Business Email Compromise (BEC) ist eine Cyberangriffstechnik, bei der ein Angreifer die digitale Identität einer vertrauenswürdigen Person annimmt, um Mitarbeiter und Kunden zu einer bestimmten Aktion zu verleiten – beispielsweise zu einer Zahlung oder einem Kauf, zur Weitergabe von Daten oder zur Offenlegung sensibler Informationen.

Laut dem FBI-Kongressbericht 2022 zu BEC und Betrug bei Immobiliengeschäften ist BEC „eines der am schnellsten wachsenden und finanziell verheerendsten Verbrechen der Internetkriminalität“. Nach Angaben des Internet Crime Complaint Centers (IC3) wurden 2021 Verluste in Höhe von 2,4 Milliarden US-Dollar geltend gemacht, was einem Anstieg von 566 % seit 2016 entspricht. Aufgrund der zunehmenden Arbeit im Homeoffice und der damit einhergehenden Allgegenwärtigkeit von digitalen Kommunikationskanälen wie E-Mail ist mit einem weiteren Anstieg von BEC-Vorfällen zu rechnen.

Email Account Compromise (EAC) und BEC im Vergleich

Email Account Compromise (EAC) ist eine Cyberangriffstechnik, bei der Hacker sich verschiedene Methoden zunutze machen, darunter Social Engineering, Malware oder Tools zum Knacken von Kennwörtern, um ein legitimes E-Mail-Konto zu kompromittieren.

In vielen Fällen verfolgen BEC- und EAC-Angreifer dasselbe Ziel: Sie wollen Geld, Daten oder andere sensible Informationen stehlen. Der Hauptunterschied ist, dass Hacker sich bei einem BEC-Angriff lediglich als vertrauenswürdige Person ausgeben, z. B. als Führungskraft, Anwalt oder wichtiger Anbieter, meist über ein gefälschtes E-Mail-Konto. Diese Person versucht dann, einen Mitarbeiter oder jemand anderen dazu zu bewegen, eine bestimmte Aktion durchzuführen, beispielsweise die Überweisung von Geldern auf das Konto des Angreifers.

Bei EAC-Angriffen dagegen kompromittiert der Angreifer ein legitimes E-Mail-Konto und agiert als der Eigentümer dieses Kontos. Da der Bedrohungsakteur in diesem Fall über die tatsächlichen Anmeldedaten verfügt, kann er betrügerische Aktivitäten durchführen und Multifaktor-Authentifizierungstools umgehen.

Fünf Arten des BEC-Betrugs

Nach Angaben des FBI gibt es fünf wesentliche Arten des BEC-Betrugs:

1. Kontokompromittierung

Bei einer Kontokompromittierung wird das E-Mail-Konto eines Mitarbeiters gehackt und als Instrument für Finanz- oder Datenkriminalität genutzt. In den meisten Fällen verwendet der Angreifer das Konto, um im Namen von Anbietern Zahlungen anzufordern. Die betreffenden Gelder werden dann auf Konten überwiesen, die dem Angreifer gehören oder von diesem kontrolliert werden.

2. Attorney Impersonation

Ein Attorney-Impersonation-Angriff zielt in der Regel auf neu eingestellte oder unerfahrenere Mitarbeiter ab. Der Angreifer gibt sich bei diesem Angriff als Anwalt oder Angestellter einer Anwaltskanzlei aus und setzt den Mitarbeiter dann unter Druck bzw. manipuliert ihn so, dass er Daten sendet oder eine Überweisung anfordert. Da diese Art von Anfragen meist als dringend, vertraulich oder beides formuliert sind, wissen viele neue oder noch relativ unerfahrene Mitarbeiter nicht, wie sie die Anfrage überprüfen können und kommen ihr nach, um negative Konsequenzen zu vermeiden.

3. CEO-Fraud

CEO-Fraud ähnelt einem Attorney-Impersonation-Angriff, außer dass der Angreifer sich hier als CEO ausgibt. In den meisten Fällen nimmt der Angreifer ein Mitglied des Finanzteams ins Visier und behauptet, dringende Unterstützung bei einer zeitkritischen oder vertraulichen Angelegenheit zu benötigen. Der Mitarbeiter wird dazu gedrängt, Geld auf ein vom Angreifer kontrolliertes Konto zu überweisen.

