Vendor-E-Mail-Compromise gefährdet zunehmend die Lieferkette

Rund 43 Prozent aller deutschen Unternehmen waren bereits in mindestens einem Glied ihrer Lieferketten von Cyberattacken betroffen, dennoch wird das Risiko solcher Angriffe noch immer unterschätzt. Ausfälle in den Lieferketten eines Unternehmens können gravierende Auswirkungen auf das eigene Unternehmen haben, da IT-Systeme und Produktivität potenziell bedroht sind.

Einen soliden Sicherheitsstandard entlang der Lieferkette zu gewährleisten, ist nicht einfach. Der Rat der EU betont aus dem Grund die Bedeutsamkeit, Maßnahmen zu ergreifen. So können als Auftraggeber vertraglich festgeschriebene, cybersicherheitsbezogene Anforderungen gestellt werden. Das neue Lieferkettengesetz aus Juni 2021 setzt außerdem die Sorgfaltspflicht der Unternehmen über die gesamte Lieferkette hinweg voraus. Schließlich gibt es auch eine Reihe von Best-Practices, die Unternehmen als Cybersecurity-Strategie befolgen sollten. Das UK NCSC unterteilt ihre zwölf Prinzipien in vier Phasen: Die Risiken verstehen, Kontrolle über die Lieferkette erlangen, Vereinbarungen überprüfen und die Sicherheit kontinuierlich verbessern. Auch das US NIST entwickelte einen Leitfaden mit Standards zur Identifizierung, Bewertung und Abschwächung von Cybersicherheitsrisiken in der gesamten Lieferkette auf allen Unternehmensebenen.

Ist die Cybersecurity-Strategie nicht ausreichend, so greifen Bedrohungsakteure Informationen von Geschäftspartnern aus der Lieferkette ab und können darüber Angriffe auf das eigentliche Zielunternehmen vorbereiten. Malware kann nun durch die verbundenen IT-Systeme weiterverbreitet werden. Eine übliche Methode, die am Anfang einer Kompromittierung von Unternehmen steht, ist das BEC (Business Email Compromise); Sicherheitsforscher warnen jüngst auch vor VEC (Vendor E-Mail Compromise) als neue Form des BEC.

Beim BEC gibt sich der Angreifer in einer Phishing-E-Mail typischerweise als Führungskraft des Unternehmens aus, um das Vertrauen der Mitarbeiter zu gewinnen. Die arglosen Opfer werden dann durch täuschend echte Mails soweit manipuliert, dass sie die eigene Organisation sabotieren– beispielsweise in Form der Überweisung von Geldern, dem Preisgeben sensibler Informationen oder der Installation von Malware. Laut dem Anbieter Cloudflare imitiert der Angreifer auch beim VEC die Identität einer vertrauenswürdigen dritten Partei, eben eines bekannten Zulieferers des eigenen Unternehmens. Der VEC-Betrüger gibt sich als externer Anbieter aus, um einen finanziellen Profit zu erzielen oder Zugang zu Daten und Unternehmensnetzwerken zu erlangen. Beispielsweise werden Oper dazu aufgefordert, die Bankverbindung für zukünftige Zahlungsströme zu ändern. Diese Angriffsmethode ist dabei deutlich komplexer und speziell auf das jeweilige Opfer zugeschnitten. Die Vorbereitung ist für die Cyberkriminellen hierbei viel aufwendiger und langwieriger als bei anderen Formen von Phishing-Kampagnen, aber der hohe zu erwartende Gewinn rechtfertig die Anstrengungen.

VEC und BEC sind nur zwei von einer Vielzahl an Phishing-Techniken mit denen Organisationen tagtäglich konfrontiert werden. Folgende Methoden sind ebenfalls unter den Angreifern beliebt:

Spear-Phishing: Spear-Phishing geht deutlich gezielter vor als klassisches Phishing, das E-Mails massenweise an möglichst viele Personen versendet. Die E-Mail erweckt auch hier wieder den Anschein, einer vertrauenswürdigen Quelle zu entstammen. Der Cyberkriminelle hat es entweder auf eine bestimmte Person oder Organisation abgesehen, die er kompromittieren möchte, um vertrauliche Informationen zu stehlen. Dazu stellen die Angreifer zunächst Nachforschungen über das Opfer an, um den Angriff persönlicher zu gestalten und ihre Erfolgschancen zu erhöhen.

Vishing (Voice-Phishing): Vishing ist das mündliche Äquivalent zum E-Mail-Phishing. Der Phisher ruft den Benutzer an und fordert ihn auf, eine Nummer zu wählen. Ziel ist es, über das Telefon persönliche Informationen über das Bankkonto zu erhalten. Vishing wird meist mit einer gefälschten Anrufer-ID durchgeführt.

Malvertising: Malvertising ist bösartig manipulierte Werbung, die aktive Skripte enthält, um Malware zu downloaden oder unerwünschte Inhalte auf den Computer zu laden. Exploits in Adobe PDF und Flash werden am häufigsten in Malvertisements verwendet.

Content-Injection: Bei der Content-Injection wird der Benutzer auf eine Website gelockt, deren Inhalt von einer seriösen Seite kopiert und bösartig manipuliert wurde. Dort wird er dazu aufgefordert, persönliche Daten einzugeben.

Fazit

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Die Risiken einer Cyberattacke erstrecken sich über das gesamte Ökosystem. Das Lieferkettengesetz erfordert eine hohe Sorgfalt bei der Verarbeitung von Daten entlang der gesamten Wertschöpfungskette. Die Best-Practice-Dokumente sprechen dazu grundlegende Handlungs-empfehlungen aus. Eine besonders wichtige Säule einer umfassende IT-Security-Strategie darf dabei auf keinen Fall in übersehen werden: Die Schulung der Mitarbeiter in Form eines Security-Awareness-Trainings. Der Schwerpunkt des Trainings liegt in erster Linie darin, dass Mitarbeitende die Mechanismen von Phishing- und Ransomware-Angriffen verstehen und dieses Wissen im Arbeitsalltag anwenden können. Dazu werden unter anderem interaktive Module und simulierte Phishing-Angriffe verwendet. Denn dank eines hohen Sicherheitsbewusstseins, eines gewissen Grades an Skepsis und erlernten, sicheren Verhaltensweisen fallen Mitarbeiter seltener auf die Betrugsmaschen der Cyberkriminellen herein. Da mehr als 80% aller Sicherheitsvorfälle durch menschliches Handeln begünstigt werden, sollten Unternehmen hier schleunigst handeln.

Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

#KnowBe4