BEC-Scams: Was ist das und wie kann man sich als Unternehmen davor schützen?

Veröffentlicht am von

Unternehmen stellen nicht nur Rechnungen, sondern sie erhalten in der Regel auch Rechnungen von Dienstleistern, die sie in Anspruch nehmen. Es steht natürlich außer Frage, dass die Unternehmen diese Rechnungen bezahlen. Doch, nicht immer ist eine Rechnung auch wirklich eine echte Rechnung von einem Dienstleister.

Unter den vielen unterschiedlichen Angriffsmethoden, die Internet-Kriminelle in der heutigen Zeit haben, befinden sich unter anderem die sogenannten BEC-Scams, die schwere Folgen mit sich bringen können.

Was sind BEC-Scams?

Um sich effektiv vor Bedrohungen schützen zu können, ist es zunächst einmal wichtig zu wissen, worum es sich bei diesen überhaupt handelt. Bei den BEC-Scams handelt es sich dabei um “Business Email Compromise”, also um die Kompromittierung von Geschäfts-E-Mails.

Das heißt, dass dieser Betrug über E-Mails stattfindet, mit denen Betrüger versuchen, Geld von dem Unternehmen zu bekommen. Für diese Zwecke geben sie sich als:

  • Kollege
  • Lieferant
  • Partner
  • Kunde
  • etc.

aus und möchten dann bestimmte Rechnungen von dem Unternehmen bezahlt bekommen.

Dass sich Cyber-Kriminelle unter anderem als Dienstleister, die Unternehmen in Anspruch nehmen, ausgeben können, liegt daran, dass das Unternehmen in der Regel Sicherheitslücken aufweist. Hat sich ein Hacker einmal in das System geschleust, kann er schamlos die unterschiedlichsten Daten ausspionieren und dann zu seinem Vorteil nutzen.

Warum fallen so viele Unternehmen auf die BEC-Scams rein?

Es ist wichtig, sich intensiv mit den BEC-Scams auseinanderzusetzen, da der Bericht “Cost of a Data Breach 2022” von IBM sagt, dass es sich bei BEC-Scams mit einem Schaden von durchschnittlich 4,89 Millionen US-Dollar um die zweitteuerste Art der Sicherheitsverletzungen handelt. Insgesamt liegt die Summe des Schadens, die BEC-Scams bei Unternehmen in den USA verursacht haben im Jahr 2022 bei ganzen 2,7 Milliarden US-Dollar.

Doch, wie kann das sein?

Viele Unternehmen fragen sich, wie es sein kann, dass gerade sie Opfer eines BEC-Scams werden. Denn nicht selten greifen sie auf ein VPN kostenlos zurück und machen somit einen Schritt in Richtung Internet-Sicherheit. Ein VPN ist durchaus sehr wichtig und schützt davor, dass sich Hacker in Systeme einhacken und Informationen erhalten. Doch es schützt nicht davor, E-Mails zu erhalten, bei denen sich Kriminelle als jemand anderes ausgeben und Geld verlangen.

Somit liegt die Antwort auf die Frage danach, warum so viele auf BEC-Scams reinfallen, oft nicht (nur) an einer mangelnden Internet-Sicherheit, sondern auch an einer unzureichenden Aufmerksamkeit bzw. mangelhaften Aufklärung bezüglich E-Mail-Betrug.

Die mangelnde Internet-Sicherheit Die unzureichende Aufmerksamkeit/Unzureichendes Wissen
In der Regel erkennen Mitarbeiter eines Unternehmens die E-Mail-Adresse der Partner oder Dienstleister, die sie in Anspruch nehmen. Mangelt es jedoch bei dem Partner und/oder Dienstleister an Cyber-Security und kann sich der Hacker in dessen System einhacken, kann dieser:

●     Rechnungen fälschen, sodass das Geld auf sein Konto geht.

●     die gefälschten Rechnungen mit der richtigen E-Mail-Adresse an das Unternehmen schicken.

