SPONSORED-POST Dossier in Kooperation mit Proofpoint

E-Mail-(Un-)Sicherheit

Uhr
von Michael Heuer, VP DACH, Proofpoint

Business E-Mail Compromise (BEC) zählt zu den gefährlichsten Angriffsformen. Die Anzahl dieser Attacken steigt. ­Ebenso die damit verbundenen Kosten. Eine effektive Verteidigung ist nur durch das Zusammenspiel von Technologie, Sicherheitskultur und Prozessen möglich.

Michael Heuer, VP DACH, Proofpoint. (Source: zVg)
Michael Heuer, VP DACH, Proofpoint. (Source: zVg)

Seit Jahrzehnten arbeiten ganze Scharen von Cybersecurity-Experten daran, die Taktiken von Cyberkriminellen besser zu verstehen, um damit den Schutz für Unternehmen zu verbessern. Doch so wichtig es auch ist, zu verstehen, wer mit welchen Methoden angreift, so wichtig ist auch das Verständnis darüber, wer angegriffen wird. Denn mehr und mehr richten sich Cyberattacken gegen einzelne Mitarbeiter. Die Methoden dabei mögen sich unterscheiden – Phishing, Spoofing oder der Einsatz von Malware und Ransom­ware –, doch vom Ergebnis her sind sie sich sehr ähnlich: Rufschädigung und deutliche finanzielle Einbussen für das zum Ziel gewordene Unternehmen.

Business E-Mail Compromise (BEC), auch Chefmasche genannt, zählt dabei zu den gefährlichsten Angriffsformen. So verursachte BEC laut Schätzungen des FBI weltweit seit 2016 bereits Verluste von 26 Milliarden US-Dollar.

Schwachstelle E-Mail

Unternehmen sehen sich in der Regel zwei BEC-Angriffstypen gegenüber. Bei der einfachen Form wird die legitime Domain des Unternehmens gespooft (gefälscht), sodass der Angreifer im Rahmen eines Identitätsbetrugs täuschend echt anmutende E-Mails versenden kann. Noch gefährlicher aber sind BEC-Attacken, die tatsächlich legitime E-Mail-Konten des Unternehmens verwenden, zu denen sich der Cyberkriminelle vorher die Zugangsdaten aneignen konnte.

Ausgestattet mit dem Vertrauensbonus "echte E-Mail-Adresse eines Kollegen, Vorgesetzten oder vertrauten Geschäftspartners" kann der Angreifer im Folgenden den ins Visier genommenen Mitarbeiter mittels Social Engineering geschickt manipulieren, sodass dieser die gewünschte Aktion, in der Regel finanzieller Natur, vornimmt.

Änderungen der Zahlungsbedingungen sind eine beliebte ­Variante. Zunehmender Beliebtheit erfreut sich aber auch die ­"gefälschte E-Mail-Korrespondenz", die im Vergleich zum Vorjahr um 50 Prozent häufiger auftrat. Im Betreff finden sich hier die typischen Abkürzungen AW (Antwort) oder WG (weitergeleitet).

Schwachstelle Mitarbeiter?

Leider sind BEC-Angriffe keine selten und vereinzelt auftretenden Ereignisse mehr. Innerhalb nur eines Jahres mussten Unternehmen laut Informationen der Lloyds Bank einen Anstieg um 58 Prozent verzeichnen.

Doch die Gefahr ist nicht für jeden im Unternehmen gleich hoch. So haben die Analysten von Proofpoint festgestellt, dass es eine Korrelation zwischen Funktion und der Wahrscheinlichkeit, angegriffen zu werden, gibt. Anders als man vermuten möchte, sind es Mitarbeiter auf den unteren Stufen der Hierarchieleiter, die vermehrt Opfer von Angriffen werden.

Starke Abwehr

Eine scheinbar legitime Anfrage von einem offensichtlich echten E-Mail-Konto ist extrem schwierig als Cyberattacke zu identifizieren. Eine starke Abwehr muss deshalb drei Ebenen abdecken:

  1. Technische Kontrollen, insbesondere für E-Mail- und Cloud-Konten. Die Relevanz von einmaligen und starken Passwörtern und der Zwei-Faktor-Authentifizierung darf nicht als zu gering eingeschätzt werden.

  2. Schulungen, wobei diese nicht punktuell oder sporadisch, sondern kontinuierlich und umfassend erfolgen müssen, sodass sich jeder Mitarbeiter der Gefahr für das Unternehmen jederzeit bewusst ist.

