Phishing-E-Mail-Kampagnen per Social Engineering sind für viele Cyberkriminelle eine beliebte Taktik, denn sie lassen sich leicht durchführen und können sehr lukrativ sein. Wie weiter unten zu sehen ist, können die Verluste für Unternehmen, die von erfolgreichen Phishing-Angriffen betroffen sind, erheblich sein.
Abb. 1: Übersicht der finanziellen Verluste durch Phishing, 2015 und 2021 im Vergleich
Der Ponemon-Bericht zu den Kosten durch Phishing-Angriffe zeigt eine Übersicht über die bei Unternehmen entstandenen jährlichen Kosten und den dramatischen Anstieg der Kosten im Zusammenhang mit Business Email Compromise (BEC, auch als Chefmasche bezeichnet) oder E-Mail-Betrug sowie Ransomware-Angriffen.
Die Kosten durch Phishing-Betrug sind in den letzten Jahren exponentiell gestiegen. Den neuesten Untersuchungen des Ponemon Institute zufolge – enthalten in der von Proofpoint gesponserten Studie zu Kosten durch Phishing-Angriffe 2021 – betragen die durchschnittlichen jährlichen Kosten durch Phishing-Betrug für ein Unternehmen mit 9.600 Mitarbeitern im Jahr 2021 rund 14,8 Millionen US-Dollar oder etwas mehr als 1.500 US-Dollar pro Mitarbeiter. Das ist mehr als das Dreifache des Betrags aus dem Jahr 2015 (3,8 Millionen US-Dollar).
Verschiedene Faktoren tragen zum Anstieg der Kosten durch Phishing bei
Abb. 2: Übersicht zu den erwarteten Kosten durch Malware-Angriffe
Die Kosten durch nicht eingedämmte Malware-Angriffe stellen für Unternehmer ein erhebliches Risiko dar, denn die maximalen Verluste durch Geschäftsunterbrechungen und Datenexfiltration betragen insgesamt mehr als 100 Millionen US-Dollar pro Jahr.
Ein Grund für den Anstieg der Kosten von Phishing-Angriffen ist die unzureichende Eindämmung von Malware. Laut Ponemon macht dies 11 % der Gesamtkosten für Unternehmen aus. Das entspricht etwa 800.000 US-Dollar pro Jahr – verglichen mit rund 340.000 US-Dollar im Jahr 2015. Malware, die sich schwer einzudämmen lässt, wird in der Untersuchung als Malware auf Geräte-Ebene definiert, die traditionelle Abwehrmaßnahmen wie Firewalls, Malware-Schutzlösungen und Eindringungsschutzsysteme umgeht. Aktive Malware-Angriffe, die mit Datenexfiltration und Geschäftsunterbrechungen verbunden sind, lassen sich am schwersten eindämmen.
Die Kosten durch Phishing steigen zudem durch den Produktivitätsverlust der Mitarbeiter jenseits der IT-Abteilung: Laut der Ponemon-Untersuchung sind die Produktivitätsverluste durch Phishing-Betrug von 1,8 Million US-Dollar im Jahr 2015 auf 3,2 Millionen US-Dollar in diesem Jahr gestiegen. Mitarbeiter verlieren nun im Schnitt 7 Stunden Arbeitszeit durch Phishing-E-Mails, im Vergleich zu 4 Stunden vor sechs Jahren.
In der Untersuchung wird davon ausgegangen, dass ein Unternehmen durchschnittlicher Größe über 9.567 Mitarbeiter mit Zugang zum firmeneigenen E-Mail-System verfügt. Ist jede Person sieben Stunden lang durch Phishing-Betrug abgelenkt, bedeutet dies also, dass in diesen Unternehmen wahrscheinlich jedes Jahr mehr als 65.000 Stunden Arbeitszeit durch Phishing verloren gehen.
Zudem kann auch die Bereinigung der Phishing-Betrugsversuche für viele Unternehmen sehr aufwändig und somit kostspielig sein. Laut der Ponemon-Studie, für die fast 600 IT- und IT-Sicherheitsexperten aus Unternehmen in den USA befragt wurden, nehmen bei der Behebung von Phishing-Angriffen die Bereinigung und Instandsetzung der infizierten Systeme sowie forensische Untersuchungen die meiste Zeit in Anspruch.
Anmeldedaten-Kompromittierungen kosten IT-Sicherheitsteams jährlich Tausende Stunden
Abb. 3: Übersicht zu den Kosten durch Anmeldedaten-Kompromittierung verursacht durch Phishing
Laut der Ponemon-Studie bereiten Anmeldedaten-Kompromittierungen IT- und IT-Sicherheitsexperten ebenfalls erhebliche Probleme. In den letzten 12 Monaten traten in Unternehmen durchschnittlich 5,3 Kompromittierungen dieser Art auf.
