Bei einem BPC-Angriff suchen Kriminelle nach Lücken in Geschäftsprozessen, verwundbaren Systemen und anfälligen Praktiken. Sobald eine Schwachstelle identifiziert wurde, wird ein Teil des Prozesses zum Nutzen des Angreifers geändert, ohne dass das Unternehmen oder seine Kunden die Änderung bemerkt. 91 Prozent der deutschen Unternehmen und 85 Prozent der Unternehmen weltweit hätten im Falle eines erfolgreichen Angriffs Einschränkungen beim Betrieb mindestens eines ihrer Geschäftszweige.
„Wir sehen immer mehr Cyberkriminelle, die bereit sind, für einen höheren Gewinn langfristig zu agieren“, sagt Rik Ferguson, Vice President Security Research bei Trend Micro. „Bei einem BPC-Angriff könnten sie monate- oder jahrelang in der Infrastruktur eines Unternehmens lauern, Prozesse überwachen und sich ein detailliertes Bild davon machen, wie es funktioniert. Von dort aus ist es möglich, unbemerkt und ohne menschliche Interaktion in kritische Bereiche einzudringen. So könnten sie beispielsweise wertvolle Waren an eine neue Adresse umleiten oder die Einstellungen von Druckern ändern, um vertrauliche Informationen zu stehlen – so wie es beim bekannten Cyberangriff auf die Bangladesh Bank der Fall war.“
Sicherheitsverantwortliche weltweit kennen dieses Risiko – 72 Prozent der Befragten (in Deutschland wie auch weltweit) gaben an, dass die Verhinderung von BPC-Angriffen Priorität bei der Entwicklung und Umsetzung der Cybersicherheitsstrategie ihres Unternehmens hat. Das mangelnde Bewusstsein des Managements für dieses Problem schafft jedoch eine Wissenslücke, die Unternehmen anfällig für Angriffe machen könnte. Dies gilt insbesondere angesichts der zunehmenden Digitalisierung, da sich immer mehr Unternehmen darum bemühen, Kernprozesse zu transformieren und zu automatisieren, um Effizienz und Wettbewerbsfähigkeit zu steigern. (1)
Der gängigste Weg für Cyberkriminelle um in Unternehmensnetzwerke einzudringen ist ein Business Email Compromise (BEC, „auch CEO-Fraud“ oder „Chef-Masche“ genannt). Diese Art von Betrug zielt auf die E-Mail-Konten von hochrangigen Mitarbeitern ab, die mit Finanzangelegenheiten in Verbindung stehen oder an Zahlungen per Banküberweisung beteiligt sind. In der Regel finden diese Angriffe entweder mittels Identitäts-Spoofing statt oder es werden Zugangsdaten durch Keylogger oder Phishing abgegriffen.
In der Umfrage von Trend Micro gaben 50 Prozent der deutschen Unternehmen an, dass sie es sich nicht leisten können, bei einem BEC-Angriff Geld zu verlieren – weltweit waren es sogar 61 Prozent. Laut FBI steigen allerdings die globalen Verluste aufgrund von BEC-Angriffen weiter an und erreichten in diesem Jahr bereits die Marke von 12 Milliarden US-Dollar.
Ferguson erklärt weiter: „Um sich vor allen Formen von BPC-Angriffen zu schützen, müssen Unternehmens- und IT-Führungskräfte zusammenarbeiten, damit Cybersicherheit an erster Stelle steht und potenziell verheerende Verluste vermieden werden. Unternehmen benötigen Schutz auch jenseits des Perimeters, um ungewöhnliche Aktivitäten innerhalb ihrer Prozesse zu erkennen, wenn Angreifer in das Unternehmensnetzwerk eindringen. Dazu gehören die Sperrung des Zugriffs auf unternehmenskritische Systeme, die Überwachung der Datenintegrität und Intrusion Prevention, um Seitwärtsbewegungen innerhalb eines Netzwerks zu stoppen.“
So werden Heimnetzwerke in Homeoffice-Szenarien immer anfälliger für Angriffe, bei denen der Eintrittspunkt die über das Internet verbundenen Heimgeräte der Mitarbeiter sind. Hier zeichnet sich die unerwartete doch unvermeidliche Schnittstelle zwischen zwei Trends ab: der Anstieg von Remote-Arbeitsübereinkünften und die steigende Verbreitung von smarten Geräten zu Hause.
Immer mehr Angestellte nutzen, so Trend Micro die Vorteile der Arbeit aus dem Homeoffice (Telearbeit, mobile Arbeit oder Heimarbeit). Gallup berichtet, dass 43 Prozent der nordamerikanischen Angestellten 2016 Remote gearbeitet haben, im Vergleich zu 39 Prozent 2012. Und einer globalen Belegschaftsumfrage von Polycom zufolge nutzten fast zwei Drittel der Angestellten 2017 die Vorteile des Konzepts „anywhere working”. 2012 waren es nur 14 Prozent. Wie auch BYOD (Bring Your Own Device) stellt die Sichtbarkeit der Bewegungen von Unternehmensdaten beim Cloud-Zugriff über das Internet im Homeoffice eine Herausforderung dar. Dasselbe gilt auch für Collaboration Software für Chats, Videokonferenzen und Datei-Sharing.
Heimnetzwerke haben bereits typischerweise Drucker und greifen auf Storage-Geräte zu, die die Angestellten sowohl für ihre Arbeit als auch für die private Nutzung praktisch finden, also eine gemischte Verwendung anstreben. Darüber hinaus sind auch die ebenfalls steigende Zahl der Geräte des Smart Homes des Nutzers in dieses Netzwerk eingebunden. IDC geht von einem zweistelligen Wachstum für alle Kategorien der Smart Home-Geräte bis 2022 aus. Vom Standpunkt der Sicherheit heißt dies, dass jedes nicht gesicherte Gerät im Home-Netzwerk eines Angestellten für einen Angreifer einen möglichen Eintrittspunkt ins Unternehmensnetz darstellt.