  3. Abgerundet wird die Verteidigungsstrategie durch Richtlinien, die auf dem Verständnis beruhen, dass die E-Mail ein inhärent unsicheres Kommunikationsmedium ist. Zahlungsanweisungen, die per E-Mail erfolgen, sollten immer über einen zweiten, vom E-Mail getrennten Kanal bestätigt werden.

Nur wenn Technologie, Sicherheitsbewusstsein und Prozesse zusammenspielen, können sich Unternehmen gegen fortschrittliche Cyberattacken behaupten.

----------

BEC lässt sich mit nur wenigen ­technischen Mitteln umsetzen

Business E-Mail Compromise (BEC) ist perfide. Im Gegensatz zu klassischen Phishing-Mails sind die Nachrichten ­nämlich aufwändig getarnt, wodurch Mitarbeiter immer wieder darauf hereinfallen. Michael Heuer, VP DACH von Proofpoint sagt, warum die «Chefmasche» so gefährlich ist. Interview: Oliver Schneider

Was sind die grössten Bedrohungen für die Cybersicherheit?

Michael Heuer: Hier sind drei grosse Trends zu nennen. Erstens: Business E-Mail Compromise (BEC), auch Chefmasche genannt, wird immer variantenreicher. Das FBI beziffert die weltweiten Verluste durch BEC mit 26,2 Milliarden US-Dollar zwischen Juni 2016 und Juli 2019, mit steigender Tendenz. Durch neue Varianten und insbesondere durch den Anstieg von E-Mail Account Compromise (EAC), der tatsächlichen technischen Übernahme der Identität, geht von diesem Angriffstyp eine signifikante Bedrohung aus. Zweitens: Gerade Cloud Accounts – Office 365 und G-Suite – sind dabei im Visier von Cyberkriminellen. Wir haben das analysiert und in unserer Untersuchung wurden innerhalb von sechs Monaten 85 Prozent der Unternehmen auf diese Art angegriffen. 45 Prozent berichten dabei von kompromittierten Accounts. Ein dritter Trend ist die zunehmende Komplexität der Angriffe, die oft in mehreren Stufen ausgerollt werden. Um das Risiko zu beherrschen, ist es also wesentlich, das Ziel des Angriffs zu verstehen.

Warum ist Business E-Mail Compromise so gefährlich?

Aus Sicht eines Cyberkriminellen lässt sich BEC mit nur wenigen technischen Mitteln relativ einfach umsetzen, verspricht aber – wenn es gelingt – hohe Gewinne. Auf der anderen Seite ist eine gut recherchierte und mit ausreichend Social Engineering gespickte BEC-E-Mail für den einzelnen Mitarbeiter extrem schwierig von einer legitimen E-Mail zu unterscheiden. All die Faktoren, auf die wir gelernt haben zu achten – vertrauenswürdiger Absender, dubiose Attachments, irreführende Links –, sind dabei komplett unauffällig. Gerade in Lieferketten gehört es zum Tagesgeschäft, mit Zulieferern über Zahlungen zu korrespondieren. Dort ist es für den Mitarbeiter umso schwieriger, in der Menge die eine BEC-E-Mail als solche zu enttarnen.

Wie lässt sich die Domain eines Unternehmens in einer E-Mail fälschen?

E-Mail-Kommunikation funktioniert über das Simple Mail Transfer Protocol (SMTP). Dieses Protokoll geht zurück auf die Anfänge des Internets und wurde ohne Sicherheitsüberlegungen entwickelt und damit ohne Authentifizierungsmöglichkeit, worauf ein Grossteil der heutigen Probleme zurückzuführen ist. Ähnlich eines Briefs besteht eine E-Mail aus einem Envelope (Umschlag), der für die Zustellung notwendige Informationen enthält, den der typische Adressat einer E-Mail allerdings niemals zu Gesicht bekommen wird. Zudem gibt es den Header – Briefkopf – und die Nachricht selbst. Normalerweise werden die Absendeinformationen, also die E-Mail-Adresse und der im E-Mail-Client angezeigte Absendername, im Envelope und Header automatisch erzeugt – doch lassen sie sich sehr einfach fälschen. Hinzu kommt, dass die Absendeadresse im Envelope nicht mit der im Header übereinstimmen muss, um die E-Mail erfolgreich zu versenden. Dass der Adressat nur die angezeigte Adresse im Header sieht, macht die Täuschung noch einfacher.

Sie erwähnen als Gegenmassnahme starke Passwörter. Was kann auf technischer Ebene sonst noch getan werden?