4. Datendiebstahl

BEC-Angreifer können zwecks Datendiebstahl auch ein Unternehmen ins Visier nehmen. Bei einem Datendiebstahlangriff richtet sich der Angreifer normalerweise an Mitglieder des Personal- oder Finanzteams, um persönliche Daten von Mitarbeitern oder Kunden des Unternehmens zu stehlen. Diese Informationen können im Dark Web verkauft oder zur Unterstützung künftiger Angriffe genutzt werden.

5. Betrug mit gefälschten Rechnungen

Bei einem Betrug mit gefälschten Rechnungen gibt sich der Angreifer als Anbieter aus und verlangt von einem Mitarbeiter eine Zahlung für eine Dienstleistung. In den meisten Fällen täuscht der Angreifer vor, ein echter Anbieter zu sein und bearbeitet eine offizielle Vorlage für Anbieterrechnungen. Allerdings verändert der Angreifer die Kontoangaben, sodass die Gelder auf ein Konto im Besitz des Hackers überwiesen werden.

Wie funktioniert BEC-Betrug?

Die meisten Arten des BEC-Betrugs folgen dem gleichen Schema und unterscheiden sich lediglich durch die vom Angreifer angenommene Identität und das anvisierte Ziel.

PhaseBeschreibung
1. IdentitätsrechercheEin geschickter BEC-Angreifer recherchiert das gewünschte Angriffsziel gründlich und entscheidet sich dann anhand der Aktion, die er auslösen möchte, für eine Identität. Ein Betrüger, der auf schnellen Erfolg aus ist, erstellt beispielsweise einfach ein E-Mail-Konto, das dem des Unternehmens-CEOs oder einer anderen Führungskraft sehr ähnlich ist, und fordert den Mitarbeiter dann auf, mehrere digitale Geschenkkarten als „Bonus“ für ein internes Team oder als Zeichen der Wertschätzung für einen Anbieter zu kaufen.

BEC-Betrug kann jedoch auch weitaus ausgefeilter sein. Beispielsweise könnte sich ein Hacker als neuer Anbieter, z. B. für Gehalts- und Lohnabrechnungen, ausgeben und einen kostenlosen Test seiner Gehaltsabrechnungsdienste anbieten – nur um dann im Rahmen des fiktiven Tests die persönlichen Daten von Mitarbeitern zu stehlen oder gar Gehaltsschecks umzuleiten.

2. MitarbeiterrechercheSobald der Hacker sich für eine Angriffstechnik und vorgetäuschte Identität entschieden hat, stellt er Nachforschungen über seine Ziele an. Dies kann das Durchsuchen der Unternehmenswebsite nach Kontaktinformationen oder die Bestimmung des typischen E-Mail-Adressformats umfassen. Möglicherweise werden auch soziale Netzwerke wie LinkedIn genutzt, um die Namen und Titel verschiedener Teammitglieder sowie deren Rollen und Zuständigkeiten zu recherchieren.

Die gründliche Recherche kann dazu führen, dass der Angreifer eine Person ins Visier nimmt, die in der Vergangenheit ähnliche, legitime Anfragen bearbeitet hat, oder aber Mitarbeiter, die möglicherweise nicht mit den Prozessen und Verfahren des Unternehmens vertraut sind.

3. Vorbereitung des AngriffsNachdem der Angreifer sich für eine Identität und ein Ziel entschieden hat, bereitet er die anderen Komponenten des Angriffs vor. Dies kann das Erstellen eines gefälschten E-Mail-Kontos, das Veröffentlichen einer gefälschten Unternehmenswebsite, das Einrichten von Bankkonten sowie das Erstellen von Rechnungen oder anderen Vermögenswerten umfassen, die der Angreifer benötigt, um seine Identität oder Anfrage glaubhaft zu machen.
4. Start des AngriffsDie letzte Phase ist die Umsetzung des Plans durch den Angreifer. BEC-Betrüger nutzen ihre digitale Identität, um die anvisierte Person zu manipulieren oder sie dazu zu drängen, eine gewünschte Aktion auszuführen. Dabei wird oft ein Gefühl der Dringlichkeit vorgetäuscht, um sicherzustellen, dass die Person auf die Anfrage reagiert, ohne sie mit einem anderen Mitarbeiter zu besprechen oder das Szenario vollständig zu durchdenken. Ist der Angreifer erfolgreich, endet der Angriff damit, dass Geld, Daten oder andere Informationen an den Hacker übertragen werden.

