Eine aktuelle Umfrage von Trend Micro offenbart eine beunruhigend hohe Zahl von BPC-Angriffen auf Unternehmen in Deutschland und weltweit. Dabei geht die größte Gefahr insbesondere von Angriffen per E-Mail aus, die gerade in finanzieller Hinsicht verheerende Folgen nach sich ziehen können.

Die Studie ergibt, dass 46 Prozent der befragten Unternehmen in Deutschland bereits von einem Business Process Compromise (BPC), also einem Angriff auf ihre Geschäftsprozesse, betroffen waren. Weltweit wurden 43 Prozent der Unternehmen angegriffen. Trotz der großen Häufigkeit von erfolgreichen Angriffen sind sich 47 Prozent der Führungsebenen in Deutschland (weltweit sind es 50 Prozent) noch nicht darüber bewusst, was diese Angriffe sind und welche Konsequenzen sie für ihren Betrieb haben können.

Bei einem BPC-Angriff suchen Kriminelle nach Lücken in Geschäftsprozessen, verwundbaren Systemen und anfälligen Praktiken. Sobald eine Schwachstelle identifiziert wurde, wird ein Teil des Prozesses zum Nutzen des Angreifers geändert, ohne dass das Unternehmen oder seine Kunden die Änderung bemerkt. 91 Prozent der deutschen Unternehmen und 85 Prozent der Unternehmen weltweit hätten im Falle eines erfolgreichen Angriffs Einschränkungen beim Betrieb mindestens eines ihrer Geschäftszweige.

„Wir sehen immer mehr Cyberkriminelle, die bereit sind, für einen höheren Gewinn langfristig zu agieren“, sagt Rik Ferguson, Vice President Security Research bei Trend Micro. „Bei einem BPC-Angriff könnten sie monate- oder jahrelang in der Infrastruktur eines Unternehmens lauern, Prozesse überwachen und sich ein detailliertes Bild davon machen, wie es funktioniert. Von dort aus ist es möglich, unbemerkt und ohne menschliche Interaktion in kritische Bereiche einzudringen. So könnten sie beispielsweise wertvolle Waren an eine neue Adresse umleiten oder die Einstellungen von Druckern ändern, um vertrauliche Informationen zu stehlen – so wie es beim bekannten Cyberangriff auf die Bangladesh Bank der Fall war.“

Sicherheitsverantwortliche weltweit kennen dieses Risiko – 72 Prozent der Befragten (in Deutschland wie auch weltweit) gaben an, dass die Verhinderung von BPC-Angriffen Priorität bei der Entwicklung und Umsetzung der Cybersicherheitsstrategie ihres Unternehmens hat. Das mangelnde Bewusstsein des Managements für dieses Problem schafft jedoch eine Wissenslücke, die Unternehmen anfällig für Angriffe machen könnte. Dies gilt insbesondere angesichts der zunehmenden Digitalisierung, da sich immer mehr Unternehmen darum bemühen, Kernprozesse zu transformieren und zu automatisieren, um Effizienz und Wettbewerbsfähigkeit zu steigern.

Der gängigste Weg für Cyberkriminelle um in Unternehmensnetzwerke einzudringen ist ein Business Email Compromise (BEC, „auch CEO-Fraud“ oder „Chef-Masche“ genannt). Diese Art von Betrug zielt auf die E-Mail-Konten von hochrangigen Mitarbeitern ab, die mit Finanzangelegenheiten in Verbindung stehen oder an Zahlungen per Banküberweisung beteiligt sind. In der Regel finden diese Angriffe entweder mittels Identitäts-Spoofing statt oder es werden Zugangsdaten durch Keylogger oder Phishing abgegriffen.