Ramsdata

+48 22 671 24 89

kontakt@ramsdata.com.pl

logo.png
KONTAKT

Wie Barracuda BEC-Angriffe (Business Email Compromise) erkennt und blockiert

Business Email Compromise (BEC) ist heute eine der kostspieligsten Arten der Cyberkriminalität weltweit. Das FBI IC3 schätzt, dass die weltweiten Verluste durch BEC-Angriffe im Jahr 2023 2,9 Milliarden Dollar übersteigen – und das sind nur die gemeldeten Vorfälle. Was macht BEC so gefährlich? Diese Angriffe umgehen herkömmliche Spam-Filter, weil sie keine bösartigen Links oder Anhänge enthalten – es handelt sich um präzise konstruierte E-Mails, die wie legitime Korrespondenz von einer vertrauenswürdigen Person aussehen. Barracuda bietet spezialisierte BEC-Erkennungsmechanismen, die dort ansetzen, wo klassische Abwehrmechanismen versagen.

Inhaltsverzeichnis

  1. Was ist ein BEC-Angriff und warum ist er so schwer zu erkennen?
  2. Wie sieht ein typischer BEC-Angriff aus?
  3. Warum erkennen herkömmliche Spam-Filter BEC nicht?
  4. Wie erkennt Barracuda BEC-Angriffe?
  5. Schutz vor Kontoübernahme
  6. Künstliche Intelligenz und Verhaltensanalyse von E-Mails
  7. Wichtigste Schlussfolgerungen
  8. FAQ
  9. Zusammenfassung

Was ist ein BEC-Angriff und warum ist er so schwer zu erkennen?

Business Email Compromise ist eine Kategorie von Angriffen, bei denen sich ein Cyberkrimineller als eine vertrauenswürdige Person ausgibt – meist ein CEO, CFO, Unternehmensanwalt oder vertrauenswürdiger Lieferant – um einen Mitarbeiter dazu zu bringen, eine Überweisung zu tätigen, vertrauliche Informationen preiszugeben oder eine andere finanzielle/informationstechnische Aktion durchzuführen.

Die Schwierigkeit, BEC zu entdecken, ist auf mehrere Faktoren zurückzuführen. Erstens sind BEC-Angriffe sehr zielgerichtet und personalisiert – die Kriminellen studieren das Unternehmen und lernen dessen Struktur, den Kommunikationsstil des Managements und aktuelle Projekte kennen, bevor sie angreifen. Die Nachricht ist so verfasst, dass sie wie die natürliche Korrespondenz einer bestimmten Person klingt, und nicht wie ein allgemeines Phishing. Zweitens enthalten BEC-Nachrichten in der Regel keine bösartigen Links oder Anhänge – es handelt sich nur um Text, so dass Malware-Signaturfilter und URL-Scans nichts „abfangen“ können. Drittens werden die Nachrichten oft von leicht veränderten Domänen (lookalike domains) oder über gekaperte Mitarbeiterkonten verschickt, was sie für den Empfänger glaubhaft macht.

Wie sieht ein typischer BEC-Angriff aus?

Ein typischer BEC-Angriff läuft in mehreren Phasen ab. Die Aufklärungsphase: Der Kriminelle untersucht LinkedIn, die Website des Unternehmens, soziale Medien, öffentliche Dokumente – er sammelt Informationen über die Struktur des Unternehmens, wer der CFO ist, wer für Überweisungen zuständig ist, welche Projekte und Aufträge aktuell sind.

Vorbereitungsphase: Registrierung einer ähnlich aussehenden Domain (z.B. company-invoices.com statt company.com) oder Übernahme des E-Mail-Kontos eines Mitarbeiters durch Phishing, Keylogger oder Brute-Force-Angriff auf ein schwaches Passwort.

