Laut dem neuesten jährlichen Internet Crime Report (Bericht zu Internetkriminalität) des vom FBI geführten Internet Crime Complaint Center (IC3) gab es in den USA im Jahr 2021 „einen beispiellosen Anstieg“ an Cyberangriffen und anderen schädlichen Cyberaktivitäten. Zu den am häufigsten gemeldeten Vorfällen zählten Business Email Compromise (BEC, auch Chefmasche genannt) und Email Account Compromise (EAC, Cloud-Account-Übernahme durch Cyberkriminelle), die im letzten Jahr bei Unternehmen und Verbrauchern allein in den USA bereinigte Verluste in Höhe von 2,4 Milliarden US-Dollar verursachten.
Das ist ein steiler Anstieg gegenüber den für 2020 gemeldeten 1,8 Milliarden US-Dollar. Für die USA ist dies zudem ein neuer Rekord an Finanzverlusten durch BEC/EAC-Betrug. Im letzten Jahr machten diese Betrugsarten nahezu 35 % aller gemeldeten durch Cyberkriminalität verursachten finanziellen Verluste aus – ein Anstieg von 28 % im Vergleich zum Vorjahr.
Opfer von Cyberkriminalität meldeten 2021 insgesamt 847.376 Beschwerden an das IC3 – ein Rekord. Die potenziellen Verluste durch diese Straftaten betragen mehr als 6,9 Milliarden US-Dollar. Während die Zahl der eingereichten Beschwerden im Vorjahresvergleich nur um 7 % zunahm, stiegen die gemeldeten Gesamtverluste durch Cyberzwischenfälle 2021 um 64 % (verglichen mit 4,2 Milliarden US-Dollar im Jahr 2020).
Nachfolgend erläutern wir wichtige Ergebnisse des neuesten IC3-Berichts zu Internetkriminalität sowie einige Analysen, die auf unseren Beobachtungen dieser Cyberkriminalitäts-Trends basieren.
E-Mail-Betrug verursacht nach wie vor die größten finanziellen Schäden
Im Jahr 2021 erhielt das IC3 19.954 Beschwerden über BEC- und EAC-Betrug. Wie bereits erwähnt, beliefen sich die bereinigten Verluste durch diese Betrugsfälle auf insgesamt 2,4 Milliarden US-Dollar. Der durchschnittliche Verlust pro E-Mail-Betrug stieg von 96.373 auf 120.074 US-Dollar – eine Zunahme von beinahe 25 % im Vorjahresvergleich.
Während Ransomware-Angriffe die Schlagzeilen dominieren, haben BEC- und EAC-Betrug mit 35 % den größten Anteil an finanziellen Verlusten durch Cyberkriminalität. Dem IC3 zufolge betrugen die Verluste durch Ransomware im letzten Jahr insgesamt 49.207.908 US-Dollar. Allerdings sind die finanziellen Verluste, die das IC3 dem BEC- und EAC-Betrug im Jahr 2021 zuordnet, noch 49 Mal höher.
Abb. 1: BEC/EAC-Betrug verursachte unter allen Arten von Cyberkriminalität weiterhin die größten finanziellen Schäden. (Quelle: FBI IC3: „Internet Crime Report 2021“ (Bericht zu Internetkriminalität 2021)).
Abb. 2: Finanzielle Verluste durch E-Mail-Betrugsversuche nahmen 2021 um 28 % zu. (Quelle: FBI IC3: „Internet Crime Report 2021“ (Bericht zu Internetkriminalität 2021)).
Die IC3-Daten verdeutlichen zudem, dass BEC/EAC-Betrugsversuche äußerst gezielt eingesetzt werden und dass die daraus entstehenden finanziellen Verluste für die Opfer trotz der im Vergleich zu anderen Arten von Cyberkriminalität geringen Zahl an Angriffen erheblich sein können. Zudem stellt der Bericht zu Internetkriminalität fest, dass die Zahl der eingegangenen Beschwerden zu diesen Betrugsarten im letzten Jahr im Vergleich zu 2020 um nur 3 % gestiegen ist. Gleichzeitig nahmen jedoch die finanziellen Verluste durch BEC/EAC-Betrug im Jahr 2021 um 28 % zu. Das ergibt einen 25-prozentigen Anstieg des durchschnittlichen Verlusts pro Zwischenfall im Vorjahresvergleich.
