Ein bodenständiger Garagist aus der Region Gantrisch kaufte ein Fahrzeug für 60.000 Franken, die Rechnung sollte per E-Mail kommen. Als er das PDF öffnete, stutzte er: Die angegebene Bank war in Lausanne. Warum sollte sein langjähriger Partner aus dem Berner Oberland plötzlich mit einer Westschweizer Bank arbeiten? Ein schneller Anruf klärte alles: Der Partner wusste von nichts. Die Rechnung war gefälscht. So wurde er beinahe Opfer einer Business Email Compromise (BEC). Lesen Sie in diesem Artikel, wie gefährlich diese ist und was Sie dagegen tun können.

Business Email Compromise (BEC) ist eine der effektivsten Methoden, mit denen Angreifer Unternehmen ins Visier nehmen. Oft wird BEC nur als einfache E-Mail-Betrugsmasche verstanden, doch die Realität ist weit komplexer: Sobald Angreifer ein E-Mail-Konto kontrollieren, nutzen sie das dort aufgebaute Vertrauen, um weitere Systeme, Partner und finanzielle Ressourcen zu kompromittieren - wie in dem geschilderten Fall der Garage, in dem die Täter eine gefälschte Rechnung mit einer neuen IBAN einschleusten. Lesen Sie in diesem Artikel, warum ein BEC so gefährlich ist und was Sie unternehmen sollten, wenn Sie Opfer eines solchen Angriffs sind.

Wie ein E-Mail-Account kompromittiert werden kann

Angreifer nutzen heute eine Vielzahl von Methoden, um Zugriff auf Unternehmenssysteme oder E-Mail-Konten zu erlangen. Häufig beginnen Angriffe mit gezielten Spear-Phishing-Mails, die auf Informationen aus LinkedIn oder Firmenwebsites basieren und durch personalisierte Anhänge oder Links Vertrauen schaffen sollen. Ein weiteres Einfallstor ist die Wiederverwendung von Passwörtern – insbesondere, wenn gestohlene Zugangsdaten aus früheren Leaks noch aktiv sind.

Selbst Multifaktor-Authentifizierung bietet, obwohl die Hürde für die Angreifer dadurch deutlich erhöht wird, keinen vollständigen Schutz, da sie zunehmend durch Social-Engineering-Taktiken wie MFA-Push-Spam oder gezielte Helpdesk-Manipulation umgangen wird. Angreifer verschaffen sich über scheinbar legitime Drittanbieter-Apps Zugriff auf E-Mail-Postfächer, ohne das Passwort selbst zu kompromittieren. Dies bezeichnet den Missbrauch des OAuth- und App-Consent-Mechanismus, bei dem Angreifer über autorisierte Zugriffsrechte einer Anwendung Zugriff auf ein Konto erhalten.

Aktuelle Phishing-Taktiken:

Neben den seit Jahren sichtbaren Taktiken für Phishing beobachtet das Redguard-CSIRT bei seinen Kunden in den letzten Monaten vor allem eine Taktik. Diese basiert fast ausschliesslich auf M365 und setzt neben den bekannten Techniken auf eine weitere initial vertrauensbildende Taktik. Der Ablauf lässt sich wie folgt beschreiben:

Die Mail an den Benutzer kommt von einem bekannten Kontakt. Es handelt sich um ein korrekt geteiltes Dokument. Deswegen ist die Chance höher, dass der Benutzer bei dem Klick auf einen Link in dem Dokument unvorsichtig ist und diesen nicht vorab überprüft, wie bei E-Mails von einer unbekannten Mailadresse.

Was passiert mit dem kompromittierten Account?

Sobald Angreifer ein Postfach kompromittiert haben, verfolgen sie das Ziel, den Zugriff zu sichern und ihn auszunutzen. Dazu richten sie Persistenzmechanismen und Rückkanäle ein – etwa Weiterleitungen, automatische Antworten, geänderte Passwort-Reset-Einstellungen, authentisieren der eigenen Multifaktor-Applikationen oder persistente Tokens, um langfristig Zugriff zu behalten.