Drei BEC-Techniken

BEC-Angreifer setzen für ihre Angriffe verschiedene Techniken ein. Drei der gängigsten Methoden sind:

  • Domain Spoofing: Domain Spoofing ist eine Form von Phishing, bei der ein Angreifer mit einer gefälschten Website oder E-Mail-Domäne die Identität eines namhaften Unternehmens imitiert oder sich als eine bekannte Person ausgibt, um vertrauenswürdig zu wirken. In der Regel handelt es sich dabei auf den ersten Blick um eine legitime Domäne, doch bei genauerer Betrachtung stellt sich ein W tatsächlich als zwei Vs oder ein kleines L als großes i heraus. Benutzer, die auf die Nachricht antworten oder mit der Website interagieren, werden getäuscht und so dazu gebracht, sensible Daten weiterzugeben, Geld zu überweisen oder auf schädliche Links zu klicken.
  • Social Engineering: Social Engineering bedeutet, dass Menschen manipuliert werden, sodass sie eine gewünschte Aktion durchführen, beispielsweise die Offenlegung vertraulicher Informationen. Social-Engineering-Angriffe funktionieren so gut, weil starke Beweggründe Menschen zum Handeln verleiten können, z. B. Geld, Liebe und Angst. Angreifer machen sich das zunutze, indem sie falsche Chancen zum Erfüllen dieser Wünsche bieten.
  • Kompromittierte Konten: Ein kompromittiertes Konto ist ein E-Mail- oder Systemkonto, das von einem Angreifer gehackt wurde. Der Hacker kann sich verschiedene Methoden zunutze machen, darunter Social Engineering, Malware oder Tools zum Knacken von Kennwörtern, um ein legitimes E-Mail-Konto zu kompromittieren. Sobald der Angreifer die Kontrolle hat, kann er sich als Benutzer ausgeben und alle Aktivitäten durchführen, zu denen der legitime Kontoinhaber in der Lage ist.

Expertentipp

Wer sollte auf der Hut sein? – Häufige Ziele von BEC-Betrug

Jedes Unternehmen kann das Ziel eines BEC-Angriffs sein. Allerdings sind viele kleine und mittelständische Unternehmen besonders anfällig für diese Art von Angriff, da es für Betrüger leichter ist, Unternehmen mit schwachen Prozessen oder kurzen Genehmigungsabläufen zu manipulieren.

Was Angriffe von Einzelpersonen anbelangt, sind einige Menschen tendenziell häufiger Ziel dieser Angriffe. Dazu gehören:

  • Führungskräfte: Führungskräfte verfügen nicht nur über umfangreiche Befugnisse und Informationen, sie haben auch ein bedeutendes öffentliches Profil. Entsprechend ist es einfacher, den beruflichen Werdegang, die Interessen und Verbindungen der Person zu recherchieren – und Hacker erhalten so die Chance, sich als legitimer persönlicher oder beruflicher Kontakt auszugeben. In einigen Fällen wendet sich der Hacker mit simplen Beschwerden oder Problemen an hochrangige Personen und bittet die Führungskraft darum, die Anfrage an einen geeigneten Ansprechpartner innerhalb der Organisation weiterzuleiten. So kann der Hacker sich direkt mit Personen in der Finanz- oder Personalabteilung in Verbindung setzen und diese für zukünftige Angriffe ins Visier nehmen.
  • Mitglieder des Finanzteams: Das Finanzteam verwaltet alles von Anbieterzahlungen bis hin zur Lohn- und Gehaltsabrechnung und hat außerdem Zugang zu großen Mengen persönlicher Daten und sensibler Informationen. Hacker richten Angriffe häufig auf diese Mitarbeiter aus, weil sie routinemäßig Zahlungen verarbeiten, Überweisungen durchführen, Ad-hoc-Finanzaufgaben für Führungskräfte erledigen und Zahlungs- und Kontodatenbanken verwalten. Hacker, die sich Zugang zu einer Person aus dem Finanzteam verschaffen, könnten einen Betrug mit gefälschten Rechnungen durchführen, eine Aktualisierung der Zahlungsdetails eines Anbieters anfordern oder sogar die Gehaltszahlungen umleiten.
  • Mitglieder der Personalleitung: Die Personalabteilung ist für viele Hacker eine wahre Goldgrube. Angreifer könnten Mitglieder der Personalleitung anvisieren, um sich Zugriff auf die persönlichen Daten von Mitarbeitern zu verschaffen, beispielsweise Sozialversicherungsnummern, personenbezogene Daten (PII), Lohn- und Gehaltsabrechnungen, persönliche Kontaktdaten und andere sensible Informationen. Diese Daten können im Dark Web verkauft oder zur Unterstützung künftiger Angriffe genutzt werden.
  • Neue Mitarbeiter oder Berufseinsteiger: Auch neu eingestellte Mitarbeiter oder Nachwuchskräfte sind häufige Ziele von BEC-Angriffen. Dies liegt daran, dass sie die internen Prozessen und Verfahren noch nicht ausreichend kennen und entsprechend nicht wissen, wie sie bei der Verifizierung ungewöhnlicher Anfragen vorgehen sollten. Hinzu kommt, dass neue Mitarbeiter möglicherweise weder mit der Art von Anfragen vertraut sind, die eine Führungskraft stellen kann, noch wissen, über welche Kommunikationskanäle diese Anfragen erfolgen oder wer diese Aktivitäten prüfen und verifizieren muss.

