Ein volles E-Mail-Postfach gehört zum Berufsalltag vieler Berufstätiger dazu. Dabei muss es oft schnell gehen – E-Mails werden per Klick direkt geöffnet und bearbeitet. Hier liegt eine potenzielle Angriffsfläche, die Cyberkriminelle zunehmend ausnutzen: Mit geschickt gefälschten E-Mailadressen („Spoofing") geben sie sich als Geschäftspartner, Führungskraft oder Mitarbeitende aus, um an Geld oder sensible Daten zu gelangen. Diese Betrugsmethode wird als Business E-Mail Compromise (BEC) bezeichnet. Wir erklären, was BEC ist, wie Sie es erkennen und wie sich Unternehmen davor schützen können.

Definition: Was ist Business E-Mail Compromise?

Business E-Mail Compromise ist eine Unterform des „Social Engineering", also einer zwischenmenschlichen Beeinflussung mit dem Ziel, bestimmte Verhaltensweisen beim potenziellen Opfer hervorzurufen. Das Bemerkenswerte an diesen Angriffen ist, dass es keine direkten Cyberangriffe mit Ransomware auf das Ziel gibt – es wird lediglich eine geschickt gefälschte E-Mail (sogenanntes Spoofing) gesendet. Da sich Kriminelle häufig als Geschäftsführung ausgeben, spricht man auch von CEO-Fraud oder CEO-Betrug. Eine weitere Bezeichnung ist Man-in-the-E-Mail-Angriff.

Nach einer Studie von Barracuda Networks Inc. beruhen inzwischen 10 % aller Social-Engineering-Angriffe auf BEC. Technische Maßnahmen helfen nur eingeschränkt.

BEC-Beispiel: Angreifer gibt sich als Lieferant aus

Ein gewöhnlicher Dienstagvormittag in einem Industrieunternehmen: Gerade kommt die Abschlussrechnung von einem langjährig vertrauten Lieferanten per E-Mail. Er bittet um Überweisung auf ein neues, sekundäres Konto – was den Empfänger stutzig macht. Nach kurzer Rückfrage per E-Mail erklärt der Lieferant: Es findet gerade eine Jahresabschlussprüfung statt, daher bitte keine Buchungen auf das bisherige Konto.

Das scheint verständlich und stellt für den Empfänger kein Problem dar: Der Lieferant und die handelnden Personen sind bekannt, außerdem ist die E-Mail mit der Abschlussrechnung die Antwort auf eine längere E-Mailkonversation. Auch der Wareneingang ist schon gebucht.

Daher wird die sechsstellige Rechnung bezahlt – jedoch nur nicht an den Lieferanten, sondern an einen kriminellen Angreifer.

Was ist passiert?

Das Industrieunternehmen wusste zu diesem Zeitpunkt nicht, dass sein Lieferant schon seit Tagen durch eine Cyberattacke geschädigt wurde. Die Angreifer hatten sich Zugriff auf die E-Mails des Lieferanten verschafft, vermutlich mit dem Ziel, die Kunden des Lieferanten auf die beschriebene Art zu betrügen.
Mit den erbeuteten Daten wurde eine geschickte E-Mail konstruiert, die der üblichen Konversation mit dem Industrieunternehmen entsprach. Über eine manipulierte neue E-Mail-Domäne wurde sie an das Unternehmen verschickt. Um authentisch zu wirken, fügten die Angreifer auch die bisherige Kommunikation zwischen den beiden Häusern mit ein.

Selbst die Rückfrage per E-Mail zum Kontowechsel wurde umgehend und freundlich beantwortet – vom Angreifer. Dieser Dialog lief bereits über die manipulierte neue E-Maildomäne des Angreifers, da das Opfer – ohne die Veränderung des Absenders zu bemerken – auf die E-Mail des Angreifers antwortete.
Am eigentlichen Lieferanten ging diese betrügerische E-Mail Kommunikation vorbei.

Beispiele für geschickt gefältschte E-Mail-Adressen

Ein getauschter Buchstabe oder zusätzliches Länderkürzel fallen vielen Nutzern nicht sofort auf:

Wie können sich Unternehmen vor BEC schützen?

1. Trainieren Sie Ihre Anwender im Erkennen von gefälschten E-Mails

1. Achten Sie auf Veränderungen bei bekannten Kommunikationspartnern (E-Maildomäne, Schreibstil und Rechtschreibfehler, unerwartete Rabatte, etc.)
2. Misstrauen Sie Anfragen, die vom üblichen Protokoll abweichen
3. Hinterfragen Sie Änderungen z. B. im Zahlungsverkehr oder bei wechselnden Ansprechpartnern telefonisch!
4. Lernen Sie E-Mail-Header zu lesen

2. Setzen Sie einen automatischen Hinweis in jede E-Mail von extern

Anders als im geschilderten Fall, werden bei BEC Angriffen E-Mails häufig gefälscht, um sich als interne Kollegen oder Vorgesetzte auszugeben, z. B. mit angeblich dringenden Zahlungsanweisungen.
Hier hilft ein automatisch generiertes Banner in jeder externen E-Mail, damit Sie interne von externen E-Mails auf den ersten Blick unterscheiden können, z. B.:

„Achtung! Diese E-Mail stammt von einem externen Absender. Seien Sie besonders vorsichtig im Umgang mit Anhängen und Links"

Die Einrichtung dieser Banner ist vergleichsweise einfach und sensibilisiert die Mitarbeitenden im Umgang mit der E-Mail.

3. Nutzen Sie Techniken wie SPF und DKIM oder DMARC in Ihrer E-Mail-Umgebung

Diese technischen Maßnahmen helfen im beschriebenen Fall zwar nur bedingt – allerdings erschweren diese es den Angreifern in jedem Fall.

Wir unterstützen Sie dabei, die für Sie geeigneten Schutzmaßnahmen zu identifizieren und umzusetzen. Dabei betrachten wir auch Ihre aktuellen IT-Risiken und setzen Awareness Maßnahmen zur Schulung Ihrer Mitarbeitenden um. Wir beraten Sie gern!