tom's networking guide
 
Anzeige
ZITiS – Cyberforschung für Behörden, Ämter und Nachrichtendienste >
< In Erinnerung an Raimund Genes
31.03.17 17:49 Alter: 235 Tage
Kategorie: Top-News, Unternehmens-News, Administratoren, KMU, Office Connectivity, Sicherheit, Security
Von: Nina Eichinger

BPC - The next big thing

BPC steht für Business Process Compromise und schickt sich an, nach Ransomware die nächste große Bedrohung für Unternehmens-IT zu werden.


Udo Schneider, Security Evangelist von Trend Micro, demonstriert Business Process Compromise auf der CeBIT-Preview 2017. (Foto: Reinhard Bimashofer)

Udo Schneider, Security Evangelist von Trend Micro, demonstriert Business Process Compromise auf der CeBIT-Preview 2017. (Foto: Reinhard Bimashofer)

Schematische Ablauf von BEC (Business Email Compromise) und BPC (Business Process Compromise). (Grafik: Trend Micro)

Schematische Ablauf von BEC (Business Email Compromise) und BPC (Business Process Compromise). (Grafik: Trend Micro)

Die Aufgabe für Unternehmen: X = I + U - T (Bild: Trend Micro)

Die Aufgabe für Unternehmen: X = I + U - T (Bild: Trend Micro)

München/Hannover - Digital Transformation ist nicht erst seit der CeBIT in aller Munde. Doch was diese Transformation der Unternehmen so alles mit sich bringt, bedenken nur wenige zu Ende.

Nehmen wir ein mittelständisches Unternehmen, dass auf moderne IT umgestellt hat und seine Rechnungen automatisiert aus dem Buchhaltungsprogramm direkt an die Druck- und Frankiermaschine leitet, die auch das Eintüten der Rechungen und das Sortieren nach PLZ-Bereich übernimmt. Eine tolle Errungenschaft, spart Geld und Arbeitszeit. Alle sind glücklich.

Schaut man sich das Ganze aber einmal genauer an, bietet genau dieses System einige Angriffsmöglichkeiten. Voraussetzung dafür ist, dass sich Cyberkriminelle Zugriff auf die IT-Umgebung verschafft haben. Umfragen zeigen, dass immer noch nur ein Bruchteil der erfolgreichen Angriffe auf Infrastruktur entdeckt werden - solange die Cyberkriminellen keine groben Fehler machen.

Einmal im System angekommen, kann der Angreifer es sich erstmal im System gemütlich machen und späht die Unternehmensprozesse aus. Also genau solche Verfahren, wei das automatische Erstellen von Rechnungen. Dabei werden zumeist vorgefertigte Vorlagen mit dem Inhalt - der eigentlichen Rechnung - kombiniert. Und da haben die Cyberkriminellen auch schon fast ihr Ziel erreicht, denn die Vorlagen enthalten unter anderem auch die Kontoverbindung, an die der Rechnungsbetrag zu überweisen ist. Im einfachsten Fall tauschen sie nun nur noch die IBAN und schon geht das Geld nicht mehr an die Firma, die die Rechnung gestellt hat, sondern landet auf einem schwer bis gar nicht nachvorfolgbaren Konto. Zugegeben, dieses Vorgehen wird sehr schnell auffallen, weil spätenstens nach Ende des Zahlungsziels Mahnungen rausgehen und der Schwindel auffällt.

Doch was, wenn zusätzlich zur IBAN auch noch der Betrag manipuliert wird und der eigentliche Rechnungsbetrag nach Geldeingang sofort auf das Konto des Unternehmens weitergeleitet wird? Die Firma hat ihr Geld, der Kunde hat - wenn auch zu viel - aber gezahlt und beide Seiten sind zufrieden. Und der Cyberkriminelle natürlich auch, denn diese Geldquelle versiegt nicht so schnell, wenn er nicht zu gierig wird.

Dieses Beispiel ist kein Hirngespinnst. Udo Schneider, Security Evangelist von Trend Micro, hat dieses Szenario auf der Preview-Veranstaltung zu CeBIT in München live demonstriert.

Bekannte BPC-Fälle
Aber ausgehend von diesem Szenario lassen sich durchaus auch andere Planspiele entwerfen. Einen ersten großen Fall aus dem Jahr 2013, beschrieb Raimund Genes, der kürzlich verstorbene CTO von Trend Micro, in einem Blogartikel. Im Hafen von Antwerpen hatten Drogenhändler das IT-System gehackt, das für die Verwaltung der Positionen und Bewegungen der einzelnen Container innerhalb des Hafengeländes zuständig war. Mit Drogen oder anderen illegalen Waren bestückte Container verschwanden durch dieses System dann einfach mal vom Bildschirm und konnten ungehindert und vor allem unkontrolliert auf Zugmaschinen verladen werden und das Gelände verlassen.

