail-Postfach zu sitzen und darauf zu warten, dass eine Zahlungsaktivität stattfindet, die ihnen die Möglichkeit gibt, sich in den Prozess einzuschleusen, warnt Troy Gill, Senior Manager of Threat Intelligence bei OpenText Cybersecurity. Selbst wenn ein Kontakt ein legitimes Dokument per E-Mail zur Verfügung stellt, sollte es durch eine Verifizierung außerhalb des Netzwerks ergänzt werden. "In vielen Fällen nehmen sie ein legitimes Dokument, das zuvor verschickt wurde, und ändern es leicht ab, um ihre (vom Angreifer kontrollierten) Konto- und Bankleitzahlen einzufügen. In diesem Fall sieht der Angriff fast genauso aus wie ein Routinedokument von einem bekannten Kontakt, mit dem einzigen Unterschied, dass die Kontodaten geändert wurden", erklärt Gill. "Es ist entscheidend, dass alle Änderungen außerhalb des E-Mail-Threads bestätigt werden müssen."
Prozess des Antragsregisters
Für einige Unternehmen ist eine Richtlinie, die einen Ad-hoc-Anruf außerhalb der Geschäftszeiten verlangt, möglicherweise nicht streng genug, um das BEC-Risiko zu verringern. Eine Strategie, um die Verifizierungsrichtlinien auf die nächste Stufe zu heben, besteht darin, ein internes sicheres "Anforderungsregister" einzurichten, durch das jede Anfrage zum Austausch oder zur Änderung sensibler Informationen geleitet wird, erklärt Trevor Horwitz, CISO und Gründer von TrustNet.
"Die Vorbeugung von BECs erfordert eine breit angelegte Strategie, da die Bedrohung sowohl von externen gefälschten E-Mails als auch von internen kompromittierten E-Mail-Quellen ausgeht. Wir plädieren für eine neuartige Strategie, die sich an der Betrugsprävention im Finanzdienstleistungssektor orientiert", sagt Horowitz, der auch Präsident von InfraGard Atlanta war, einer Abteilung der gemeinnützigen Vereinigung des FBI für den Informationsaustausch im Bereich der Internetkriminalität. "Diese Richtlinie erfordert eine sekundäre Methode der positiven Überprüfung für alle sensiblen Informationen, die ausgetauscht oder geändert werden, einschließlich Zahlungsempfänger, Bankinformationen, Forderungen und Mitarbeiterdaten. Zu den Mechanismen gehört ein internes sicheres 'Anforderungsregister', das eine positive Validierung vor jedem Informationsaustausch oder jeder Änderung gewährleistet."
Durch diese Richtlinie und Methodik wird jede sensible Anfrage im zentralisierten System registriert und dann durch einen zweiten Faktor genehmigt, sei es ein Telefonanruf, ein einmaliger Passcode (OTP) oder ein Hardware-Sicherheitsschlüssel wie FIDO2. "Die Benutzer werden geschult, sensible Anfragen durch dieses Register zu überprüfen, bevor sie Informationen preisgeben oder Änderungen vornehmen", erklärt Horowitz gegenüber CSO.
Berichterstattung mit offener Tür
Unternehmen sollten eine Richtlinie, eine Kultur und eine Reihe von Prozessen entwickeln, die es den Mitarbeitern leicht machen, Anfragen zu melden, die ihnen unangenehm sind - auch wenn sie bereits Fehler gemacht haben. "Es ist wichtig, dass die Mitarbeiter sich nicht scheuen, einen Vorfall oder eine fragwürdige Handlung zu melden", sagt Feaver. "Je früher etwas gemeldet wird, desto leichter ist es zu beheben, aber verängstigte Mitarbeiter wollen vielleicht keine Fehler zugeben."
Die Idee ist, dokumentierte Schritte und Mechanismen für die Meldung einzurichten und zu versuchen, vereitelte Fehler stärker zu belohnen, als Fehler zu bestrafen. "Als zusätzlichen Anreiz schlage ich ein Belohnungssystem vor - zum Beispiel einen Preispool oder Geschenkkarten - für diejenigen, die erfolgreich versuchte BEC-Angriffe identifizieren und vereiteln", sagt Gill. "Dies wird dazu beitragen, eine defensive Denkweise und eine Null-Vertrauens-Mentalität zu fördern, und die Mitarbeiter müssen wissen, wie sie dies sicher tun können." (jm)