Business E-Mail Compromise: Den User dort zum Teil der Lösung machen, wo die Technologie (noch) versagt

Wer kennt es nicht, das ewige Wettrennen zwischen Angreifer und IT-Security. Bleiben Angreifer weiterhin einen Schritt voraus? Technologie hält uns die grosse Masse von unerwünschten E-Mails erfolgreich vom Leibe, versagt aber bei richtig gut gemachten und gezielten Angriffen. Business E-Mail Compromise (BEC) ist das Schlagwort der Stunde. Was das ist und warum sich nun alles um den User dreht, verrate ich gerne in diesem Blogpost.

Die Migration von E-Mail Gateways in die Cloud schreitet unaufhaltsam voran. Gartner rechnet bereits in 2021 mit 70% cloud-basierten Secure E-Mail Gateways. Allen voran die Microsoft-eigenen Lösungen im Rahmen von Office 365 bzw. Hosted Exchange. Aber egal, ob die E-Mail Sicherheit in der Cloud zur Verfügung gestellt wird oder on-premise, ob intergiert in Office 365 oder durch einen dedizierten Security-Hersteller, die Limitationen von technischen Lösungen bleiben dieselben.

Was mit Anti-Virus und Reputation zur Spam-Erkennung begann, hat sich in den letzten zwei Jahrzehnten langsam aber kontinuierlich weiterentwickelt: Sandboxen prüfen unbekannte Files im Detail auf ihr Verhalten, verdächtige Links werden in einer isolierten Umgebung ausgeführt und die kryptischen Akronyme SPF, DKIM und DMARC sollen verhindern, dass sich ein Angreifer erfolgreich als legitimer Absender ausgeben kann (siehe dazu die Posts von meinem Kollegen blenny: www.tec-bite.ch/author/blenny/).

Trotz viel Technologie und maschineller Intelligenz ist das Risiko einer erfolgreichen E-Mail-Attacke weiterhin hoch, wie es leider immer wieder durch Beispiele aus der Praxis belegt wird.

Gerade bei der Migration in die Cloud stellen sich immer weniger Unternehmen die Frage, ob die Sicherheit dort ausreichend bzw. vergleichbar ist mit dem bestehenden E-Mail Gateway, sondern viel mehr, welche Lücken offen bleiben und mit welchen Zusatzlösungen diese geschlossen werden können.

E-Mail ist und bleibt der Angriffsvektor Nummer 1 und damit Bestandteil von fast jeder Cyber-Attacke, insbesondere bei gezielten. Denn mittels Social Engineering und einer gut gemachten E-Mail lassen sich einzelne Personen einer Unternehmung sehr gezielt und erfolgreich ansprechen.

Seit einiger Zeit macht dazu ein neues Schlagwort die Runde: Business E-Mail Compromise (BEC) oder auch C-Level-Fraud. Über einen kompromittierten C-Level Account (eine sehr beliebte «Disziplin» bei Office 365) oder eine ähnlich-lautenden Firmenadresse werden Mitarbeitende dazu angewiesen, Geld auf ein bestimmtes Konto zu überweisen.

Was macht BEC so gefährlich und warum kommen bestehende Technologien dagegen nicht an?

1. 1. Handelt es sich meist um sehr gut gemachte Angriffe, bei denen Social Engineering zum Einsatz kommt, sowie kompromittierte E-Mail-Accounts oder Spoofing mit leicht abgeänderten Domänen-Namen (lookalike Domains).
   2. Sind die Attacken sehr gezielt und treten damit in sehr tiefem Volumen auf – jeweils unterhalb des Radars von bestehenden Security-Technologien.
   3. Je nach Angriffszweck und Angriffsstufe enthalten entsprechende E-Mails weder ein Attachment noch eine URL, was die Erkennung für Standard-E-Mail-Gateways sehr schwierig macht.

Höchste Zeit, dass der Mensch ins Spiel kommt.

