Befehl und Gehorsam als Risiko

Kaum jemand widerspricht gerne der Geschäftsleitung oder der scheinbaren Anordnung einer Behörde. Dieses Gefühl, gehorchen zu müssen, nutzen Cyberkriminelle schon seit Jahren aus. Es ist nicht leicht, unter gefühltem Druck vernünftig zu entscheiden, und so begehen die Opfer folgenschwere Fehler, die die betroffenen Unternehmen Millionen von Euro kosten können. Die wirtschaftlichen Schäden dabei können weitaus höher sein als bei Ransomware. Prominente Beispiele für betrügerische E-Mail-Attacken, auch Business Email Compromise (BEC) genannt, gibt es leider viele.

So warnt zum Beispiel das BKA regelmäßig, dass E-Mails vermeintlicher Polizeibehörden kursieren, in denen arglosen Bürgerinnen und Bürgern angeblich begangene Straftaten vorgeworfen werden. Gegen die Zahlung eines Geldbetrages etwa könne die/der Adressierte eine Strafverfolgung abwenden oder seine Stellungnahme zu dem Vorwurf an eine E-Mail-Adresse richten. Nicht selten sind vermeintliche Beweise als Datei der E-Mail beigefügt. Entsprechend appelliert das BKA: „Kommen Sie dieser Aufforderung nicht nach. Hier handelt es sich vermutlich um den Versuch, Ihre Daten für die Begehung weiterer Straftaten auszuspähen. Öffnen Sie auf keinen Fall das anhängige PDF-Dokument. Dieses könnte Schadsoftware enthalten und so Ihr Endgerät infizieren, um sodann weitere Straftaten zu begehen“:

Das Gefährliche: Nicht nur Privatpersonen sind Ziel solcher Betrugsmails, auch und gerade Unternehmen gehören zu den bevorzugten Opfern.

Um möglichst hohe Erfolgsquoten zu erzielen, setzen viele BEC-Attacken auf der CEO-Ebene an, man spricht dann von CEO Fraud. Wie Europol kürzlich berichtete, hatte es ein kriminelles Netzwerk auf in Frankreich ansässige Unternehmen abgesehen. Einer der Kriminellen gab sich als CEO eines auf Metallurgie spezialisierten Unternehmens im Nordosten Frankreichs aus. Der Betrüger forderte den Buchhalter des Unternehmens auf, eine dringende und vertrauliche Überweisung von 300.000 Euro an eine Bank in Ungarn vorzunehmen. Der Betrug wurde einige Tage später aufgedeckt, als der Buchhalter, der glaubte, im Namen des CEO des Unternehmens zu handeln, versuchte, eine weitere Überweisung in Höhe von 500.000 Euro vorzunehmen. Diese wurde dann jedoch hinterfragt.

Die Kreativität bei BEC-Attacken ist enorm. Das FBI nennt Beispiele, in denen über eine E-Mail eines angeblichen Vorgesetzten konkrete Forderungen an Mitarbeitende gestellt wurden, darunter: „Eine Firmenchefin bittet ihre Assistentin, Dutzende Geschenkkarten zu kaufen, um sie als Belohnung an die Mitarbeiter zu verschicken. Sie fragt nach den Seriennummern, damit sie sie sofort per E-Mail verschicken kann. In Wirklichkeit werden die Geschenkkarten dadurch gestohlen.“

Früher lautete die Sicherheitsempfehlung, bei E-Mails auf Rechtschreibfehler und nicht nachvollziehbare Begründungen für Zahlungsaufforderungen zu achten. Diese Zeiten sind vorbei. Inzwischen sind die Betrugsmails in perfekter Sprache und mit viel Hintergrundwissen verfasst, sie wirken sehr realistisch und haben dadurch noch mehr kriminellen Erfolg als früher.

Möglich wird diese Raffinesse durch eine genaue Vorbereitung und zielgerichtete Ausführung, die Betrugsmail ist auf das jeweilige Opfer zugeschnitten. Leider liefern oft das betroffene Unternehmen und die Zielpersonen die für die nahezu perfekte Täuschung erforderlichen Informationen selbst, auf den Webseiten des Unternehmens und in den sozialen Netzwerken im Internet.

