Business-E-Mail-Compromise / Kompromittierung von Geschäfts-E-Mails

Glossar

Von einer Kompromittierung des geschäftlichen E-Mail-Verkehrs (Business-E-Mail- Compromise oder auch kurz BEC) spricht man, wenn der E-Mail-Verkehr infiltriert, beeinträchtigt oder manipuliert wird.

Auch wenn sich jemand als eine Person im Unternehmen ausgibt, um den Empfänger dazu zu bringen, vertrauliche Informationen zu teilen, finanzielle Transaktionen vorzunehmen oder andere Handlungen durchzuführen, die die Sicherheit des Unternehmens nachhaltig gefährden, gehört zum BEC.

Wie gehen Cyberkriminelle vor? 

Cyberkriminelle nutzen verschiedene Vorgehensweisen, um Business-E-Mail-Compromise-Angriffe erfolgreich durchzuführen. Zum einen kommen Social-Engineering- Taktiken zum Einsatz, um den Betrug ausführen zu können und zum anderen können konkrete, reale Kompromittierungen von E-Mail-Konten und Systemen vorgenommen werden.

1. Betrug mit Social Engineering

In Fällen, in denen die Angreifer ihre Opfer durch gezieltes Social Engineering zu bestimmten Handlungen verleiten, hat der Bedrohungsakteur keinen echten Zugang zu internen Systemen. Die betroffenen Personen werden von externen E-Mail-Adressen kontaktiert. Um die Erfolgschancen des Angriffs zu erhöhen, investieren kriminelle Hacker Zeit und Mühe, um ihre Täuschungsangriffe so realistisch wie möglich aussehen zu lassen.

Sie versuchen dabei herauszufinden, wie das Unternehmen strukturiert und aufgebaut ist, wer die relevanten Personen sind und welche Zuständigkeiten und Verantwortlichkeiten vorherrschen. Nach der Informationssammlung, verfassen die Kriminellen E-Mails im Namen eines Mitarbeitenden, des CEOs oder auch eines Dienstleisters oder Geschäftspartners und kontaktieren ihre Zielpersonen. Um die potentiellen Opfer noch besser täuschen zu können, werden reale E-Mail-Adressen nachempfunden oder nur minimal verändert, sodass die betroffenen Personen den Betrug nicht einfach erkennen können. Ein typisches Beispiel wäre hier der CEO-Fraud.

2. Kompromittierung von E-Mail-Konten oder Systemen

Während der Angreifer im oben genannten Fall nur vorgibt, Teil der Organisation zu sein, verfügt er bei der zweiten Art des BEC-Angriffs über wirklichen Zugang zu dem E-Mail-Server oder dem E-Mail-Konto des Opfers bzw. der Person, die er vorgibt zu sein. Das bedeutet, der Angreifer hat Zugang zu dem real-existierenden E-Mail-Konto und ist beispielsweise in der Lage, E-Mails von der kompromittierten E-Mail-Adresse zu versenden oder mit Weiterleitungsregeln mitzulesen.

Es ist dem kriminellen Hacker außerdem möglich, E-Mails abzufangen und zu manipulieren. Den Zugang zu E-Mail-Konten oder Systemen verschaffen sich kriminelle Hacker unter anderem durch Phishing-Angriffe, den Einsatz von Malware oder durch Sicherheitslücken in Anwendungen.

 

Ein Fall aus der Praxis zur Veranschaulichung: 

In einem Unternehmen wurden neue Fenster eingebaut. Nach Beendigung der Arbeiten wurde dem Unternehmen die Schlussrechnung zugestellt. Die Buchhaltungsabteilung kam der Aufforderung nach und bezahlte den ausstehenden Betrag. Einige Zeit später wurde das Unternehmen vom Fensterbauer kontaktiert und darauf hingewiesen, dass die Rechnung noch offen sei.

Bei der Klärung des Sachverhalts stellte sich heraus, dass die Rechnung, die das Unternehmen erhalten hatte, manipuliert worden war und die Zahlungsinformationen geändert wurden. Da der Verdacht auf einen Cyberangriff bestand, untersuchten die Cyberforensiker die Systeme, die E-Mails, E-Mail-Server sowie das Rechnungs-PDF. Es stellte sich heraus, dass der E-Mail-Server des Unternehmens kompromittiert worden war, wodurch die E-Mail vom Angreifer abgefangen und manipuliert werden konnte.

 

Wie schützen Sie sich? 

