Verschlüsselte schädliche Anhänge, Phishing und Fake-Bewerbungsmails sind bekannte Angriffsmethoden Cyberkrimineller, um Malware wie Ransomware und Co. in Unternehmenssysteme einzuschleusen. Die Ausmaße bei einer Kompromittierung werden beinahe schon täglich durch zahlreiche Meldungen überaus deutlich: Einmal im System, verursachen Schadprogramme Verluste in Millionenhöhe durch verschlüsselte Unternehmensdokumente, Diebstahl von relevanten Dateien und Informationen oder verlangsamen die Betriebsprozesse durch illegales Krypto-Mining. Ausgeklügelte Filtersysteme zur Erkennung von versteckter Malware machen den Weg in ein System eines Unternehmens für Cyberkriminelle zunehmend komplexer.

Der Fokus der Cyber-Betrüger verschiebt sich deshalb immer mehr auf die menschliche Schwachstelle: Sie adressieren Mitarbeiter ausgewählter Unternehmen mit einfachen, aber sehr individuellen und rein textlichen E-Mail-Nachrichten – bekannt ist diese Vorgehensweise als Business E-Mail Compromise (BEC). Seit nun rund 1 ½ Jahren verzeichnet das Hornetsecurity Security Lab einen deutlichen Anstieg dieser Art von Angriffen.

Was ist ein Business E-Mail Compromise?

Hohe Geldsummen werden auf betrügerische Weise auf ein externes Konto transferiert, interne und wichtige Unternehmens- und Zugangsdaten sowie andere vertrauliche Informationen verlassen unbemerkt das Unternehmen – und das ohne ein eingeschleustes Schadprogramm. Bei einem BEC stützt sich ein Hacker im Gegensatz zu einfachem Spam auf spezielles Insider-Wissen. Bekannte Namen und E-Mail-Adressen von Mitarbeitern oder Kunden sowie aktuelle Signaturen und Disclaimer lassen eine gefälschte E-Mail authentisch wirken.

Mit einer nachgemachten E-Mail-Adresse, ähnlich der des CEOs, eines Kunden oder Sachbearbeiters senden die Cyberkriminellen eine kurze rein textbasierte E-Mail-Nachricht gezielt an einen ausgewählten Mitarbeiter. Der Displayname wird dabei genau so angezeigt, wie er in einer E-Mail der echten Person abgebildet wäre. Dadurch ist der Betrug dahinter schwer zu erkennen.

Wie gehen Cyberkriminelle vor?

In seiner ersten E-Mail tastet sich der Cyberkriminelle heran. Der vermeintliche CEO oder Vorgesetzte richtet sich mit dringenden Worten an eine Zielperson in einem Unternehmen. Gebeten wird um eine schnelle schriftliche Antwort per E-Mail, da der angebliche Chef sich beispielsweise gerade in einem Meeting befindet oder telefonisch nicht erreichbar ist. Der Hacker setzt den Empfänger gezielt unter zeitlichen und psychischen Druck, um den Betrug zu verschleiern.

Erhält der Kriminelle eine Antwort, wird er in einer zweiten Nachricht konkreter: Der vermeintliche Vorgesetzte bittet um die Überweisung eines bestimmten Geldbetrags auf das Konto eines angeblichen Kunden, Geschäftspartners oder Dienstleisters. Doch nicht nur finanzielle Mittel werden auf diese Art und Weise erbeutet. Auch unternehmensinterne Daten und Informationen werden so von den Hackern in Erfahrung gebracht und für andere, gegebenenfalls spätere Zwecke missbraucht. Der CEO-Fraud ist das bislang bekannteste Verfahren Cyberkrimineller, doch der Betrug des Business E-Mail Compromise kann auf vielfältige Weise erfolgen:

  • Der Hacker gibt sich als Kunden des Unternehmens aus und kündigt eine Änderung der Zahlungsinformationen an, um dadurch zukünftige Transaktionen auf das Konto des Angreifers auszulösen.
  • Getarnt mit der vermeintlichen E-Mail-Adresse eines Mitarbeiters, versendet der Cyberkriminelle beispielsweise Rechnungen an Kunden des Unternehmens.
  • Mit Hilfe eines kompromittierten E-Mail-Kontos eines Anwalts, wird entsprechend Druck auf den Empfänger innerhalb eines Unternehmens aufgebaut, um diesen zu einer Zahlung oder zur Herausgabe von Informationen zu bewegen.