Bei einem anderen Fall aus dem vergangenen Jahr, der unter dem Begriff "Bangladesh Central Bank Cyber Heist" bekannt geworden ist, wurden die Prozesse hinter dem Kommunikationsverfahren zwischen der Bank und SWIFT kompromittiert. Zudem wurden die Drucker der Bank manipuliert und im Anschluss an einem Wochenende Überweisungsanfragen an die US-Notenbank in New York übermittelt. Es handelte sich um Millionen-Überweisungen an Konten in Asien. Der Verlust belief sich auf immerhin 81 Millionen $. 

Nach Bekanntwerden dieses Falls verschickte SWIFT eine Warnung an alle Banken, woraufhin sich zwei weitere Banken meldeten, die ähnliche Vorfälle schilderten. Eine vietnamesische Bank hatte Glück: Eine Forderung in Höhe von 1,3 Millionen $ wurde geblockt. Weniger gut erging es einer Bank in Ecuador, die bereits 2015 12 Millionen $ auf diesem Weg verlor.

Diese drei Beispiele zeigen, wie Business Process Compromise funktioniert. Sie stehen exemplarisch für ein Geschäftsmodell, dass in ganz großen Bahnen denkt. Unternehmensprozesse zu manipulieren erfordert Geduld und umfangreiche Kenntnisse. Es geht dabei weniger um den schnellen Gewinn sondern darum, die Prozesse in den Unternehmen so gut zu verstehen, dass man sie zum eigenen Nutzen anpassen kann ohne, dass es im Unternehmen auffällt.

Was hilft?
Neben einer gut funktionierenden Sicherheits-Infrastruktur sind die Mitarbeiter gefordert. Prozesse dürfen nicht als selbstverständlich betrachtet werden. Sie müssen immer wieder Kontrollen unterzogen werden und alle Mitarbeiter, die damit zu tun haben, müssen Abweichungen wahrnehmen können, was voraussetzt, dass jeder die Abläufe genau kennt.

Eva Chen, CEO von Trend Micro, brachte die Aufgabe, die Unternehmen für einen bestmöglichen Schutz bewältigen müssen, auf eine einfache Formel:

"Unternehmen stehen vor zunehmenden Herausforderungen, die eine Variable X in ihren Sicherheitslösungen darstellen. Um ihre Umgebungen erfolgreich abzusichern, müssen Sicherheitsverantwortliche Wechsel in der Infrastruktur (I) voraussehen und Änderungen im Nutzerverhalten (U) einkalkulieren, um einen Schutz vor neuen Bedrohungen (T) aufzusetzen. Diese Voraussetzungen führen zu einer einfachen doch effizienten Formel des Erfolgs – von uns XGen genannt: X = I + U – T."


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

ZITiS – Cyberforschung für Behörden, Ämter und Nachrichtendienste

Aufmacher der ZITiS-Eröffnungs-Pressekonferenz. (Bild: Arno Kral)

Mit der "Zentralen Stelle für Informationstechnik im Sicherheitsbereich" - kurz ZITiS - ist München...

[mehr]

In Erinnerung an Raimund Genes

Raimund Genes

Trend Micro trauert um langjährigen Chief Technology Officer

[mehr]

HR-Manager der Zukunft – ein Berufsbild im Wandel

Ulrich Jänicke, CEO und Mitgründer der Aconso AG

Durch die zunehmende Digitalisierung erfolgt der Informationsaustausch heute schneller und...

[mehr]

FAST LTA entwickelt zur CeBit 2017 Leidenschaft für Datensicherung

Silent Brick Produktfamilie ©FAST LTA

Der Münchner Spezialist für Speichersysteme zeigt in Hannover sein Silent-Brick-System, erweitert...

[mehr]

Acronis True Image 2017: Backup mit Sicherheit und Signaturen

Serguei Beloussov verweist stolz auf den Gold Self Protection Award für die Acronis Active Protection. (Bild: Arno Kral)

Die neue Generation der Acronis-Backup-Lösung verheißt Hilfe gegen Cyber-Bedrohungen mit...

[mehr]

IoT-tauglicher Flash-Speicher von Adesto

Gideon Intrater am Adesto-.Stand auf der electronica 2016 (Bild: Adesto)

Auf der electronica 2016 zeigt Adesto in München Flash-Speicher mit deutlich verbesserten...

[mehr]
Anzeige
Anzeige