Als Mitarbeitender:

In Bezug auf oben genannte Angriffsmuster:

  • Kontrollieren Sie, ob es sich bei der E-Mail-Adresse des Absenders tatsächlich um die entsprechende E-Mail handelt oder ob ungewöhnliche Elemente (extra Buchstaben oder Zahlen, falscher Domain-Name, etc.) enthalten sind.
  • Achten Sie auf Ansprache, Formulierungen und Redewendungen.
  • Bewahren Sie auch in stressigen Situationen einen kühlen Kopf und lassen Sie sich nicht aus der Ruhe bringen.
  • Vertrauen Sie Ihrem Instinkt. Wenn Ihnen etwas komisch erscheint, ist meistens auch etwas dran.
  • Holen Sie sich eine zweite Meinung ein oder versichern Sie sich besser einmal zu viel, als einmal zu wenig.

In Bezug auf weitere Angriffsmuster, u.a. Phishing-Angriffe:

  • Behandeln Sie E-Mail-Anhänge und Links immer mit Misstrauen.
  • Klicken Sie nicht auf Links oder laden Sie sich keine Anhänge herunter in E-Mails, die Ihnen nicht vertrauenswürdig erscheinen.
  • Besuchen Sie nur seriöse Internetseiten.
  • Klicken Sie nicht wahllos auf Pop-Ups oder Bannerwerbung.
  • Laden und installieren Sie Programme oder Software-Anwendungen nur von vertrauenswürdigen Quellen.
Als Geschäftsführer:
  • Zum Schutz vor Cyberangriffen, wie zum Beispiel Phishing-Angriffen oder diverse Social-Engineering-Angriffen, reichen technische Schutzmaßnahmen wie eine aktive Firewall und Spam-Filter nicht aus. Sie müssen sich auf Ihre Mitarbeitenden konzentrieren und sie einbinden.
  • Ermöglichen Sie Ihren Mitarbeiterinnen und Mitarbeitern eine umfassende und nachhaltige Bewusstseinsbildung für Cybersicherheit.
  • Bieten Sie der Belegschaft regelmäßige Schulungen und Trainings zu aktuellen Angriffsmustern oder Angriffsarten an. Alternativ können Sie auch externe Dienstleister – wie Perseus – mit der Schulung der Angestellten beauftragen.
  • Fördern Sie eine Unternehmenskultur, in der die Mitarbeitenden ermutigt werden, im Zweifelsfall nachzufragen und eine zweite Meinung einzuholen.

Wir nehmen Datenschutz ernst.

Wir nutzen Cookies, um Ihnen bestmögliche Funktionalitäten bieten zu können und Informationen zu erhalten, um die Webseite hinsichtlich Inhalt, Reichweite, Performance und Sicherheit ständig zu verbessern.

Essentielle Cookies (1)

Essentielle Cookies ermöglichen grundlegende Funktionen und sind daher für den reibungslosen Ablauf der Webseite notwendig, aus diesem Grund ist eine einzelne Deaktivierung nicht möglich. Sie werden ausschließlich von uns genutzt. Für die Nutzung von essentiellen Cookies ist Ihre Einwilligung nicht erforderlich.

Technische Cookies (1)

  • Google Tag Manager
    ?

    Der Google Tag Manager dient der Verwaltung von Webseiten-Tags. Er erfasst und verarbeitet keine personenbezogenen Daten. Allerdings kann er andere Cookies auslösen, die diese unter Umständen verarbeiten. Wir nutzen ihn für Cookie-Management. Über ihn wird die Einwilligung zum setzen von Cookies eingeholt und verwaltet.

    • Cookie-Namen:
      gtm, gtm_auth, gtm_debug, gtm_preview, eng_mt, trctestcookie
    • Ablaufdatum:
      2 Jahre, Sitzung, Sitzung, Sitzung, fortdauernd, Sitzung
    • Unternehmen:
      Google Ireland Ltd.

Funktionale Cookies (3)

Funktionale Cookies setzen wir ein, um personalisierte Daten, wie z.B. Ihre Sprachpräferenz anonymisiert zu speichern und so beim nächsten Mal automatisch wieder aufzurufen. Funktionale Cookies können außerdem dazu genutzt werden, angeforderte Funktionen wie das Abspielen von Videos zu ermöglichen. Die Daten werden nicht an Dritte weitergegeben und verfolgen nicht Ihre Bewegung auf anderen Internetseiten.

Darstellung (1)

  • Vimeo
    ?

    Mit Hilfe des Vimeo-Cookies können Sie die Erklärvideos auf unserer Webseite sehen.

    • Cookie-Namen:
      vuid
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Vimeo LLC

Kommunikation (2)

  • Freshworks Webforms
    ?