Aktuelle Gefahrensituation

Laut aktuellem Internet Crime Report des FBI ist der Business E-Mail Compromise, neben Ransomware, Banking-Trojanern und Phishing, für einen Großteil der weltweit entstanden finanziellen Verluste durch Cyberkriminalität verantwortlich. Allein im Jahr 2018 führte der Betrug durch gefälschte E-Mails zu globalen Einbußen von rund 1,2 Milliarden Dollar. Und es ist damit zu rechnen, dass die Bedrohungslage durch BEC weiterhin bestehen und steigen wird.

Ist ein Unternehmen erstmal betroffen, ist es sehr wahrscheinlich, dass diese Art von Angriff wiederholt wird. Jede weitere interne Information, die von einem Mitarbeiter unwissentlich per E-Mail weitergegeben wird, lässt weitere gefälschte E-Mails noch authentischer wirken.“, so ein Sicherheitsexperte vom Hornetsecurity Security Lab. „Wir beobachten mit jedem Monat eine zunehmende Anzahl eingehender E-Mails, in der Cyberkriminelle versuchen sich als echte Mitarbeiter oder Kunden auszugeben. Und mit jedem Mal wird die Art und Weise ausgeklügelter: Zum Teil sind Logo, Disclaimer und Signatur des Zielunternehmens eins zu eins nachgebildet. Der Empfänger einer solchen Betrugs-E-Mail, muss ganz genau wissen, worauf er achten muss.

Welche Unternehmen sind größtenteils betroffen?

Bei einem Business E-Mail Compromise stehen häufig größere und international agierende Unternehmen im Visier der Cyberkriminellen. Informationen zu Personen in bestimmten Verwaltungspositionen sind leicht herauszufinden, Logos oder aktuelle Marktaktivitäten sind oftmals im Internet zugänglich. Hinzu kommt, dass internationale finanzielle Transaktionen nicht unüblich sind und bei einer hohen Mitarbeiteranzahl die Wahrscheinlichkeit hoch ist, dass sich die Angestellten noch nie persönlich begegnet sind und der einfache E-Mail-Austausch ganz normal im Arbeitsalltag ist.

Im Jahr 2015 wurde beispielweise der deutsche Kabelspezialist Leoni AG Opfer einer solchen Täuschung, durch welche Cyberkriminelle das Unternehmen um rund 40 Millionen Euro betrogen. Auch das global bekannte soziale Netzwerk Facebook und der Google-Konzern wurden über mehr als zwei Jahre um insgesamt 100 Millionen US-Dollar bestohlen. Dies wurde im Jahr 2017 bekannt, als der Betrug entdeckt und durch das US-amerikanische Magazin Fortune öffentlich gemacht wurde. Laut Report des FBI stünden derzeit vor allem Immobilien-Unternehmen im Fokus.

Wie kann man sich davor schützen?

Das Hornetsecurity Security Lab geht auch zukünftig davon aus, dass der Business E-Mail Compromise eine der größten Cyberbedrohungen bleibt: „Klassische Anti-Phishing- oder Spam-Dienste versagen in der Erkennung von BEC E-Mails aufgrund ihres generischen Inhalts. Wir bieten unseren Kunden einen höchst individualisierbaren und komplexen Anti-Fraud Schutz an, um das höchste Maß an Sicherheit zu gewährleisten. Von Unternehmen, die unseren Targeted Fraud Forensics Engines nutzen, erhalten wir nur positives Feedback.“ Präzise ausgerichtete Engines, wie Targeted Fraud Forensics, prüfen die Authentizität und Integrität von Metadaten sowie E-Mail-Inhalten und erkennen spezielle Inhaltsmuster, die auf eine Betrugs-E-Mail schließen lassen. Das Durchkommen einer gefälschten E-Mail ins Postfach ist somit ausgeschlossen. Auch Schulungen, die die Mitarbeiter zusätzlich auf die charakteristischen Elemente eines Business E-Mail Compromise hinweisen, können der wachsenden Gefahr Einhalt gebieten.