BEC-Betrugsversuche und die Taktiken der Betrüger entwickeln sich weiter
Der Bericht zu Internetkriminalität für 2021 weist daraufhin, dass sich die BEC/EAC-Betrugsversuche weiterentwickelt haben, da die Methoden der Betrüger immer raffinierter werden. Laut dem Bericht handelte es sich bei diesen Betrugsversuchen früher um „einfaches Hacking oder Spoofing geschäftlicher und privater E-Mail-Konten und eine Aufforderung zu Überweisungen an betrügerische Bankkonten“. Für diese Zwecke nutzten die böswilligen Akteure kompromittierte Lieferanten-E-Mails, Anfragen zu Steuerdaten, Immobilienbetrug, Gutscheinkartenbetrug und vieles mehr. Nun jedoch missbrauchen die Betrüger virtuelle Meetings und fälschen die E-Mails von Führungskräften, um mit betrügerischen Überweisungen Geld zu erbeuten.
Proofpoint hat beobachtet, dass unter allen momentan verwendeten BEC-Varianten der Rechnungsbetrug mit Bezug zu B2B-Transaktionen (Business-to-Business) häufig die höchsten finanziellen Verluste nach sich zieht. Zudem zeigen unsere Untersuchungen, dass nahezu alle Unternehmen (98 %) Bedrohungen über Lieferantendomänen erhalten.
Die Angreifer ahmen Anbieter nach oder kompromittieren deren Konten, um das Vertrauen zwischen Unternehmen und Lieferanten bzw. Geschäftspartnern für ihre Zwecke zu missbrauchen. Trotz dieses Trends beobachtet Proofpoint, dass die meisten Unternehmen keinen Überblick darüber haben, welchen Risiken sie durch ihre Lieferanten ausgesetzt sind.
Phishing-Betrug steigt während COVID-19-Pandemie rasant um 280 %
Die Zahl der eingereichten Beschwerden zu Phishing-Betrug und den dazugehörigen Techniken (z. B. Vishing, Smishing und Pharming) hat seit Beginn der COVID-19-Pandemie im Frühjahr 2020 um 280 % zugenommen. Wie aus dem Bericht zu Internetkriminalität hervorgeht, machten Beschwerden über Phishing-Betrug aller Art im letzten Jahr einen Anteil von 38 % aller Beschwerden über Cyberkriminalität aus, die dem IC3 gemeldet wurden.
Wie Abb. 3 zeigt, ist die Zahl solcher Vorfälle in den letzten fünf Jahren gestiegen, in den letzten zwei Jahren sogar sehr deutlich. 2021 nahm die Zahl der der Betrugsfälle mit Phishing, Vishing, Smishing und Pharming im Vergleich zum Jahr 2020 um 34 % zu. Gleichzeitig blieben die anderen vier wichtigsten Arten von Cyberkriminalität – Erpressung, Identitätsdiebstahl, Kompromittierung persönlicher Daten und Nichtzahlung bzw. Nichtlieferung – seit 2017 auf dem gleichen Niveau.
Abb. 3: Die fünf wichtigsten Arten von Cyberkriminalität im Jahr 2021 im Vergleich zu den vorherigen fünf Jahren. (Quelle: FBI IC3: „Internet Crime Report 2021“ (Bericht zu Internetkriminalität 2021)).
