Phishing & Business Email Compromise bei regionalem Energieversorger
Branche: Energieversorgung / Mitarbeitende: 2000
Ein regionaler Energieversorger betreibt zahlreiche Umspannwerke, Fernwärmenetze sowie eine große IT-Infrastruktur zur Abrechnung, Netzsteuerung und Kundenkommunikation. Plötzlich kommt es in einer Abteilung intern zu Auffälligkeiten. Schnell wird klar: Es handelt sich um einen Fall von Business Email Compromise.
Der Stein gerät ins Rollen
Eines Morgens entdecken Mitarbeiter im Zahlungswesen ungewöhnliche E-Mails von einem angeblichen Firmenmanagement – von einer Firma, mit der das Unternehmen normalerweise zu tun hat. Doch darin enthalten sind Zahlungsanweisungen an neue, unbekannte Konten und dringende Mahnungen. Das kommt den Mitarbeitenden der Buchhaltung seltsam vor. Erst nach manueller Prüfung fällt auf, dass die E-Mail-Adressen gefälscht sind (sogenanntes „Spoofing“) – Logos und Formulierungen sind aber erschreckend authentisch.
Die E-Mails an die Belegschaft häufen sich. In einigen sind Links zu gefälschten Microsoft Anmeldeseiten vorhanden, hinter denen angeblich weitere Rechnungen abgerufen werden können.
Parallel dazu: Bei einem kollegialen Gespräch in der IT-Abteilung fallen vermehrte Loginversuche auf Cloud-Konten (Microsoft 365) auf. Ein Abgleich einiger interner IT-Tickets zu den Sachverhalten mit den bemerkten Auffälligkeiten sorgt für eine schnelle Alarmierung.
Es ist Business Email Compromise: Sofort werden Incident Response Maßnahmen eingeleitet
Das Unternehmen zögerte nicht lang und wählte unsere 24/7 Notfallnummer. Unser Incident-Response-Team reagierte sofort, prüfte den MS 365 Tenant auf auffällige Logins und sperrte kompromittierte Accounts. Danach ging eine IT-forensische Analyse los, bei der nach allen Aktivitäten der Angreifer in der Cloud gesucht wurde. Gleichzeitig wurde ein Notfallteam aus IT, Compliance, Recht und Kommunikation zusammengestellt – ein wichtiger Faktor für eine saubere Wiederherstellung der Prozesse.
Unsere IT-forensische Analyse der E-Mail-Header und ein Abgleich mit SPF, DKIM und DMARC zeigten schnell, dass die Angreifer die Absender-Domain eines Partners per Spoofing missbraucht hatten. Da dort die E-Mail-Schutzmechanismen nicht korrekt eingerichtet waren, wirkten die Phishing-Mails schlussendlich besonders glaubwürdig.
Um weitere Schäden zu verhindern, wurden neue Zahlungsrichtlinien eingeführt: Alle Zahlungsaufträge müssen nun im Vier-Augen-Prinzip und zusätzlich über ein verifiziertes Portal freigegeben werden. Parallel findet ein engmaschiges Monitoring der Loginversuche statt.
In unserem betroffenen Unternehmen kehrte wieder Ruhe ein: Nach der erfolgreichen Eindämmung konnten getätigte Zahlungen zurückgerufen, Kunden informiert und die Mitarbeitenden geschult werden.
In der Nachbereitung folgte ein umfassendes Review der Access Controls, ein Ausbau der E-Mail-Richtlinien und ein Audit der Microsoft 365 Umgebung.
Wie ist der Fall ausgegangen?
Das wachsame Auge der Mitarbeitenden und die schnelle Reaktion auf die verdächtigen E-Mails waren entscheidend. So konnten finanzielle Verluste gering gehalten werden, Zahlungen wurden rechtzeitig gestoppt.
Da niemand auf die Links innerhalb der Mails geklickt hatte, sind glücklicherweise keine Daten abgeflossen – Reputationsschäden gibt es also nicht.
Lediglich operativ kann man von leichten Beeinträchtigungen sprechen: Vor allem die Buchhaltung musste ihre Prozesse anpassen und erweitern. Hier und da bringt das Verzögerungen mit sich – doch das ist das kleinere Übel.
Hier hat sich gezeigt, dass Technik allein nicht reicht. Entscheidend war, dass Mitarbeitende in der Finanzabteilung misstrauisch geblieben sind – und wir dadurch sofort reagieren konnten.
Rames Razaqi, Teamleiter Incident Response bei intersoft consulting services
Business Email Compromise: Tipps für mehr Cybersicherheit
Dieser Fall zeigt: Die E-Mail-Kommunikation kann ein ernstes Risiko darstellen, wenn Mitarbeitende nicht oder unzureichend sensibilisiert sind oder Cloud-Konten schlecht abgesichert sind. Sicherheitsstrategien sind unerlässlich, egal, ob für große oder kleine Unternehmen. Frühwarnsysteme für Logins und ungewöhnliche Zahlungsaufträge sind dabei ein unverzichtbarer Bestandteil.
Doch auch technische Schutzmechanismen wirken eben nur dann zuverlässig, wenn Mitarbeitende regelmäßig geschult und auf diese Thematik aufmerksam gemacht werden. Klare Prozesse sollten nicht nur etabliert, sondern auch regelmäßig geprüft werden.
Weitere spannende Beiträge
-
- Cybercrime Storys
Ransomware-Angriff auf 4 Standorte: ESX Hosts gerettet, Produktion gesichert
Zum BeitragEin großflächiger Ransomware-Angriff traf gleich vier Werke eines Maschinenbauers – mit verheerender Wirkung.
-
- Cybercrime Storys
Verhandlung mit einer Ransomware-Gruppe: Lösegeld & Bitcoin-Beschaffung
Zum BeitragEin regionales Netzwerk aus dem Medizinbereich wurde Opfer einer professionellen Ransomware-Attacke. Nach vollständiger Verschlüsselung der IT-Infrastruktur war schnelles Handeln gefragt. Die Verhandlung mit den Angreifern, die komplexe und zeitkritische Bitcoin-Beschaffung und die technische Wiederherstellung forderten das volle Spektrum forensischer und strategischer Kompetenz.
-
- Cybercrime Storys
Ein Ransomware-Angriff, der global 30 Standorte einer Reederei zu Fall bringen kann.
Zum BeitragAls eine international agierende Reederei Opfer eines raffinierten Angriffs wird, steht für die über 30 Standorte alles auf dem Spiel. Die ersten Niederlassungen sind bereits verschlüsselt, die Bedrohung breitet sich rasant von Asien bis nach Deutschland aus – und die Zeit läuft. Doch ein deutscher IT-Leiter handelt schnell und schaltet unser IT-Forensik-Team ein. Gerade noch rechtzeitig?
Wir stehen Ihnen mit unserer Erfahrung zur Seite.
Sie wünschen sich eine persönliche Beratung? Melden Sie sich gern per ausgefülltem Formular oder Anruf bei uns.
Joanna Lang-Recht
Director IT Forensics
24/7 IT-Notfallhilfe
0180 622 124 6
20 Ct./Anruf aus dem Festnetz, Mobilfunk max. 60 Ct./Anruf
Direkt Kontakt aufnehmen
it-forensik@intersoft-consulting.de
