5 Tipps, wie Sie sich vor BEC (Business E-Mail Compromise) schützen
München, 14.07.2022 – Auf eine Betrugs-E-Mail reinfallen? Das passiert mir doch nicht, denken sich viele Anwender. Tatsächlich aber sind solche E-Mails heute meist so professionell aufgesetzt und gut getarnt, dass man sie nur schwer erkennt. Hier kommen fünf Tipps, wie Sie die Täuschungsmanöver schnell aufdecken.
Jeder hat schon einmal von Fällen gehört, in denen Cyberkriminelle eine falsche Identität vortäuschen, um Geld zu erschleichen. So beauftragt zum Beispiel der vermeintliche Chef eine Zahlung per E-Mail oder der freundliche Kollege bittet um die Änderung seiner Kontonummer für die Gehaltsüberweisung. Das Geschäft mit BEC (Business E-Mail Compromise) boomt. Denn in Zeiten von New Work haben Betrüger oft ein leichtes Spiel. Wenn Mitarbeiter verstärkt im Home Office arbeiten, ist es für sie schwerer, schnell einmal bei einem Kollegen nachzufragen und einen Vorgang zu verifizieren. Dadurch steigt die Gefahr, im Eifer des Tagesgeschäfts auf eine Betrugsmasche hereinzufallen. Was können Sie tun, um Ihr Unternehmen vor BEC zu schützen?
1. Lassen Sie die vollständigen E-Mail-Adressen anzeigen
Viele Unternehmen haben ihr E-Mail-System so eingestellt, dass im internen Mail-Verkehr nur der Name des Absenders angezeigt wird. Solche verkürzten Adressen sind zwar übersichtlicher, bergen aber auch die Gefahr, dass man nicht so genau hinsieht und sich leichter täuschen lässt. Angreifer brauchen dafür nur einen E-Mail-Alias zu manipulieren. Daher sollten Sie auch bei internen Mails immer die komplette E-Mail-Adresse anzeigen lassen, sodass die tatsächliche Domain des Absenders offensichtlich wird. Zusätzlich empfiehlt es sich, automatisch zu kennzeichnen, ob eine E-Mail von einem internen oder externen Absender stammt. In vielen E-Mail-Systemen kann man das einstellen. So lassen sich verdächtige Nachrichten oft schon auf einen Blick enttarnen.
2. Etablieren Sie E-Mail-Autosignaturen
Cyberkriminelle mögen es bequem. Machen Sie es ihnen also möglichst schwer, falsche Identitäten vorzutäuschen! Dazu gehört zum Beispiel, E-Mail-Autosignaturen zu etablieren – und zwar sowohl bei der externen als auch der internen Kommunikation. Das erhöht den Aufwand für Betrüger, denn um ihre Nachricht authentisch aussehen zu lassen, müssen sie die Signatur exakt fälschen. Lange Signaturen können Texte in internen E-Mail-Ketten allerdings unübersichtlich machen. Daher empfiehlt es sich, unterschiedliche Auto-Signaturen für externe und interne Messages einzuführen: eine ausführliche, die sämtliche juristischen Angaben und grafischen Gestaltungselemente enthält, und eine schlankere nur mit den Kontaktdetails des Absenders. Falls das nicht möglich ist, sollten Sie dieselbe Auto-Signatur für alle Mails verwenden.
3. Prüfen Sie E-Mails auf Tonalität und Firmenkultur
Die Zeiten, in denen man Betrugsmails sofort anhand von Grammatik- und Rechtschreibfehlern erkennen konnte, sind leider vorbei. Trotzdem gibt es ein paar Anzeichen, auf die Sie achten sollten. Vielleicht spricht Sie der vermeintliche Kollege plötzlich sehr formal an, obwohl Sie sich doch eigentlich alle duzen. Oder er schreibt in einem anderen Stil als sonst. Prüfen Sie eingehende E-Mails immer auf ihre Tonalität und auf die Firmenkultur. Wenn plötzlich ungewohnte Anweisungen im Telegrammstil eintreffen oder Sie aufgefordert werden, von Standard-Prozessen abzuweichen, sollten alle Alarmglocken bei Ihnen läuten.
4. Wechseln Sie für Kontrollfragen den Kanal
Wenn Ihnen eine E-Mail verdächtig vorkommt und Sie noch einmal nachhaken möchten, sollten Sie am besten nicht direkt auf die eingegangene Nachricht antworten. Denn sonst besteht die Gefahr, dass Ihre Mail nur wieder beim Betrüger landet. Der kann dann antworten, die Täuschung aufrechterhalten und mit etwas Geschick alle Zweifel aus dem Weg räumen. Greifen Sie daher lieber zum Telefon, nutzen Sie den Firmen-Chat oder schreiben Sie eine WhatsApp. In jedem Fall sollten Sie für Ihre Rückfragen das Medium wechseln.
5. Definieren Sie klare Freigabe-Richtlinien
Was, wenn es dem Angreifer trotz aller Vorsichtsmaßnahmen gelingt, mit seiner falschen Identität durchzukommen? Dann können klare Freigabeprozesse im Vier-Augen-Prinzip den Betrug oft noch aufdecken und Schaden vermeiden. Legen Sie zum Beispiel Abläufe in der Buchhaltung genau fest – etwa wie Zahlungsaufforderungen oder Überweisungen zu handhaben sind, und lassen Sie gehaltsbezogene Änderungen von Beträgen oder Kontodaten immer von der HR-Abteilung gegenprüfen. Inhaltich unspezifische Anweisungen von übergeordneten Mitarbeitern sollten Sie stets von der Finanzabteilung oder einer Führungskraft freigeben lassen.
Wenn Sie diese fünf Tipps beachten, dürften es Betrüger schwer haben, erfolgreich zu sein. Darüber hinaus ist es sinnvoll, die bestehenden Maßnahmen zur E-Mail Security einmal auf den Prüfstand zu stellen. Entsprechen sie noch dem aktuellen Stand der Technik und sind sie wirksam genug? Mit modernen Sicherheitssystemen lassen sich die meisten E-Mail-Angriffe schon im Vorfeld abwehren. Ein Managed Security Services-Anbieter kann dabei helfen, eine Lösung zu finden und zu betreiben, die zu Ihren individuellen Anforderungen passt.
Quelle: indevis IT-Consulting and Solutions GmbH