    Mit Hilfe des Cloudflare-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      _cfduid
    • Ablaufdatum:
      30 Tage
    • Unternehmen:
      Cloudflare, Inc. im Formular von Freshworks, Inc.
  • SendInBlue
    ?

    Mit Hilfe des sib-Cookies können Sie unsere Kontaktformulare nutzen. Er dient dazu, vertrauenswürdigen Datenverkehr im Internet zu identifizieren.

    • Cookie-Namen:
      sib_cuid
    • Ablaufdatum:
      6 Monate
    • Unternehmen:
      Sendinblue

Analysen und Statistiken (3)

Statistik-Cookies erfassen Informationen pseudonym. Diese Informationen helfen uns zu verstehen, wie unsere Besucher die Webseite nutzen, zum Beispiel welche Seiten besonders häufig geklickt werden. Dadurch können wir unsere Inhalte und Funktionen an ihre Interessen anpassen. Bei Deaktivierung können Probleme mit einzelnen Funktionalitäten der Webseite auftreten.

Analytische Cookies (3)

  • Google Analytics / Google Analytics Audiences
    ?

    Google Analytics: Die Cookies von Google Analytics liefern uns durch statistische Auswertungen Informationen zur optimalen Gestaltung der Webseite für unsere Kunden. Google Analytics Audiences: Cookies von Google für Zielgruppen-Analyse. Dient der Gruppierung von Benutzern auf der Grundlage einer beliebigen Kombination von Attributen.

    • Cookie-Namen:
      _ga, _gat, _gid, ads/ga-audiences
    • Ablaufdatum:
      2 Jahre, 1 Tag, 1 Tag, Sitzung
    • Unternehmen:
      Google Ireland Ltd.
  • Google Optimize / Double Click
    ?

    Mit Google Optimize-Cookies können wir die Nutzererfahrung auf unserer Webseite verbessern.

    • Cookie-Namen:
      _gat
    • Ablaufdatum:
      2 Jahre
    • Unternehmen:
      Google Irland Ltd.
  • Hotjar
    ?

    Cookies von Hotjar für Webseiten-Analyse. Damit lassen sich die Bewegungen der Nutzer unserer Internetseite anonymisiert nachvollziehen (sog. Heatmaps) zur Verbesserung ihrer Bedienungsfreundlichkeit.

    • Cookie-Namen:
      _hjid, _hjid, _hjIncludedInSampl, _hjViewportId, _hjRecordingEnabled, _hjRecordingLastActivity, _hjTLDTest
    • Ablaufdatum:
      1 Jahr, fortdauernd, Sitzung, Sitzung, Sitzung, Sitzung, Sitzung
    • Unternehmen:
      Hotjar Ltd.

Marketing- und sonstige Third-Party-Cookies (2)

Cookies für Marketing und Cookies von Dritten (Third-Party-Cookies) werden bei uns genutzt, um den Erfolg von Marketingmaßnahmen messen zu können z.B. ob man eine Webseite besucht hat. Sie können auch dazu dienen, diese im Anschluss entsprechend zu steuern z.B. die Häufigkeit einer angezeigten Anzeige zu limitieren. Es ist möglich, dass diese Information mit Dritten, wie z.B. Werbetreibenden, geteilt wird. Häufig werden diese Cookies auch mit Seitenfunktionalitäten von Dritten verbunden.

Social Media (1)

  • Facebook Connect/ Facebook Pixel
    ?

    Durch den Einsatz des Facebook Pixels können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine Facebook-Anzeige angesehen oder angeklickt haben. Facebook kann die Daten für die zielgerichtete Ausspielung von Werbeanzeigen nutzen.

    • Cookie-Namen:
      _fbp, fr, tr
    • Ablaufdatum:
      3 Monate, 3 Monate, Sitzung
    • Unternehmen:
      Facebook Ireland Ltd.

Personalisierte Werbung (1)

  • LinkedIn Marketing Solutions/LinkedIn Ads
    ?

    Durch den Einsatz der LinkedIn Marketinglösung-Cookies können wir Ihr Nutzungsverhalten nachvollziehen, nachdem Sie eine LinkedIn-Anzeige angesehen oder angeklickt haben.

    • Cookie-Namen:
      lang (2x), bcookie, bscookie, lidc, UserMatchHistory
    • Ablaufdatum:
      Sitzung, 2 Jahre, 2 Jahre, 1 Tag, 29 Tage
    • Unternehmen:
      LinkedIn Ireland Unlimited