 Handelt es sich bei der E-Mail um eine vollkommen gefälschte E-Mail-Adresse, kann es sein, dass die Empfänger nicht richtig prüfen, ob die Adresse auch wirklich stimmt. Natürlich mag das auf den ersten Blick aufwändig sein, bei jeder E-Mail doppelt zu checken, ob der Absender auch wirklich der Absender ist und im Zweifelsfall einmal direkt anzurufen. Doch der Schaden durch einen möglichen BEC-Scam fällt in der Regel deutlich größer aus.

 

 

Weitere Methoden des BEC-Scams

Gefälschte Rechnungen stehen bezüglich der BEC-Scams an Platz 1, doch es gibt auch weitere Methoden, die Hacker nutzen, um von Unternehmen an Geld zu gelangen.

Zu diesen gehören dabei unter anderem die Folgenden:

CEO-Fraud

Betrüger geben sich in diesem Fall als CEO aus und wenden sich in diesem Fall an einen Mitarbeiter, um ihn zu bitten, Geld an ein Konto zu überweisen. Für diese Zwecke können dann unterschiedliche Gründe genannt werden, wobei die Dringlichkeit eine tragende Rolle spielt. Es muss schnell und am besten direkt geschehen.

Email Account Compromise (EAC)

In diesem Fall werden ebenfalls E-Mail-Konten von Hackern übernommen. Allerdings handelt es sich in diesem Fall um E-Mail-Konten eines Mitarbeiters des Unternehmens. In dessen Namen können Hacker dann:

  • Mails an andere Mitarbeiter senden und nach vertraulichen Informationen fragen.
  • gefälschte Rechnungen an andere Unternehmen senden.

So schützen sich Unternehmen vor den BEC-Scams

Wie man sieht, sind die BEC-Scams durch Internet-Kriminelle recht raffiniert, weshalb es umso wichtiger ist, dass Unternehmen sich effektiv vor ihnen schützen.

Dieser Schutz fängt zunächst einmal mit dem Wissen rund um die Cyber-Security an. Es ist wichtig, die Cyber-Security als Unternehmen ernst zu nehmen und in diesem Zusammenhang entsprechende Sicherheitsmaßnahmen einzuleiten:

  • Mitarbeiter sollten bezüglich der Cyber-Kriminalität und der Cyber-Security geschult werden. In Bezug auf die BEC-Scams ist es wichtig, sie dafür zu sensibilisieren, wie E-Mails authentisch aussehen, aber dennoch gefälscht sein können. Es ist immer besser, lieber zwei Mal zu viel hinzuschauen, als einmal zu wenig. Zudem sollten die Mitarbeiter in regelmäßigen Abständen Fortbildungsmöglichkeiten erhalten, da die Technologie immer weiter voranschreitet und folglich auch die Methoden der Hacker immer raffinierter werden.
  • Die Passwörter, die verwendet werden, müssen sicher sein und im besten Fall eine Mehr-Faktoren-Authentifizierung beinhalten.
  • Ein VPN sollte verwendet und allen Mitarbeitern zur Verfügung gestellt werden.
  • Sicherheitssoftwares und Anti-Viren-Programme müssen nicht nut in Unternehmen vorhanden sein, sondern es muss darauf geachtet werden, dass sich diese immer auf dem aktuellen Stand befinden.

Zu guter Letzt sollte sich jedes Unternehmen mit der Frage auseinandersetzen, ob sie einen IT-Beauftragten einstellen, der sich rein um die Cyber-Security kümmert. Dieser IT-Beauftrage stellt nicht nur sicher, dass alle Maßnahmen, die für die Cyber-Security im Unternehmen zum Einsatz kommen, immer auf dem neuesten Stand sind, sondern er dient auch als Ansprechpartner für Mitarbeiter, wenn diese unsicher sein und/oder Fragen haben sollten.

Nehmen sich Unternehmen diese Hinweise zu Herzen und setzen sich gezielt mit BEC-Scams und den vielen anderen Methoden, die Internet-Kriminelle nutzen, auseinander, können sie sich gezielt vor den Angriffen und den damit zusammenhängenden Folgen schützen. Die Mitarbeiter spielen diesbezüglich eine tragende Rolle und sollten aus diesem Grund bezüglich der Cyber-Security-Strategie des Unternehmens eine zentrale Rolle spielen.