Die Sicherheitsforscher von Trend Micro haben bereits vorgeführt, wie etwa smarte Lautsprecher persönliche Daten preisgeben können. Es wird 2019, so Trend Micro einige gezielte Angriffsszenarien geben, die die Schwächen von smarten Lautsprechern ausnutzen, um über Heimnetze in Unternehmensnetzwerke einzudringen.
DSGVO-Regulierer werden die ersten hoch-karätigen Fälle eines Compliance-Verstoßes mit den vollen 4% des Umsatzes ahnden. Die DSGVO-Regulierer der EU haben nicht sofort ihre ganze Macht ausgespielt, doch werden sie sehr bald an einem großen Unternehmen, das die Compliance nicht einhält, ein Exempel statuieren und dies mit 4 % seines weltweiten Umsatzes bestrafen.
Die DSGVO beruht auf einem reiferen Modell der Vertraulichkeits-Compliance. Im Prinzip hatten viele Unternehmen bereits unter der früheren, seit mehr als zehn Jahren bestehenden Datenschutzdirektive Strafen gezahlt, so dass diejenigen, die die neue Verordnung missachten, deren Wucht früher als gedacht spüren werden. 2019 wird es mehr Veröffentlichungen von Datendiebstählen als im vergangenen Jahr geben, denn es existieren bereits Berichte darüber, dass aufgrund der DSGVO einige Behörden mit neuen, zu untersuchenden Diebstahlsmeldungen überflutet werden.
Auch werden dabei die vorherrschenden Schwierigkeiten bei der Einhaltung der Feinheiten der Verordnung deutlich, sodass die Regulierungsbehörden weitere Details bezüglich der tatsächlich benötigten Sicherheitstechnologien klären oder hinzufügen müssen. Unternehmen werden angesichts des hohen Preises für mögliche Compliance-Verletzungen den Wert der Data-Mining-Aktivitäten in heutigen Werbemodellen überdenken. Die Sicherheitsexperten gehen davon aus, dass sich 2020 bis zu 75 Prozent der neuen Geschäftsanwendungen zwischen Compliance und Sicherheit entscheiden müssen. Vertraulichkeit und Sicherheit schließen sich nicht gegenseitig aus. Dennoch hat die Anstrengung, Datenvertraulichkeit zu gewährleisten, eine nachteilige Wirkung auf die Fähigkeit eines Unternehmens, die Quelle und Details einer Sicherheitsbedrohung angemessen zu bestimmen.
Im Unternehmenskontext werden reale Ereignisse für Social Engineering-Angriffe verwendet, so etwa die 2019 in mehreren Ländern stattfindenden Wahlen, Sportereignisse wie die Sommerolympiade 2020 in Tokio und auch politisch destabilisierende Ereignisse wie der Brexit. Trend Micro prognostiziert, dass in der nächsten Zeit viele cyberkriminelle Aktivitäten aus diesen Ereignissen und Fragen Profit schlagen.
Die Kriminellen werden auch mehr Energie in die Beschaffung von Informationen über Mitarbeiter und deren Präsenz in den sozialen Medien investieren, um noch überzeugendere Phishing-Angriffe durchführen zu können.
Business Email Compromise wird hierarchisch zwei Ebenen weiter unten ansetzen
Business Email Compromise (BEC) bleibt auch weiterhin ein sehr lukratives und potentes Mittel, um Geld aus Unternehmen abzuziehen. Trend Micro ist der Ansicht, dass aufgrund der vielen Berichte über C-Level-Mitarbeiter als Ziel für den Betrug Cyberkriminelle künftig Mitarbeiter angreifen, die in der Hierarchie weiter unten angesiedelt sind. So werden sich beispielsweise Cyberkriminelle auf die Sekretärin oder Executive Assistenten des CEO konzentrieren oder einen hochrangigen Direktor oder Manager in der Finanzabteilung.
Zusätzlich bringt die Automatisierung auch Risiken in der Lieferkette mit sich, denn Bedrohungsakteure versuchen, auch bei Lieferanten, Partnern oder Anbietern eines Zielunternehmens Schwächen zu finden, um an ihr Ziel zu kommen.
Anwendungsmöglichkeiten für digitale Erpressung werden erkundet. Die Einsichten aus Trend Micros Erforschung der Zukunft von Online-Erpressung führen zur Annahme, dass es zu mehr und verfeinerter Ausführung und Wiederholungen desselben kriminellen Geschäftsmodells kommt. 2019 werden Cyberkriminelle die maximale Strafe für Compliance-Verletzungen der DSGVO (Datenschutzgrundverordnung) als Richtlinie für die Höhe des verlangten Lösegelds nutzen. Dabei hoffen sie darauf, dass ihre Opfer in Panik geraten und eher bezahlen als einen Diebstahl öffentlich zu machen.
Zudem wird es auch Fälle einer anderen Version der Erpressung in der Unternehmenslandschaft geben, nämlich Online-Schmierkampagnen gegen Markennamen. In diesen Fällen verlangen die Angreifer ein Lösegeld für die Einstellung der Fake-Propaganda gegen die entsprechenden Marken.
Quelle: Von Opinium durchgeführte Studie im Auftrag von Trend Micro. Befragt wurden 1125 IT- und Sicherheitsentscheider in Europa und den USA.
Weitere Infos sind bei www.trendmicro.com zu erhalten.
