E-Mailbetrug nimmt ständig zu. Verschiedenen Berichten wie dem Bericht ENISA Threat Landscape 2022 zufolge waren Phishing-E-Mails im vergangenen Jahr die am häufigsten verzeichnete Angriffsart. Die höchsten finanziellen Verluste werden Phishing- und Business E-Mail Compromise (BEC)-Angriffen zugeordnet. Bei letzteren geben sich Hacker per E-Mail als Kollegen oder hohe Führungskraft im Unternehmen aus.
Es gibt mehrere Gründe für die Beliebtheit von E-Mail-Scams bei Kriminellen. Erstens sind E-Mails in allen Unternehmen und Branchen ein gängiges Tool. E-Mail ist zu einem Teil unseres Alltags geworden, häufig nutzen wir sie, ohne groß nachzudenken. Wir schicken Dateien mit sensiblen Informationen an Kunden und Kollegen, bezahlen Rechnungen, prüfen Werbeangebote in unseren Lieblingsläden und schließen Geschäfte per E-Mail ab.
Das ist Cyberkriminellen natürlich nicht entgangen, und E-Mails sind so zur größten Schwäche der Unternehmen geworden. Investiert Ihr Unternehmen nicht in E-Mail-Schutz über die grundlegenden Antispam-Funktionen Ihres Servers hinaus, sollten Sie diesen Ansatz überdenken. Wie können Sie die Unternehmensführung und Stakeholder davon überzeugen, dass es Zeit für Investitionen in eine umfassende Herangehensweise an E-Mail-Sicherheit ist? Eine, die mehr bietet, nämlich:
- eine fortschrittliche E-Mail-Sicherheitsplattform mit Intelligenz in Echtzeit, die auch die trickreichsten Phishing-Nachrichten blockiert, und
- ein straffes Trainingsprogramm damit Ihre Mitarbeiter Phishing-Versuche erkennen und melden können, bevor sie zur Bedrohung werden?
Hier finden Sie acht Gründe, mit denen Sie diese wertvolle Unterstützung gewinnen können.
1. Viele Menschen fallen auf Phishing herein
Wir als Menschen sind im Grunde darauf getrimmt, auf Phishing-E-Mails hereinzufallen, weil die Verfasser genau wissen, wie sie unsere Emotionen und unterbewussten Neigungen gegen uns ausspielen. „43 % der Teilnehmer sind wenigstens einmal darauf hereingefallen, 11,9 % mehrfach“, ergab eine Studie der University of Florida. Das Ziel der Phisher ist es, dass ihre Opfer „keine durchdachte, sondern eine schnelle Entscheidung treffen.“ Phishing-E-Mails nutzen meist Heuristiken (auch als Denkabkürzungen bezeichnet), um uns zur Preisgabe sensibler Informationen zu verleiten.
2. Angriffe werden immer überzeugender
Moderne Social-Engineering-Angriffe etablieren sich schnell als neuer Standard. Verglichen mit dem klassischen Gießkannenprinzip sind die extrem konzentrierten Spear-Phishing-Angriffe einträglicher, da konventionelle Sicherheitsmaßnahmen mit höherer Wahrscheinlichkeit umgangen werden und sie für durchschnittliche Mitarbeiter schwieriger zu erkennen sind. BEC-E-Mails beispielsweise täuschten mehr Mitarbeiter als die E-Mails, die angeblich von bekannten Unternehmen kamen.
3. Remote-Arbeit erhöht die Wahrscheinlichkeit von erfolgreichem Phishing
Remote-Mitarbeiter nutzen für die Kommunikation mit Arbeitgebern, Kunden und Lieferanten noch stärker E-Mails. Das vergrößert die Angriffsfläche für Cyberkriminelle, welche diese gestiegene Abhängigkeit von E-Mails ausnutzen. Außerdem können Mitarbeitern leichter Fehler passieren, beispielsweise wird eine E-Mail an die falsche Person geschickt, wodurch sensible Kunden- oder Unternehmensinformationen preisgegeben werden.