Im Fall der Garage aus dem Gantrisch fand die Analyse des GMX-Kontos zum Beispiel, dass rund 20 versteckte E-Mail-Regeln angelegt waren. Jede Nachricht mit Begriffen wie Rechnung, IBAN oder Bank wurde automatisch in einen unsichtbaren Ordner verschoben – unbemerkt vom Benutzer. Die echte Rechnung wurde abgefangen, die gefälschte mit der fremden IBAN eingeschleust. Dieses Vorgehen ist typisch:

Parallel zur Persistenz betreiben Angreifer Informationsgewinnung: Inbox, Kalender und Kontakte werden analysiert, um Zahlungsflüsse, Zuständigkeiten und Kommunikationsmuster zu erkennen. Mit diesen Erkenntnissen erweitern sie häufig ihre Privilegien, indem sie weitere Konten oder Admin-Zugänge über Passwort-Resets oder das Auffinden in Dokumenten enthaltener Zugangsdaten kompromittieren. Vertrauen wird aktiv missbraucht, beispielsweise durch das Versenden manipulierter Dokumente an Kontakte, entweder als Anhang oder als Link zu scheinbar internen Ressourcen. Ausserdem bewegen sich Angreifer lateral in Richtung freigegebener Laufwerke und sensibler Dokumente und exfiltrieren wertvolle Dateien.

Was Sie als IT machen sollten

Bei einem Vorfall sollten folgende Schritte umgehend durchgeführt werden:

Sofortmassnahmen

• Passwort des Benutzers zurücksetzen
• Alle Sessions des Benutzers zurücksetzen
• MFA Tokens zurücksetzen oder aktivieren
• Allfällige Drittanbieter Apps / Berechtigungen für diese überprüfen und löschen

Weitere Schritte

• Persistenzmechanismen überprüfen
• Den initialen Zugriff des Angreifers identifizieren und alle durchgeführten Aktionen des kompromittierten Accounts untersuchen
• Benutzer, welche eine Phishing Nachricht von diesem Konto erhalten haben, informieren
• Je nachdem, auf welche Dokumente ein Angreifer mit den Berechtigungen des kompromittierten Benutzer (z. B. in M365) zugreifen konnte, sollte die Infrastruktur auf möglichen Datenabfluss überprüft werden. Dabei sind auch allfällige Meldepflichten zu berücksichtigen.

Sowohl für die Sofortmassnahmen im speziellen aber für die weiteren Schritte empfiehlt es sich, neben der internen IT einen Partner beizuziehen. Der Grund dafür ist nicht, dass an der Kompetenz der internen IT gezweifelt wird, sondern, dass weitere Augen dazukommen, dass die mögliche Betriebsblindheit umgangen werden kann. Bei Fällen in der Vergangenheit, welche das Redguard-CSIRT unterstützen durfte, zeigte sich schon mehrfach, dass die Zusammenarbeit zu neuen Erkenntnissen führte, welche ansonsten übersehen worden wären.

Warum Unternehmen handeln sollten

Ein kompromittiertes E-Mail-Konto ist mehr als nur ein technisches Problem – es ist ein Vertrauensproblem. Angreifer können die Glaubwürdigkeit eines legitimen Accounts nutzen, um Mitarbeiter, Partner und Lieferanten zu täuschen. Die daraus resultierenden finanziellen Schäden, der Reputationsverlust und operative Risiken können erheblich sein.

Praxistipps zur Absicherung

• MFA konsequent umsetzen
• Conditional Access konsequent einführen und regelmässig überprüfen
• Regelmässige Kontrolle von Weiterleitungen, OAuth-Apps und Mailbox-Regeln
• Mitarbeitersensibilisierung für Phishing und Social Engineering
• Spam- und Phishing-Filter regelmässig überprüfen. Eine grosse Hürde ist bereits die Überprüfung des Datums der Registrierung für Absender-Domains
• Monitoring auf ungewöhnliche Login-Orte oder IP-Adressen
• Incident-Response-Plan vorbereiten und zugriffsbereit haben

Haben Sie Fragen oder möchten Sie wissen, wie Sie Ihre Mitarbeiter, Systeme und Kommunikationskanäle besser gegen BEC absichern können? Wir von Redguard unterstützen Sie gerne bei der Umsetzung effektiver Schutzmassnahmen, einem praxisnahen Security Awareness Programm oder bei der Bewältigung eines Security Incidents. Wir freuen uns über Ihre Kontaktaufnahme.