Laut einer Studie von Verizon machten BEC-Angriffe (Business E-Mail Compromise) schon im Jahr 2023 über 50 Prozent der Vorfälle im Bereich Social Engineering aus. Die Angreifer sind nicht nur immer häufiger aktiv, die Angriffe werden auch immer ausgefeilter.
Um mögliche Verluste zu vermeiden, sollten die Verantwortlichen in Unternehmen daher gemeinsam mit ihren Rechtsteams angemessene BEC-Richtlinien erstellen. Diese vier Punkte sind dabei besonders wichtig.
Regeln zur akzeptablen Nutzung
Einer der Aspekte, den Unternehmen auf technischer und geschäftlicher Ebene festlegen sollten, sind akzeptable Nutzungsstandards für Mitarbeiter, die auf E-Mails und andere Geschäftssysteme zugreifen. Entsprechende Vorgaben und Richtlinien sind das absolute Minimum für den Schutz vor BEC-Risiken. Darin sollten selbst relativ simple Anforderungen auftauchen. Unter anderem sollten Mitarbeiter nicht auf verdächtige Anhänge oder Links klicken, sensible Informationen nicht an Dritte weitergeben und geforderte Zahlungen doppelt überprüfen.
Bedeutung von Schulungen
Ein wichtiger Teil der BEC-Abwehr sind die Fähigkeiten der einzelnen Mitarbeiter. Diese sollten deshalb regelmäßig über bestimmte Gefahren aufgeklärt werden. Die Taktiken der Angreifer entwickeln sich stets weiter, darauf lohnt es sich, alle drei bis sechs Monate im Rahmen von Schulungen einzugenen.
Offene Tür für Berichte
Neben speziellen Richtlinien sollte auch die Unternehmenskultur mit Blick auf die Cyber-Sicherheit im Blickpunkt stehen. Mitarbeiter dürfen sich nicht scheuen, Vorfälle zu melden. Das gilt auch dann, wenn sie bereits einen Fehler gemacht haben. Dessen Folgen lassen sich oft noch beheben oder zumindest eingrenzen, wenn die IT-Verantwortlichen rechtzeitig Bescheid wissen.
Spezieller Reaktionsplan für Vorfälle
BEC-spezifische Verfahren sollten Teil von allgemeinen Plänen zum Vorgehen nach Vorfällen sein. Die Reaktion auf solche Angriffe sieht in vielen Fällen anders aus als zum Beispiel die Reaktion auf einen Ransomware-Angriff. Unter anderem können rechtliche Fragen eine Rolle spielen. Vor allem ist es jedoch wichtig, dass sich Verantwortliche über den Einzelfall Gedanken machen, da die beste Reaktion je nach Unternehmen sehr unterschiedlich sein kann.