Auf der technischen Ebene möchte ich zwei Bereiche hervorheben. Einmal das E-Mail-Gateway und zum anderen die Authentifizierung. Das E-Mail-Gateway sollte in der Lage sein, gängige BEC-Bedrohungen zu erkennen, indem mit dynamischen und algorithmischen Ansätzen die Absender-Empfänger-Beziehung, die Domänenreputation und andere Attribute überprüft werden. Der aber gerade in der Supply Chain oder Kundenkommunikation vielleicht noch wichtigere Ansatz ist die Authentifizierung mittels des noch relativ jungen, aber führenden DMARC-Standards. Mittels DMARC kann sichergestellt werden, dass E-Mails, die die Domain eines Unternehmens missbrauchen, nicht an die Adressaten zugestellt werden.

Wie gehen Cyberkriminelle vor, wenn sie Business-Email-Compromise-Attacken ausführen?

Eine BEC-Attacke gliedert sich in der Regel in vier Phasen. Erstens, die Recherche. BEC-Angreifer nehmen sich normalerweise die Zeit, bestimmte Personen innerhalb einer Organisation zu identifizieren. Hierzu werden Informationen aus verschiedenen Quellen gesammelt, um in der Folge absolut glaubwürdige Mails versenden zu können. Zweitens, die Anbahnung. BEC-Angreifer versuchen oft, Beziehungen zu denjenigen aufzubauen, die über finanzielle Entscheidungskompetenz verfügen. Meist mittels gefälschter oder kompromittierter E-Mail-Konten kann sich diese Phase über Tage, Wochen oder sogar Monate hinziehen, um Vertrauen aufzubauen. Drittens, die Falle. Sobald der Angreifer ein oder mehrere Konten kompromittiert hat und davon überzeugt ist, dass das Opfer diese für echt hält, wird er aktiv. In den meisten Fällen wird die Zielperson aufgefordert, eine Überweisung zu veranlassen oder die Zahlungsinformationen für eine bereits freigegebene Zahlung zu ändern. Und die vierte Phase, der Betrug. Wenn das Opfer von der Echtheit der Anfrage überzeugt ist, überweist es Geld auf das Konto des Betrügers. Der Betrag wird in der Regel schnell weitergeleitet, was die Rückforderung erschwert, sobald der Betrug erkannt worden ist.

Warum fallen Mitarbeiter immer noch auf gefälschte E-Mail-Absender herein?

Die Cybercrime Branche ist über die letzten Jahre deutlich professioneller geworden. Die Grammatik stimmt, Tippfehler kann man lange suchen und insgesamt sind die Angriffe wie erwähnt oftmals von langer Hand geplant und recherchiert. Indem Cyberkriminelle einen gefälschten Verlauf einer E-Mail-Kommunikation weiterleiten, bauen sie zusätzliches Vertrauen auf. Gerade in der Kommunikation mit Kollegen und Geschäftspartnern in der Lieferkette wäre es irreführend, dem Mitarbeiter hier die vollständige Verantwortung zuzuschreiben. Technische Lösungen in Kombination mit definierten Prozessen können helfen, das Risiko zusätzlich zu minimieren. Beispielsweise wenn der Mitarbeiter angewiesen wird, alle Änderungen von Bankdaten über ein anderes Medium (telefonisch zum Beispiel) zu verifizieren. Aber aufgepasst: Es sollte nicht die in der E-Mail angegebene Nummer verwendet werden, da diese den Anwender oftmals direkt mit dem kriminellen Akteur sprechen lässt. Stattdessen immer die offizielle Nummer des Unternehmens wählen und sich verbinden lassen.

Sie schreiben, E-Mail sei ein inhärent unsicheres Kommunikationsmedium. Gibt es Alternativen zur E-Mail im Unternehmen?

Innerhalb des Unternehmens wird zur Kommunikation häufig bereits auf Kollaborationsplattformen zurückgegriffen, die die E-Mail teilweise ersetzen. Solange sich aber hier kein allgemein akzeptierter Standard durchsetzt, eine Kommunikationsplattform also, die von allen Konsumenten, allen Unternehmen, ihren Partnern im Vertrieb und den vorgeschalteten Lieferanten eingesetzt wird, wird uns die E-Mail weiterhin erhalten bleiben. Es gilt vielmehr die vorhandene Sicherheitstechnologie, Prozesse und Schulungen als starkes Dreigestirn in der Verteidigung gegen Cyberkriminelle Angriffe effektiv zu nutzen.

Webcode
DPF8_177844

Kommentare

« Mehr