Business Security

BEC-Angriffen vorbeugen

Betrügereien mit Business E-Mail Compromise (BEC) nutzen die Schwächen der menschlichen Natur aus

BEC-Betrug gilt heutzutage als eine der größten Bedrohungen für Unternehmen. Zahlen des FBI zufolge verliefen zwischen Juni 2016 und Juli 2019 allein in den USA 32 367 BEC-Betrugsfälle erfolgreich, was die betroffenen Unternehmen über 3,5 Milliarden USD kostete. Zum Glück gibt es einige einfache, aber wirkungsvolle Strategien, um BEC-Angriffe abzuwehren.

Was ist BEC

BEC-Angriffe sind ausgeklügelte Betrugsversuche, die auf Unternehmen und Personen abzielen, die Überweisungen durchführen. Im Gegensatz zu herkömmlichen E-Mail-Betrügereien, die an Tausende oder Millionen Anwender verschickt werden, sind diese Angriffe extrem gründlich und zielgerichtet ausgelegt. Bei einem typischen BEC-Betrug verschafft sich ein Angreifer per Phishing, Malware-Infektion, gestohlenen Kennwörtern oder Brute-Force-Angriff Zugriff auf das E-Mail-Konto einer Führungskraft. Dann beobachtet der Angreifer die Kommunikationsgewohnheiten des Opfers, um sich einen gründlichen Überblick über die Routinen, Abläufe und Prozesse des Unternehmens zu verschaffen. Sobald die Beobachtungen abgeschlossen sind, wird eine dringend klingende E-Mail an das Ziel geschickt, in der der Empfänger gebeten wird, ein wichtiges Anliegen auszuführen. Das Überzeugende an dem Betrug ist, dass die E-Mail über einen legitimen Kommunikationskanal eingeht und scheinbar von einem bekannten und vertrauenswürdigen Kontakt stammt. Die Zielperson fühlt sich häufig in Zugzwang, der Anfrage schnellstmöglich ohne Rückfrage nachzukommen, weil sie offenbar direkt vom Chef oder dessen Vorgesetzten kommt.

So vermeidet man BEC-Angriffe

Die beste Strategie, um BEC-Betrug zu vermeiden, ist ein mehrschichtiger Ansatz mit verschiedenen Kontrollen und Gegenprüfungen. Hierbei kommen drei wesentliche Punkte ins Spiel:

  1. Schulung: Die Mitarbeiter eines Unternehmens sind die erste und wichtigste Verteidigungslinie gegenüber BEC-Angriffen. Indem dem Personal beigebracht wird, welche Anzeichen es für einen Betrug gibt, lässt sich das Risiko einer Gefährdung durch Täuschung bereits erheblich mindern.
  2. Für einen BEC-Betrug müssen sich die Angreifer zunächst Zugriff auf ein E-Mail-Konto des Unternehmens verschaffen. Zum Verhindern derartiger Angriffe ist es daher wichtig, diesen ersten Ansatzpunkt zu beseitigen.
  3. Die vorgenannten Schritte können zwar das Risiko minimieren, dass ein Konto kompromittiert wird, aber kein präventives System ist wirklich 100 Prozent sicher. Daher sollten Mitarbeiter immer vorsichtig sein und auf Hinweise für einen Betrugsversuch achten.

Häufigsten Anzeichen für einen BEC-Angriff:

  • Ungewöhnliche E-Mails von Führungskräften: Betrüger geben sich oft als höher gestellte Personen aus, um auf das Opfer psychologischen Druck auszuüben. Bestärken Sie Ihre Arbeitskräfte, genau darauf zu achten, von wem sie E-Mails erhalten und ob diese eventuell ungewöhnlich sind.
  • Rechtschreib- und Grammatikfehler: Auch bei E-Mails mit Rechtschreib- und Grammatikfehlern sollten die Alarmglocken angehen. Obwohl die Angreifer viel Zeit damit zubringen, sich über die Kommunikationsgewohnheiten ihrer Opfer zu informieren, neigen sie doch zu Fehlern. Ein Rechtschreibfehler ist natürlich nicht zwangsläufig ein Beweis für einen BEC-Betrug, sollte aber zumindest Verdacht erregen, insbesondere in Nachrichten zu einer wichtigen Angelegenheit.
  • Anfragen, bestimmte Vorschriften zu umgehen: Die meisten Unternehmen verfügen über strenge Vorschriften, wenn es um das Ausführen von Zahlungen oder die Herausgabe vertraulicher Informationen geht. Die Mitarbeiter sollten daher bei E-Mails vorsichtig sein, in denen darum gebeten wird, diese Vorgaben zu umgehen – unabhängig davon, welche Funktion der Absender im Unternehmen innehat.
  • Kontrollprozesse: BEC-Betrug macht sich Schwächen der menschlichen Natur zu Nutze. Durch das Einrichten einer soliden Kommunikationspolitik mit mehreren Kontrollen und Überprüfungen, lassen sich diese Schwächen ausgleichen und einen besseren Schutz für das Unternehmen gewährleisten.

Empfehlenswerte Sicherheitsabläufe:

  • Für die Zwei-Faktor-Authentisierung (kurz 2FA) müssen Benutzer neben den herkömmlichen Anmeldedaten eine weitere Information zur Bestätigung eingeben, beispielsweise einen dynamischen Bestätigungscode. Indem geschäftliche E-Mails mit 2FA geschützt werden, haben es Angreifer erheblich schwerer, unerlaubt auf die E-Mail-Konten von Mitarbeitern zugreifen, und können folglich ihren BEC-Betrug nicht durchführen.
  • Je mehr Angestellte in einem Unternehmen dazu berechtigt sind, Überweisungen durchzuführen, umso größer ist die Angriffsfläche für die Betrüger und damit das Risiko, dass irgendwann Mittel versehentlich an die Falschen ausgezahlt werden. Daher sollten Unternehmen die Anzahl der Mitarbeiter, die zu Überweisungen ermächtigt sind, so gering wie möglich halten. Außerdem müssen die ermächtigten Personen die Unternehmensprozesse kennen und einhalten sowie in der Lage sein, Anzeichen eines BEC-Betrugs zu erkennen.
  • Unternehmen sollten für alle Überweisungsanfragen ein zweistufiges Verifizierungsverfahren einrichten. Zur Zahlung großer Summen, die einen bestimmten Wert überschreiten, könnten beispielsweise zusätzliche Bestätigungskontrollen (etwa indem eine zweite Person die Überweisung genehmigen muss) erforderlich gemacht werden.
  • Da für BEC-Angriffe meistens E-Mail-Konten gehackt wurden, sollte die Kontrolle über einen anderen Kommunikationsweg erfolgen, beispielsweise per Telefon.
  • In vielen BEC-Angriffen wird das Opfer dazu überredet, die Kontodaten des bestehenden Geschäftskontakts durch die des Angreifers zu aktualisieren. Unternehmen sollten sich also für alle Bitten um Änderung der Zahlungsinformationen telefonisch eine Bestätigung einholen. Dazu eignet sich am besten eine bereits bestätigte Telefonnummer, die zu einem früheren Zeitpunkt der Geschäftsbeziehung bereitgestellt wurde. Die in der Anfrage angegebenen Telefonnummern könnten gefälscht sein und sind folglich nicht für eine derartige Gegenprüfung geeignet.

BEC-Angriffe gehören zu den größten Cybersicherheitsrisiken, denen Unternehmen heutzutage ausgesetzt sind. Da sie selbst mit minimalen technischen Mitteln durchgeführt werden können, kommt es beim Schutz eher auf eine vorausschauende Sicherheitsstrategie als auf den Einsatz hochmoderner Technologien an. Schulen Sie Ihre Mitarbeiter darauf, wachsam zu sein, führen Sie für Überweisungen entsprechende Vorschriften und Prozesse ein und nutzen Sie Methoden zur E-Mail-Authentifizierung. Auf diese Weise können Sie – unabhängig von der Größe Ihres Unternehmens – das Risiko minimieren, Opfer von BEC-Betrug zu werden.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben