Phishing und Business Email Compromise: Wie Angreifer Unternehmen ins Visier nehmen

Die E-Mail, die Millionen kostet

Im Jahr 2023 verursachten Business Email Compromise (BEC) Angriffe gemeldete Verluste von 2,9 Milliarden Dollar allein in den Vereinigten Staaten. Weltweit ist die Zahl deutlich hoeher. Und die Schweiz mit ihrer Konzentration von Finanzdienstleistungen, internationalen Handelsunternehmen und hochwertigen Zielen ist nicht immun.

Phishing und BEC sind nicht dasselbe, obwohl sie verwandt sind. Phishing wirft ein breites Netz aus. BEC ist gezielt, recherchiert und geduldig. Ein Angreifer verbringt Tage oder Wochen damit, die Struktur eines Unternehmens zu studieren, bevor er zuschlaegt.

Wie sich Phishing entwickelt hat

Merkmale modernen Phishings

• Perfekte Sprache. Angreifer verwenden Muttersprachler oder hochwertige Uebersetzungen.
• Exaktes Branding. Logos, Farben und E-Mail-Signaturen werden von legitimen E-Mails geklont.
• Kontextuelle Relevanz. Referenzen auf reale Ereignisse, um Dringlichkeit zu erzeugen.
• Legitim aussehende URLs. Nutzung von Subdomains, URL-Verkuerzern oder legitimen Diensten.
• Mehrstufige Angriffe. Die erste E-Mail kann harmlos sein. Die Nutzlast kommt in einer Folge-E-Mail.

Spear Phishing: Der gezielte Angriff

Spear Phishing zielt auf bestimmte Personen innerhalb einer Organisation. Der Angreifer recherchiert das Ziel ueber LinkedIn, Unternehmenswebsites und oeffentliche Register.

CEO-Betrug: Das klassische BEC-Szenario

1. Der Angreifer identifiziert den CEO und den CFO des Zielunternehmens.
2. Der Angreifer registriert eine Domain, die der Unternehmens-Domain aehnelt.
3. Der Angreifer erstellt eine E-Mail-Adresse, die die des CEOs imitiert.
4. Der Angreifer wartet auf den richtigen Moment, vielleicht wenn der CEO verreist ist.

Wir haben Faelle in der Schweiz gesehen, in denen Unternehmen zwischen CHF 50.000 und CHF 1,2 Millionen durch CEO-Betrug verloren haben. In einem Fall hatte der Angreifer die E-Mails des Unternehmens drei Wochen lang ueberwacht, bevor er zuschlug.

Rechnungsmanipulation

Rechnungsmanipulation ist eine weitere haeufige BEC-Variante. Der Angreifer kompromittiert das E-Mail-Konto eines Lieferanten, faengt eine legitime Rechnung ab und aendert die Bankverbindung.

Schweiz-spezifisches Risiko

Die Position der Schweiz als Drehscheibe fuer internationalen Handel und Finanzdienstleistungen macht Rechnungsmanipulation besonders attraktiv fuer Angreifer. Grenzueberschreitende Zahlungen sind Routine, Rechnungen in mehreren Waehrungen sind normal.

Lookalike-Domain-Angriffe

Technik	Echte Domain	Lookalike
Zeichenersetzung	envestis.ch	envestls.ch (l statt i)
Zeichen hinzugefuegt	envestis.ch	envestiss.ch
Zeichen entfernt	envestis.ch	envetis.ch
TLD-Wechsel	envestis.ch	envestis.com

Wie man Phishing erkennt

• Dringlichkeit und Druck. Legitime Organisationen erzeugen selten kuenstliche Dringlichkeit per E-Mail.
• Geheimhaltungsanforderungen. Sollen die Verifizierung verhindern.
• Ungewoehnliche Anfragen. Aenderungen von Zahlungsdetails, Anforderungen von Geschenkkarten.
• Absenderadresse pruefen. Immer die vollstaendige E-Mail-Adresse pruefen, nicht nur den Anzeigenamen.
• Links ueberpruefen. Mit der Maus ueber Links fahren (nicht klicken), um die echte URL zu sehen.

Verifizierungsverfahren

1. Ueber einen anderen Kanal verifizieren. Rufen Sie die Person unter einer Ihnen bekannten Nummer an.
2. Nicht auf die E-Mail antworten.
3. Einen Kollegen konsultieren.

Mitarbeiterschulung

• Simulierte Phishing-Uebungen. Mindestens vierteljaehrlich.
• Rollenspezifische Schulung.
• Positive Verstaerkung. Mitarbeiter belohnen, die verdaechtige E-Mails melden.
• Klare Meldeverfahren.

Technische Abwehr

E-Mail-Authentifizierung: SPF, DKIM, DMARC

Fuer einen detaillierten Leitfaden lesen Sie unseren Artikel ueber SPF-, DKIM- und DMARC-E-Mail-Schutz.

E-Mail-Sicherheits-Gateway

Erweiterte Bedrohungserkennung, Schutz vor Identitaetsdiebstahl, Warnbanner fuer externe E-Mails, Link-Umschreibung.

Multi-Faktor-Authentifizierung (MFA)

Verwenden Sie Hardware-Sicherheitsschluessel (YubiKey, FIDO2) oder Authenticator-Apps.

Reale Faelle und finanzielle Verluste

• Belgische Crelan Bank - 70 Millionen EUR Verlust 2016.
• Toyota Boshoku - 37 Millionen USD Verlust 2019.
• Ubiquiti Networks - 46,7 Millionen USD Verlust 2015.

Schweizer Kontext

Das Nationale Zentrum fuer Cybersicherheit (NCSC) der Schweiz berichtet regelmaessig ueber BEC-Angriffe auf Schweizer Unternehmen. Der Finanzsektor und KMUs mit internationalen Zahlungen sind haeufige Ziele.

Praktische Empfehlungen

1. SPF, DKIM und DMARC mit Enforcement implementieren.
2. Doppelte Autorisierung fuer Zahlungen ueber einem Schwellenwert verlangen.
3. Verifizierungsverfahren fuer Aenderungen von Zahlungsdetails etablieren.
4. MFA auf allen E-Mail-Konten aktivieren.
5. Banner fuer externe E-Mails hinzufuegen.
6. Regelmaessige Phishing-Simulationen durchfuehren.
7. Lookalike-Domains ueberwachen.

Fazit

Phishing- und BEC-Angriffe verschwinden nicht. Die Kombination aus technischen Kontrollen und menschlichen Kontrollen bietet die beste Verteidigung. Wenn Sie die Gefaehrdung Ihres Unternehmens bewerten moechten, kontaktieren Sie unser Team in Lugano. Wir helfen Unternehmen in der ganzen Schweiz beim Aufbau robuster Abwehrmassnahmen gegen E-Mail-basierte Angriffe.