Angriffsphase: Senden einer Nachricht, die vorgibt, der CEO oder ein Lieferant zu sein, mit einer dringenden Bitte um eine Überweisung „außerhalb des Standardverfahrens“ (weil wir eine Prüfung haben, weil die Transaktion vertraulich ist, weil wir schnell handeln müssen). Zeitdruck und Autorität sind Schlüsselelemente des BEC Social Engineering.

Erfüllungsphase: Der Angestellte tätigt die Überweisung – und in der Regel kommt die Entdeckung des Aufruhrs ein paar Tage später, wenn die echte Person nach einer Bestellung fragt, die sie nicht aufgegeben hat.

Warum erkennen herkömmliche Spam-Filter BEC nicht?

Klassische Spam-Filter arbeiten mit Signaturen – bekannten Mustern bösartiger URLs, Hashes bösartiger Dateien, Reputationslisten von IP-Adressen der Spammer. BEC verwendet keines dieser Elemente: Die Nachricht kommt von einer unbekannten, aber nicht gekennzeichneten bösartigen Adresse, sie enthält keine Links oder Anhänge und ihr Inhalt ist der einzige Hinweis auf die Bösartigkeit.

SPF, DKIM und DMARC – Standard-E-Mail-Authentifizierungsmechanismen – schützen vor der Imitation der Unternehmensdomäne durch externe Absender, helfen aber nicht, wenn der Angriff von einer Lookalike-Domäne (einer anderen, aber ähnlich aussehenden Domäne) ausgeht oder wenn das Konto eines Mitarbeiters übernommen wurde.

Wie erkennt Barracuda BEC-Angriffe?

Barracuda Email Protection bietet einen mehrschichtigen BEC-Erkennungsmechanismus, der auf künstlicher Intelligenz und Verhaltensanalyse basiert. Eine Schlüsselkomponente ist Barracuda Sentinel, eine KI-Engine, die die normalen Kommunikationsmuster eines Unternehmens erlernt.

Sentinel analysiert Hunderttausende von E-Mails in einem Unternehmen und erstellt Verhaltensmodelle für jeden Mitarbeiter: mit wem er normalerweise korrespondiert, zu welcher Zeit, in welchem Stil, von welchen Geräten aus. Wenn eine Nachricht auftaucht, die von diesen Mustern abweicht – selbst wenn sie von einer gültigen Adresse stammt – erzeugt das System eine Warnung oder blockiert die Nachricht.

Die Erkennung von Domain-Lookalikes ist eine weitere Ebene – Barracuda vergleicht die Domain des Absenders mit denen von vertrauenswürdigen Partnern und der internen Organisation und identifiziert ähnliche, aber unterschiedliche Domains (z.B. barracuda.com vs. barracuda-support.com). Die Header-Inspektion erkennt Diskrepanzen zwischen ‚From‘ (dem angezeigten Absender) und ‚Reply-To‘ (der tatsächlichen Antwortadresse) – ein klassischer BEC-Trick.

Die Integration mit Web-Sicherheitslösungen schafft einen mehrschichtigen Schutz gegen Social-Engineering-Angriffe.

Schutz vor Kontoübernahme

Viele BEC-Angriffe nutzen gekaperte Mitarbeiterkonten – was ihre Entdeckung extrem erschwert, da die Nachricht von einem legitimen Unternehmenskonto stammt. Barracuda Sentinel erkennt gekaperte Konten durch Verhaltensanalyse: plötzliche Anmeldungen von neuen geografischen Standorten aus, Änderung des Sendemusters, Senden einer großen Anzahl von Nachrichten an externe Empfänger, Änderung der E-Mail-Weiterleitungsregeln.

Wenn das System ein potenziell gekapertes Konto entdeckt, erzeugt es eine Warnung an den Administrator und kann die Sitzung automatisch abmelden und eine erneute Authentifizierung über die MFA verlangen. Die rückwirkende Analyse identifiziert auch Nachrichten, die von dem Konto in einem Zeitraum gesendet wurden, in dem es möglicherweise von einem Angreifer kontrolliert wurde.