Im Herbst 2019 erhalten die Mitarbeitenden eines Schweizer Industrie-Unternehmens eine dringende Nachricht zur sofortigen Überprüfung ihres Passworts. Das Resultat: Fast jeder Dritte fällt darauf rein. Nur gut, dass es sich beim Angriff um eine simulierte Phishing-E-Mail handelte, welche im Auftrag der IT-Security-Abteilung versendet wurde. Solche Beispiele gibt es viele. Die Erfolgsrate variiert von Branche zu Branche und hängt insbesondere davon ab, welche Angriffstaktik verwendet und wie gut bzw. gezielt die Attacke aufgesetzt wurde. Aber allen diesen Angriffen, ob real oder simuliert, ist eines gemein: Zu viele User fallen auf die Tricks rein, öffnen ein Attachment, klicken auf einen Link oder folgen den Anweisungen in der E-Mail. Mit verheerenden Folgen für die Unternehmung.

Kein Wunder haben Hersteller von Security-Lösungen und Beratungsunternehmen den User als Problem erkannt und es ist eine kleine, feine Industrie rund um die Themen Phishing Awareness, Training und Simulation entstanden. Im Vollausbau sieht das so aus, dass Mitarbeitende durch Phishing E-Mails immer wieder geprüft werden und je nach Verhalten, Trainingsmodule vorgesetzt bekommen damit sie sich kontinuierlich verbessern und das Risiko für das Unternehmen reduziert werden kann.

Ebenfalls den User in den Mittelpunkt rücken neue technologische Ansätze, welche mit maschineller Intelligenz möglichst viele Datenpunkte des gesamten E-Mail-Verkehrs einer Unternehmung auswerten um ein Trust-Modell über alle E-Mail-Beziehungen zu erstellen. Basierend auf diesem Trust-Modell können Entscheidungen schneller und besser gefällt werden. Das erhöht den Schutz gegen gut gemachte und gezielte Attacken, da hier in der Regel kein Trust-Verhältnis vorhanden ist.

Was aber beim eingangs erwähnten Beispiel bisher vergessen ging: Neben den fast 33% der User, welche in die Phishing-Falle tappten, gab es auch eine Vielzahl von Mitarbeitenden, welche die Bedrohung sofort erkannt hatten. Bereits nach 3 Minuten gingen erste Meldungen in der IT-Abteilung ein, dass es sich bei der angehängten E-Mail um einen Betrugsversuch handeln muss. Das Paradoxon, das sich uns hier eröffnet: Je raffinierter und gezielter der Angriff, desto mehr User fallen darauf rein – aber auch desto besser lässt sich ein Angriff durch menschliche Intelligenz erkennen, während Technologie scheitert.

Es ist also höchste Zeit den User zum Teil der Lösung zu machen. Mitarbeitende sollen verdächtige E-Mails per Knopfdruck melden und entsprechende Meldungen sollen möglichst sofort und automatisiert zu wirksamen Massnahmen führen, wie das Blockieren gleichartiger E-Mails, das Isolieren bestehender Nachrichten in den Mailboxen anderer User, das Sperren von in der E-Mail mitgelieferten URLs auf dem Web Proxy.

Der Einsatz von Trust-Beziehungsnetzen bei der Bewertung von E-Mails hat grosses Potenzial. Wo vermeintlichen Identitäten seitens Empfängern zu viel Vertrauen entgegengebracht wird, kann ein solches Modell bei der Entscheidungsfindung helfen und die Sicherheit massiv erhöhen.

Bei richtig gut gemachten und gezielten Angriffen versagt die Technologie. Dafür kann der Mensch den entscheidenden Unterschied machen. Es macht Sinn, Feedback der User direkt in die E-Mail-Security-Plattform miteinzubeziehen. Aber kann ich jedem Feedback trauen? Welche User sind verlässliche Quellen für das Erkennen von Phishing- und Betrug-Mails?

Warum nicht einfach ein automatisiertes und anonymes «Score» erstellen für die Mitarbeitenden Ihrer Unternehmung? Je besser ein User das Phishing-Training abschliesst, Simulationen und echte Bedrohungen erkennt, desto stärker werden seine Feedbacks gewichtet. Bei Mehrfachsendungen könnte dies so weit gehen, dass die Nachricht zuerst nur an die internen Phishing- und Fraud-Experten zugestellt wird und erst mit Verzögerung an den Rest der Belegschaft. Nur mal eine Idee für zukünftige Entwicklungen.

Wir sind gespannt, was dem User in Zukunft noch alles zugetraut werden darf. Im Zeitalter von KI auch ganz ein gutes Gefühl, Mensch zu sein.