Schutz vor BEC-Betrug

BEC-Angriffe basieren auf der Mensch-zu-Mensch-Beziehung und nicht auf digitalen Tools wie Malware oder Viren. Daher ist es schwierig, BEC-Betrug mit herkömmlichen Sicherheitstools wie Virenschutzlösungen oder endpunktbasierter Detektion und Reaktion (EDR) zu erkennen oder zu verhindern.

Da BEC-Angriffe in der Regel auf Menschen ausgerichtet sind, muss der Mensch auch bei den Schutz- und Präventionsmethoden im Vordergrund stehen. Nachfolgend finden Sie einige der Best Practices, die Sie beim Schutz vor BEC-Angriffen berücksichtigen sollten:

1. Implementieren Sie ein zuverlässiges Schulungsprogramm zur Cybersicherheit für alle Mitarbeiter.

Bei BEC-Angriffen ist die erste Verteidigungslinie eines Unternehmens seine Belegschaft. Entsprechend muss das Unternehmen ein zuverlässiges Schulungsprogramm zur Cybersicherheit schaffen, das Module speziell zu Social-Engineering-Techniken umfasst. Das Unternehmen sollte die Wirksamkeit des Kurses durch eine Vielzahl von Simulationen oder Übungen im Rahmen des Schulungsprogramms testen.

Die Schulung sollte unter anderem folgende spezifische Punkte abdecken:

  • Was genau ist eine ungewöhnliche, atypische oder unangemessene Anfrage einer Führungskraft – z. B. Anfragen nach persönlichen Informationen über einen bestimmten Mitarbeiter.
  • Die richtigen Prozesse und Verfahren für Finanztransaktionen – wer darf solche Aktivitäten durchführen und wie kann diese Person über eine Anfrage an ein anderes Teammitglied informiert werden
  • Die richtigen Prozesse und Verfahren zur Verwaltung von Anbieterrechnungen, auch bei dringenden Anfragen
  • Beispiele dafür, wie Angreifer Angst, Einschüchterung, Vertraulichkeit oder Dringlichkeit nutzen, um einen Mitarbeiter zu manipulieren
  • Erkennung gefälschter E-Mail-Adressen oder Domänen sowie nicht übereinstimmender Antwortadressen

Erfahren Sie mehr

Weitere Informationen finden Sie in unserem Artikel zum Thema „Erstellung eines Cybersicherheits-Schulungsprogramms für Mitarbeiter“. Lesen: Erstellung eines Cybersicherheits-Schulungsprogramms für Mitarbeiter

2. Implementieren Sie eine Zero-Trust-Strategie.

Zero Trust ist ein Sicherheitskonzept, bei dem alle Benutzer authentifiziert und autorisiert werden müssen, bevor ihnen Zugriff auf Anwendungen und Daten gewährt wird. Bei der Implementierung dieses Frameworks kommen hochentwickelte Technologien wie risikobasierte Multifaktor-Authentifizierung, Identitätsschutz, Endgerätesicherheit der nächsten Generation sowie robuste Cloud-Workload-Technologie zum Einsatz, um die Benutzer- oder Systemidentität zu kontrollieren, den Zugriff zum jeweiligen Zeitpunkt abzuwägen und die Systemsicherheit aufrechtzuerhalten. Dies ist vor allem im Hinblick auf die Prävention von EAC-Angriffen wichtig, bei denen Angreifer die Identität eines legitimen Systembenutzers annehmen und sich als diese Person ausgeben.