Als Absender verwenden die Kriminellen entweder sehr ähnlich aussehende Absenderadressen oder stellen einfach die Absenderangabe so dar, dass die Nachricht scheinbar von der oder dem CEO kommt. Erst ein genauerer Blick in die meist versteckten Kopfzeilen (Header) der Mail würde zeigen, dass die Nachricht von einem Dritten stammt.

Der Aufwand für die Recherche und E-Mail-Manipulation ist zum einen durchaus lohnend, die Erfolgsraten und die erzielten Geldbeträge sind hoch. Zum anderen kann dieser Aufwand inzwischen deutlich verringert werden, dank Künstlicher Intelligenz. „Damit sind Phishing-Angriffe selbst für aufmerksame Nutzer immer schwieriger zu identifizieren“, warnt Chet Wisniewski, Cybersecurity-Experte bei Sophos. „Letztendlich liefern die immer besseren KI-Chatbots ein kostenloses Upgrade für alle Arten von Social-Engineering-Angriffen. Programme wie ChatGPT können dazu genutzt werden, kriminell orientierte, sehr realistische, interaktive Gespräche via E-Mail zu führen oder Chat-Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps zu starten.“

Der Bericht „Defending the Enterprise: The Latest Trends and Tactics in BEC Attacks“ von Osterman Research zeigt, dass die Bedrohung durch BEC von Jahr zu Jahr zunimmt und inzwischen doppelt so hoch ist wie die Bedrohung durch Phishing im Allgemeinen. Über 93 Prozent der Unternehmen erlebten demnach in den letzten zwölf Monaten eine oder mehrere BEC-Angriffsvarianten, wobei 62 Prozent in diesem Zeitraum mit drei oder mehr Angriffsvarianten konfrontiert waren.

Die Studie zeigt zudem: Gefälschte Rechnungen, Datendiebstahl und Kontoübernahme sind die häufigsten Arten von BEC-Angriffen. Jedes fünfte Unternehmen hat in den letzten zwölf Monaten solche BEC-Angriffe erlebt. Die Angreifenden nutzen auch neue Kanäle für BEC-Angriffe. Ein erheblicher Prozentsatz der Unternehmen berichtet, dass sie häufig auf neuere Arten von BEC-Angriffen stoßen, darunter betrügerische SMS-Nachrichten (36 Prozent), Verbindungsanfragen in sozialen Medien (28  Prozent) und Telefonanrufe (22 Prozent).

Der Bericht „The Freedom to Communicate and Collaborate: Challenges in Securing an Overabundance of Tools“ der Enterprise Strategy Group (ESG) zeigt, dass auch und gerade die neuen Arbeitsformen BEC-Angriffe noch einfacher machen. Da immer mehr Unternehmen auf Remote-Arbeitsmodelle umsteigen, sind diese Organisationen nun auf zusätzliche Methoden der digitalen Kommunikation über E-Mail hinaus angewiesen. Der Umfrage zufolge nutzen 47 Prozent der Befragten sechs bis zehn Kommunikations- und Kollaborationstools parallel, wobei Videokonferenzen am häufigsten eingesetzt werden (80 Prozent), gefolgt von E-Mail (77 Prozent) und Messaging (71 Prozent).

Für die IT-Sicherheit höchst bedeutsam: Mehr als zwei Drittel der Befragten befürchten, dass Angreifer Kommunikations- und Kollaborationskanäle über E-Mail hinaus nutzen, um Sicherheitskontrollen zu umgehen. Mehr als die Hälfte der Befragten berichteten über wöchentliche oder sogar tägliche Social-Engineering-Angriffe über mehrere Tools hinweg. „Der Aufstieg zusätzlicher cloudbasierter Kommunikations- und Kollaborationskanäle bietet neue Möglichkeiten für Social-Engineering-Angriffe, um traditionelle Sicherheitskontrollen zu umgehen“, warnt Dave Gruber, Principal Analyst bei ESG. „Bei den meisten Angriffen handelt es sich um die gleichen Arten von Angriffen, die zuvor auf E-Mails abzielten.“

Das FBI berichtet zum Beispiel von einer Zunahme von BEC-Angriffen im Zusammenhang mit der Nutzung virtueller Meeting-Plattformen. Kriminelle kompromittieren zum Beispiel die E-Mail-Adresse eines CEO  und fordern Mitarbeiter auf, an einer virtuellen Sitzung teilzunehmen, bei der die Kriminellen ein Standbild des CEO einfügen und einfach behaupten, dass das Video nicht richtig funktioniert. Anschließend weisen sie die Mitarbeiter an, Geldtransfers über den Chat der virtuellen Meeting-Plattform oder in einer Folge-E-Mail zu veranlassen.