Künstliche Intelligenz und Verhaltensanalyse von E-Mails

Barracuda Sentinel trainiert KI-Modelle auf der Grundlage der tatsächlichen Kommunikationsdaten des Unternehmens – nicht auf der Grundlage allgemeiner Phishing-Muster. Es ist der Unterschied, auf den es ankommt: Der CEO eines Unternehmens schreibt anders als der CEO eines anderen Unternehmens, korrespondiert mit unterschiedlichen Personen und zu unterschiedlichen Zeiten. Ein auf ein bestimmtes Unternehmen „zugeschnittenes“ Modell ist viel effektiver als allgemeine Regeln.

Die Engine analysiert: den Inhalt der Nachricht (Stil, Vokabular, Satzlänge), den Betreff der Nachricht, die Beziehung zwischen Absender und Empfänger, den Zeitpunkt des Versands, das Muster der Überschriften, die Historie der Korrespondenz zwischen bestimmten Personen. Das Ergebnis der Analyse ist eine Risikobewertung, auf deren Grundlage das System eine Entscheidung trifft: zustellen, unter Quarantäne stellen, blockieren oder ein Warnbanner für den Empfänger hinzufügen.

Wichtigste Schlussfolgerungen

  • BEC ist die kostspieligste Art der Cyberkriminalität, die herkömmliche Filter durch das Fehlen von Links und Anhängen umgeht.
  • Barracuda Sentinel erkennt BEC durch KI und organisationsspezifische Verhaltensanalyse, nicht durch generische Signaturen.
  • Die Erkennung von Domain-Lookalikes und die Header-Inspektion richten sich gegen die häufigsten BEC-Spoofing-Techniken.
  • Der Schutz vor Kontoübernahmen erkennt Verhaltensanomalien, die auf eine Kontokompromittierung hinweisen.
  • KI-Modelle, die anhand der tatsächlichen Kommunikation eines Unternehmens trainiert wurden, sind leistungsfähiger als generische Regeln.

FAQ

Funktioniert Barracuda Email Protection mit Microsoft 365 und Google Workspace? Ja – Barracuda lässt sich über APIs nativ in Microsoft 365 und Google Workspace integrieren und ergänzt den nativen E-Mail-Schutz dieser Plattformen mit BEC-Erkennung und fortschrittlicher Verhaltensanalyse.

Wie lange dauert es, das Sentinel-Verhaltensmodell zu ‚lernen‘? Sentinel benötigt in der Regel 2-4 Wochen Kommunikationshistorie, um ein zuverlässiges Verhaltensmodell zu erstellen. Während dieser Zeit arbeitet es im nicht-blockierenden Überwachungsmodus.

Kann Barracuda Benutzer automatisch über verdächtige Nachrichten benachrichtigen? Ja – Barracuda kann automatisch Warnbanner in verdächtige Nachrichten einfügen, die den Empfänger darüber informieren, dass die Nachricht von einer externen Adresse stammt oder dass Anomalien entdeckt wurden.

Wie meldet Barracuda BEC-Vorfälle an das Sicherheitsteam? Barracuda bietet ein Ereignis-Dashboard mit Bedrohungskategorisierung, Ereignisverlauf und Export in SIEM. Warnmeldungen können per E-Mail oder per Webhook an Ticket-Systeme gesendet werden.

Zusammenfassung

BEC-Angriffe sind präzise, personalisiert und für die Opfer immer teurer. Herkömmlicher E-Mail-Schutz erkennt sie einfach nicht, weil er mit Signaturen arbeitet, die es bei BEC nicht gibt. Barracuda Sentinel und der mehrschichtige E-Mail-Schutz von Barracuda lösen dieses Problem durch KI und Verhaltensanalysen, die auf die Besonderheiten des Unternehmens zugeschnitten sind. Kontaktieren Sie Ramsdata, um herauszufinden, wie Barracuda Ihr Unternehmen vor BEC-Angriffen und anderen E-Mail-Bedrohungen schützen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

error: Content is protected !!