3. Überwachen Sie das Deep Web und das Dark Web auf Anzeichen einer Kompromittierung.

Das Dark Web ist der Teil des Internets, in dem Benutzer über spezielle Browser wie TOR anonym auf nicht indexierte Webinhalte zugreifen können. Die Tools für die Dark Web-Überwachung ähneln denen einer Suchmaschine (wie Google), nur werden sie für das Dark Web eingesetzt. Sie machen extrahierte oder gestohlene Informationen ausfindig, die dann im Dark Web zwischen Bedrohungsakteuren ausgetauscht und verkauft werden. Dazu können kompromittierte Kennwörter, Anmeldeinformationen, geistiges Eigentum und andere sensible Daten gehören.

Erfahren Sie mehr

Lesen Sie unseren Einstiegsleitfaden zu Dark-Web-Überwachungstools, um herauszufinden, wie das Dark Web funktioniert und wie Sie sich am besten schützen. Lesen: Dark-Web-Überwachungstool

4. Erstellen Sie eine Bestandsaufnahme der Bedrohungsakteure, die BEC-Angriffe einsetzen.

Für große Unternehmen, die einem hohen Risiko ausgesetzt sind, kann es auch sinnvoll sein, die Bedrohungsakteure, die BEC nutzen, zu verfolgen und zu analysieren. Dies erfordert in der Regel eine Partnerschaft mit einem vertrauenswürdigen Anbieter von Cybersicherheitslösungen, der dem Unternehmen hilft, sowohl das Adversary Universe als auch die Bedrohungsakteure und Techniken zu identifizieren, denen das Unternehmen am ehesten ausgesetzt ist.

5. Implementieren Sie einen Plan zur Reaktion auf Zwischenfälle (Incident Response; IR).

Die Reaktion auf Zwischenfälle (Incident Response, IR) umfasst alle Maßnahmen zur Vorbereitung, Erkennung und Eindämmung sowie die Wiederherstellung nach einem Zwischenfall. Die beiden bekanntesten Frameworks für die Reaktion auf Zwischenfälle wurden von NIST und SANS entwickelt. Sie liefern IT-Teams eine Grundlage für eigene IR-Pläne.

BEC- und EAC-Lösungen

Wie bei vielen anderen Cyberangriffen ist die beste und wichtigste Verteidigungslinie gegen BEC und EAC eine engagierte, sachkundige und wachsame Belegschaft.

Auch wenn BEC-Angriffe auf Menschen abzielen, können Unternehmen Maßnahmen ergreifen, um das Risiko zu minimieren und ihre Abwehr solcher Angriffe zu stärken.

CrowdStrike Falcon® Intelligence Recons ist eine Sicherheitslösung, mit der Sicherheitsteams die Angreifer und deren Aktivitäten außerhalb des Netzwerkperimeters verfolgen können. Das Tool bietet Unternehmen folgende Vorteile:

  • Überwachung des Cybercrime-Schwarzmarkts
  • Identifizierung kompromittierter vertraulicher Daten
  • Identifizierung nachgeahmter Domänen
  • Zuweisung, Verfolgung und Verwaltung von Warnungen
  • Erstellung von Angreiferprofilen
  • Erkennung externer Angriffsvektoren

CrowdStrike Falcon® Identity Threat Detection ist eine Sicherheitslösung zur hochpräzisen Echtzeit-Erkennung identitätsbasierter Bedrohungen. Sie nutzt KI und Verhaltensanalysen, um hochgradig entscheidungsrelevante Informationen zur Abwehr moderner Angriffe bereitzustellen. Das Tool bietet Unternehmen folgende Vorteile:

  • Bereitstellung von Informationen und Analysen zu allen Anmeldedaten
  • Erkennung lateraler Bewegungen bei authentifizierten Konten
  • Aktivierung von AD-Sicherheit ohne Einsatz von Protokollen