Dank immer leistungsstärkerer und leicht zugänglicher KI ist es aber auch möglich, bei den virtuellen Meetings mit „Deep Fakes“ zu arbeiten, also täuschend echt wirkenden, manipulierten Audio- oder Videoaufnahmen. Hier zeigt sich: Auch wenn in BEC das Wort E-Mail steckt, hindert das die Internetkriminellen nicht, auch über Video-Chats ihre Betrugsmaschen zu versuchen. Für die IT-Sicherheit stellt diese Flexibilität der Kriminellen eine große Herausforderung dar, denn wenn Unternehmen einen Phishing-Schutz einsetzen, dann bisher in aller Regel nicht für Video-Chats.

Die zunehmende Professionalisierung bei den Betrugsversuchen, die Unterstützung der Angriffsversuche durch missbrauchte KI und die Ausweitung der Angriffswege auf Kanäle jenseits von E-Mail machen überdeutlich, dass klassische Anti-Phishing-Filter im E-Mail-Programm kaum noch ausreichen. Die Erkennung und Abwehr von BEC-Angriffen erfordert neue Ansätze in den Security-Prozessen, -Technologien und Mitarbeiter-Schulungen. Auf dem Markt gibt es insbesondere neue Schutzlösungen, die selbst Künstliche Intelligenz nutzen, um die durch die KI der Gegenseite verbesserten Attacken abzuwenden.

Die Proofpoint Aegis Threat Protection Platform zum Beispiel ist eine KI-gestützte Plattform, die verspricht, Angriffe wie Business Email Compromise (BEC) abwehren zu können. Proofpoint hat dazu firmeneigene Verhaltensanalysen und Bedrohungsdaten für Funktionen wie Supplier Threat Protection kombiniert, die einen Einblick in Angriffe ermöglichen, bei denen es die Cyberkriminellen auf Kontoübernahmen abgesehen haben, um mit gestohlenen Identitäten die Erfolgsquote ihrer Attacken zu erhöhen.

Mit Proofpoint Supplier Threat Protection sollen Unternehmen gefährdete Lieferantenkonten erkennen, so dass Sicherheitsteams sie schnell untersuchen und reagieren können. Die Lösung überwacht dazu aktiv bekannte kompromittierte Konten von Drittanbietern. Es vereinfacht laut Anbieter die Prüfung mithilfe von Details dazu, warum das Konto mutmaßlich kompromittiert wurde und welche Mitarbeiter kürzlich mit dem fraglichen Konto kommuniziert haben. Auf diese Weise können Sicherheitsteams ihr Unternehmen gegen weit verbreitete Angriffe über Dritte wie BEC und Phishing besser verteidigen, so Prrofpoint.

Ein weiteres Beispiel: Um der aufkommenden Welle von KI-generierten E-Mail-Bedrohungen entgegenzuwirken, hat Perception Point ein neuartiges Erkennungsmodell entwickelt. Es ermöglicht, eindeutige Muster in KI-generiertem Text zu identifizieren, ein entscheidender Faktor bei der Erkennung und Abwehr von KI-basierten Bedrohungen, so der Anbieter. „Inmitten einer immer komplexer werdenden Bedrohungslandschaft besteht ein dringender Bedarf an hochmodernen Abwehrmaßnahmen gegen KI-gestützte Bedrohungen“, betont Tal Zamir, CTO von Perception Point. „Indem wir die Dynamik umkehren und KI proaktiv zur Erkennung einsetzen, können wir diese Bedrohungen verhindern, bevor sie überhaupt den Posteingang des Benutzers erreichen – ein Paradigmenwechsel im Kampf gegen BEC-Angriffe.“

Eine solche Veränderung in der Abwehr von BEC ist auch dringend notwendig: Die Zahl der Business-E-Mail-Compromise-Angriffe steigt und steigt, auch weil Angreifer auf ausgeklügelte Cybercrime-as-a-Service-Dienste zurückgreifen können, so Microsoft. Zwischen April 2022 und April 2023 entdeckte und untersuchte alleine Microsoft insgesamt 35 Millionen Kompromittierungsversuche.