4. Mentaler Burnout spielt Phishern in die Hände
Ein Grund für die große Kündigungswelle in den USA ist der Stress, dem Mitarbeiter ausgesetzt sind: Ihre geistige Gesundheit ist am Limit. Mentaler Burnout kann der Unternehmenssicherheit großen Schaden zufügen, da überforderte Mitarbeiter eher Fehler machen, beispielsweise E-Mails verschicken, die den Sicherheitsrichtlinien des Unternehmens schaden. Experten stellten fest, dass überarbeitete und erschöpfte Mitarbeiter sich schneller mental überfordert fühlen. Damit wird es wahrscheinlicher, dass sie Warnzeichen eines Phishing-Angriffs nicht erkennen oder vor dem Senden einer E-Mail die Empfängeradresse nicht nochmal prüfen. Cyberkriminelle sind sich dessen natürlich bewusst, daher werden Phishing-E-Mails meist gegen Abend verschickt.
5. Auswirkungen auf Geschäftskunden
Statistiken zufolge gefährden Mitarbeiter, die E-Mails an die falsche Adresse verschicken, nicht nur die Sicherheit. 29 % der Firmen haben so schon Kunden verloren. Das vorher etablierte Vertrauen wurde verletzt, als der betroffene Kunde über den unbeabsichtigten Datenverlust informiert wurde. Umsatz und Markenruf erleiden dadurch großen Schaden.
6. Herkömmliche E-Mail-Sicherheit reicht bei fortschrittlichen Phishing-Angriffen nicht
Die herkömmlichen E-Mail-Sicherheitslösungen bauen auf vorgefertigte Regeln und bekannte Bedrohungen. Daher sind sie gegen die modernen Cyberangriffe unserer Zeit wehrlos. Dem NCSC zufolge belegen Studien, dass bei 1.800 eingehenden böswilligen E-Mails 50 Phishing-Scams mit infiziertem Anhang an der E-Mail-Sicherheitslösung vorbei in die Posteingänge der Mitarbeiter gelangten. Das liegt daran, dass Betrüger modernste Technik einsetzen und gleichzeitig herausfinden, wie sie die Abwehrmaßnahmen umgehen.
7. Schulungen sind ist nicht alles
Viele Unternehmen bieten im Rahmen ihrer Phishing-Verteidigung jährliche Schulungen. Wenn E-Mail-Sicherheitsschulungen echte Verhaltensänderungen bei den Mitarbeitern herbeiführen sollen, müssen sie in einen Kontext gestellt werden, häufig und in Echtzeit stattfinden und an das Aufgabenfeld jedes einzelnen Mitarbeiters angepasst werden.
8. Unterbesetzte Sicherheitsteams müssen mit Automatisierung unterstützt werden
Die Wissenslücke zum Thema Cybersicherheit wirkt sich auch auf – häufig unterbesetzte – Sicherheitsteams aus. Das ist ein offenes Geheimnis. Das Problem wird noch verstärkt, wenn das Team häufig falsch positiven Hinweisen auf verdächtige E-Mails nachgehen muss. Sicherheitsexperten suchen nach automatisierten E-Mail-Sicherheitslösungen, welche die administrative Last der Sicherheitsteams lindert, damit sie sich auf die wichtigeren kritischen Aufgaben konzentrieren können.
Dass E-Mails quasi der Sauerstoff im Unternehmen sind, macht sie auch zum angreifbarsten Kanal. Betrüger werden immer versuchen, die Niedrigschwelligkeit von E-Mails auszunutzen, ebenso werden sie ihre Einbruchstechniken verbessern. Unternehmen sollten daher über den wirksamen Schutz ihrer Mitarbeiter vor Bedrohungen aus dem Posteingang nachdenken.
Daher müssen Vorstand und andere Stakeholdern die Bedeutung der E-Mail-Sicherheit und das Risiko von deren Vernachlässigung unbedingt verstehen. Ein Teil der Lösung ist es, E-Mail-Risiken zu thematisieren. Damit Menschen besser verstehen, wie anfällig sie für E-Mail-Risiken sind, haben wir einen Fragebogen zur Selbsteinschätzung erstellt, den Sie hier beantworten können.
Die Rolle der E-Mail-Sicherheit
Schutz Ihres Unternehmens vor versteckten E-Mail-Bedrohungen