Fälle der digitalen Betrugsvariante Business Email Compromise (BEC) häufen sich – seit Jahren. Wie sehr, hat die US-amerikanische Bundespolizei FBI diesen September in einer Alarmmeldung offengelegt. Vom Beginn ihrer BEC-Aufzeichnungen im Jahr 2013 bis zum Ende des vergangenen Jahres entstanden durch BEC-Betrug weltweit Schäden in einer Größenordnung von umgerechnet rund 50,15 Milliarden Euro.
Beim Business Email Compromise, auch bekannt als Email Account Compromise (EAC), nutzen Angreifer Social Engineering- und Hacking-Techniken, um die E-Mail-Konten ihrer Opfer von diesen unbemerkt zu kompromittieren und zu übernehmen. In der Folge versuchen sie dann, getarnt als ihre Opfer, Anweisungen, zum Beispiel zu Geldüberweisungen, zu tätigen. Oftmals werden dabei, wie der Name schon sagt, nicht allein private, sondern auch Unternehmens-E-Mail-Konten kompromittiert – um nicht nur private, sondern auch und gerade Firmengelder auf eigene Konten umzuleiten. Die Schäden, die Unternehmen hier jedes Jahr entstehen, haben schon vor Jahren ein erhebliches Ausmaß erreicht, nehmen kontinuierlich zu.
Allein zwischen Dezember 2022 und Dezember 2023, so die FBI-Alarmmeldung, haben die globalen Schäden um 9 Prozent zugelegt – auf mittlerweile rund 50,15 Milliarden Euro. Ein zentraler Grund: die Zunahme der Überweisungen an Finanzinstitute, die Depotkonten von Drittanbieter-Zahlungsabwicklern oder Peer-to-Peer-Zahlungsabwicklern und Kryptowährungsbörsen beherbergen. Besonders häufig kamen internationale Banken im Vereinigten Königreich und in Hongkong als Transferstationen zum Einsatz – gefolgt von Banken in China, Mexiko und den Vereinigten Arabischen Emiraten.
In seiner Meldung hält das FBI einige wertvolle Tipps für Unternehmen bereit, wie sie sich besser vor BEC-Betrügern schützen können; etwa:
- Vermeidung der Weitergabe von persönlichen oder Anmeldedaten per E-Mail,
- Prüfung der Absenderadressen eingehender E-Mails,
- Prüfung von in eingehenden E-Mails enthaltenden URLs,
- Einrichtung von Sekundärkanälen und/oder Zwei-Faktor-Authentifizierungen,
- Verwendung unterschiedlicher Passwörter, die regemäßig geändert werden und
- Prüfung von Bankkonten auf Unregelmäßigkeiten.
Halten sich Unternehmen an diese Vorgaben, sind sie bereits einen guten Schritt weiter. Jedoch wird im Report das wichtigste To-Do, wie so oft, außeracht gelassen. Die Rede ist vom generellen Ausbau der Sicherheitskultur von Unternehmen, der Erweiterung des allgemeinen Sicherheitsverständnisses und -bewusstseins der Mitarbeiter. Nur mit Mitarbeitern, die verstehen, worauf es zu achten gilt und die dieses Wissen dann auch zum entscheidenden Zeitpunkt zur Anwendung zu bringen wissen, wird es gelingen, das Risiko erfolgreicher BEC-Angriffe signifikant zurückzufahren. Hierzu bedarf es neben einer kontinuierlichen theoretischen Wissensvermittlung vor allem eines: regelmäßiger Trainings und realistischer Tests, in denen Mitarbeiter sich selbst und ihren Unternehmen ihre Lernerfolge praktisch vor Augen führen können.
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4