Die erhebliche Zunahme von Phishing und ähnlichen Techniken im Laufe der letzten fünf Jahre deutet darauf hin, dass die Bedrohungsakteure nach wie vor personenzentrierte Schwachstellen ausnutzen. Das bedeutet, dass E-Mail weiterhin der wichtigste Risikovektor bleibt, und Unternehmen daher die Risiken ihrer Mitarbeiter verstehen und die nötigen Kontrollen implementieren sollten.
Ransomware nimmt 2021 explosionsartig zu
Die Daten des IC3 zeigen, dass die Zahl der Ransomware-Zwischenfälle im Jahr 2021 weiter anstieg: 3.729 Zwischenfälle wurden an das IC3 gemeldet – eine Zunahme von 51 % im Vorjahresvergleich. Zudem ist die Summe der finanziellen Verluste, die das IC3 Ransomware-Angriffen zuordnet (mehr als 49 Millionen US-Dollar), im Jahr 2021 um 69 % höher als die Summe aus dem Vorjahr.
Dabei sollte jedoch beachtet werden, dass die finanziellen Verluste für das letzte Jahr künstlich niedrig gehalten wurden, da darin laut IC3 keine Angaben zu Lohn-, Dateien- und Geräteverlusten oder Aufwendungen für Behebungsdienste enthalten sind. Die Summe von 49 Millionen US-Dollar steht nur für das, was Unternehmen und Verbraucher dem IC3 gemeldet haben, und umfasst keine direkten Meldungen bei FBI-Außenstellen. Die wahre Zahl der Ransomware-Zwischenfälle und die damit verbundenen Verluste für das Jahr 2021 sind daher vermutlich sehr viel höher.
Zudem wird im Bericht zu Internetkriminalität festgestellt, dass sich „die Ransomware-Taktiken und -Techniken 2021 nochmals weiterentwickelt haben, was die zunehmende technologische Raffinesse der Ransomware-Akteure und die gestiegene Bedrohung durch Ransomware für Unternehmen weltweit verdeutlicht“. Laut dem IC3 waren die drei wichtigsten Erstinfektionsvektoren für Ransomware-Zwischenfälle im letzten Jahr Phishing-E-Mails, RDP-Missbrauch (Remote Desktop Protocol) und die Ausnutzung von Software-Schwachstellen.
Angesichts der Zunahme an Ransomware-bezogenen Zwischenfällen und der zunehmenden Mitwirkung opportunistischer Erstzugriffsvermittler an der Verteilung von Schadsoftware sollten Unternehmen früher in der Angriffskette ansetzen und verstärkt in Präventionsmaßnahmen investieren. Die effektivste Methode zur Abwehr von Ransomware ist der Schutz des E-Mail-Kanals und das Ausschalten von Bedrohungen in einer frühen Phase der Angriffskette.
IC3-Bericht des FBI unterstreicht Bedeutung eines personenzentrierten Sicherheitsansatzes
Um ihre Kampagnen vorzubereiten, zu aktivieren und voranzutreiben, setzen viele Angreifer heute verstärkt auf Social-Engineering-Techniken, mit denen sie Mitarbeiter ins Visier nehmen. Die Ergebnisse des neuesten FBI IC3-Berichts zu Internetkriminalität machen deutlich, dass Unternehmen bei der Bekämpfung von Bedrohungen, die durch Mitarbeiter ausgelöst werden, einen personenzentrierten und mehrschichtigen Plattformansatz wählen müssen.
Proofpoint kann Ihr Unternehmen dabei unterstützen, mit einer integrierten Bedrohungsschutz-Plattform Sicherheitsrisiken zu minimieren und E-Mail- sowie Cloud-Bedrohungen zu stoppen, die sich gegen Ihre Mitarbeiter richten. Zudem bietet Ihnen unsere Plattform einen Überblick über die Risiken Ihrer Mitarbeiter und unterstützt Sie bei der Schulung Ihrer Anwender, um diese gegenüber den modernen hochentwickelten Bedrohungen resilienter zu machen.
Weitere Informationen zu unseren Lösungen zum Schutz vor BEC- und EAC-Betrug finden Sie auf dieser Seite.