Business Email Compromise
Unterschätzte Gefahr für Unternehmen
Foto: JLStock - shutterstock.com
Mit einem BEC-Exploit können sich Angreifer Zugang zu einem E-Mail-Konto im Unternehmen verschaffen. Dazu stehlen Hacker häufig die Identität von Führungskräften oder hochrangigen Mitarbeitern, die mit den Finanzen im Betrieb in Verbindung stehen. Die Daten werden entweder durch Keylogger oder Phishing-Angriffe abgegriffen. Ziel der Kompromottierung ist es andere Mitarbeiter dazu zu bringen, Geld auf das Konto des Angreifers zu überweisen.
Die meisten Unternehmen glauben, gegen diese Art von Angriffen gefeit zu sein. Doch ein Bericht von Palo Alto Networks hat gezeigt, dass in vielen Unternehmen die Maßnahmen zum Schutz gegen derartige Attacken nicht richtig umgesetzt werden. Im Rahmen seiner Analyse stellte der Security-Anbieter fest, dass 89 Prozent der von BEC betroffenen Unternehmen keine Multi-Faktor-Authentifizierung (MFA) aktiviert oder die Best Practices für deren Implementierung nicht befolgt haben.
Diese Fehler können die Unternehmen teuer zu stehen kommen. BEC-Angriffe richten enorme finanzielle Schäden an: In dem Zeitraum seit Anfang 2020 lag der durchschnittliche Betrugsversuch bei 567.000 Dollar und der höchste bei sechs Millionen Dollar, so die Analyse. Laut einem FBI-Bericht haben BEC-Attacken allein in den USA im vergangenen Jahr einen Schaden von 1,87 Milliarden Dollar verursacht. Fast 20.000 Email-Adressen wurden kompromittiert.
8 wichtige Regeln zur Abwehr von BEC-Angriffen
Der Security-Hersteller empfiehlt folgende Sicherheitsregeln zu beachten, um Unternehmen vor E-Mail-Angriffen zu schützen:
Sensibilisierung: Endbenutzer sind in der Regel das schwächste Glied bei Sicherheitsvorfällen, da sie anfällig für alle Arten von Phishing-Betrug sind. Durch die Schulung der User steigt die Wahrscheinlichkeit, dass sie in der Lage sind, Phishing-Versuche zu erkennen und verdächtige Aktivitäten an die Sicherheitsteams zu melden, damit diese sie überprüfen können.
Durchsetzung von MFA: In vielen Betrieben können Benutzer selbst entscheiden, ob sie MFA einrichten möchten oder nicht. Das vermittelt Unternehmen ein falsches Sicherheitsgefühl. Es ist von entscheidender Bedeutung, MFA nicht nur zu anzubieten, sondern auch durchzusetzen, indem die Benutzer aufgefordert werden, das Security-Tool zu ihren Konten hinzuzufügen und sich bei jeder Anmeldung zu authentifizieren.
Verwendung einer starken MFA: Die Verwendung einer Einmalpasswort-Anwendung (OTP) ist ratsam, eine SMS zur Verifizierung von MFA dagegen zu vermeiden. Wenn ein Benutzer einen in einer OTP-Anwendung, zum Beispiel Google Authenticator, generierten Code manuell eingeben muss, sinkt die Wahrscheinlichkeit, dass er im Falle von Brute-Force-Angriffen oder gestohlenen Zugangsdaten fälschlicherweise nicht autorisierte MFA-Anfragen akzeptiert.
Kontrolle der Legacy-Authentifizierung: Die Authentifizierung über Legacy-Protokolle sollte standardmäßig deaktiviert sein, da sich so MFA umgehen ließe. Um bestimmte Ausnahmen zuzulassen, zum Beispiel für ältere Geräte oder Legacy-SMTP-Relays vor Ort, empfiehlt es sich, einen bedingten Zugriff beispielsweis via Active Directory zu nutzen.
Überprüfung des Netzwerkschutzes: Die Möglichkeit der Endbenutzer, Code und Anwendungen auszuführen oder herunterzuladen, wie zum Beispiel makroaktivierte Office-Dokumente und nicht autorisierte Software sowie USB-Geräte an ihre Rechner anzuschließen, gilt es regelmäßig zu überprüfen. Zudem sollten URL-Filterregeln eingerichtet werden, um den Zugriff auf die folgenden Kategorien von Domains standardmäßig zu beschränken: Newly Registered, Insufficient Content, Dynamic DNS, Parked und Malware.
Regelmäßige Überprüfung von Delegations- und Kontoberechtigungen: Benutzerkonten und Berechtigungen, einschließlich der Delegation von Nicht-Eigentümern, gemeinsam genutzten Postfächern und Verwaltungsrechten, sollten ebenfalls regelmäßig überprüft werden. Jedes Konto sollte eindeutig benannt und einer Person zugeordnet sein. Die Zugangsdaten für Dienstkonten oder gemeinsam genutzte Mailboxen sollten sicher in einem Passwort-Tresor gespeichert und nach Möglichkeit mit MFA geschützt werden.
Deaktivierung Client-seitiger Weiterleitungsregeln: Client-seitige Weiterleitungsregeln können ein Indikator für eine Kompromittierung sein, die es Angreifern ermöglicht, alle eingehenden E-Mails an eine externe Adresse weiterzuleiten. Sie können auch von Endbenutzern eingerichtet werden, um Firmen-E-Mails an persönliche E-Mail-Konten weiterzuleiten. In beiden Fällen stellt dies ein Risiko dar. Deshalb sollten die Client-seitigen Weiterleitungsregeln deaktiviert werden. Benutzer, die Weiterleitungsregeln für geschäftliche Zwecke benötigen, sollten die Genehmigung ihres Vorgesetzten haben und regelmäßig von der IT-Abteilung überprüft werden.
Audit-Protokollierung und Ereignisüberwachung: Es gilt sicherzustellen, dass die Protokollierung von administrativen Ereignissen aktiviert ist. Je nach E-Mail-Plattform oder Lizenzstufe sind die Protokollierung und die Speicherung von Ereignissen möglicherweise nicht standardmäßig aktiviert. Die E-Mail-Server-Protokolle sollten an einem zentralen Ort zusammengefasst werden, zum Beispiel in einem XDR- (Extended Detection and Response) oder SIEM-Tool (Security Information and Event Management). Diese Protokolle helfen bei einer späteren Prüfung und bieten einen besseren Einblick in die Sicherheitsereignisse auf dem E-Mail-Server. So lässt sich besser verstehen, wie normale Aktivitäten für ein Konto aussehen, und welche Daten möglicherweise durch einen Vorfall gefährdet waren.