Auf der Grundlage früherer Erhebungen zum Thema Anmeldedaten-Kompromittierungen gehen die Forscher des Ponemon Institute davon aus, dass IT-Teams 2.050 Stunden mit der Untersuchung und Behebung einer einzelnen Kompromittierung verbringen. Wenn in Unternehmen jährlich etwas mehr als fünf Kompromittierungen auftreten, werden die IT-Verantwortlichen in den nächsten 12 Monaten voraussichtlich beinahe 11.000 Stunden mit der Reaktion auf diese Zwischenfälle verbringen.
Die Ponemon-Studie hat auch gezeigt, dass die durchschnittlichen Kosten für die Eindämmung Phishing-basierter Anmeldedaten-Kompromittierungen von 381,920 US-Dollar im Jahr 2015 auf 692.531 US-Dollar im Jahr 2021 gestiegen sind. Dies ist ein enormer Anstieg gegenüber 2015, während der vermehrte Wechsel zur Cloud und zur Arbeit im Home Office den Unternehmen, die ihre Cloud-Sicherheit verbessern wollen, zusätzliche Schwierigkeiten bereitet.
Business Email Compromise (BEC) oder E-Mail-Betrug trägt wesentlich zu den Kosten durch Phishing-Angriffe bei
Abb. 4: Übersicht zu den Kosten durch BEC-Angriffe
In der neuesten Studie zu Kosten durch Phishing-Angriffe wurde auch analysiert, welche Auswirkungen Business Email Compromise (BEC) auf die Phishing-Kosten für Unternehmen hat. BEC-Angriffe nehmen Mitarbeiter ins Visier, die finanzielle Transaktionen tätigen können oder Zugang zu wertvollen Unternehmensdaten haben. In dieser Untersuchung wurden erstmals BEC-spezifische Daten erfasst.
Laut dem Ponemon Institute betragen die durchschnittlichen jährlichen Phishing-Kosten durch BEC-Angriffe 5,96 Millionen US-Dollar. In einem wahrscheinlichen Maximalverlustszenario müssten Unternehmer potenziell über 150 Millionen US-Dollar aufwenden. Wird das Risiko von den Führungsetagen nicht wahrgenommen, beläuft sich der unter den Umfrageteilnehmern durchschnittlich gezahlte Gesamtbetrag an BEC-Angreifer auf jährlich 1,17 Millionen US-Dollar.
BEC ist zu einer der kostspieligsten Formen von Cyberkriminalität geworden. Im Proofpoint-Handbuch zu Business Email Compromise erfahren Sie, wie Sie sich in sechs Schritten vor dieser Bedrohung schützen können. Laden Sie Ihre kostenlose Ausgabe jetzt herunter.
Ransomware-Angriffe steigen sprunghaft an und kosten Unternehmen Millionen
Abb. 5: Übersicht zu den Kosten durch Ransomware-Angriffe
Ein weiteres neues Element in der Ponemon-Umfrage war die Auswirkung von Ransomware auf den Unternehmensgewinn. Mit wahrscheinlichen maximalen Verlusten von Dutzenden Millionen und Unternehmensausgaben in Millionenhöhe für die Eindämmung von Ransomware sollte die voraussichtliche Zunahme dieser alten Bedrohung bei Unternehmen die Alarmglocken läuten lassen.
Zudem zahlen Unternehmen im Schnitt beinahe 800.000 US-Dollar direkt an die Angreifer, um Zugang zu ihren Daten und Systemen wiederzuerlangen. Wie schon zuvor erläutert, wird Ransomware nicht in jedem Fall durch E-Mails übertragen. Die Abschaltung von Internet-RDP und das Patchen aller Internet-Appliances mit Schwachstellen (z. B. VPNS, Dateiübertragungs-Appliances und Mail-Server) sind wichtige Maßnahmen, mit denen Sie Ihr Unternehmen schützen können.
Während die Kosten durch Phishing-Angriffe steigen und neue Bedrohungen an Boden gewinnen, kommt es darauf an, von Einzellösungen Abstand zu nehmen und eine ganzheitliche Herangehensweise zur Bewältigung dieser Bedrohungen in Betracht zu ziehen.
Ein integrierter Ansatz zum Bedrohungsschutz kann Kosten drastisch reduzieren
Der Bericht zu Kosten durch Phishing-Angriffe 2021 sagt voraus, dass erfolgreiche Phishing-Angriffe weiterhin zunehmen werden, da Unternehmen wegen der COVID-19-Pandemie Schwierigkeiten haben, die Sicherheit der wachsenden Belegschaft im Home Office zu gewährleisten.
Es gibt allerdings einen Hoffnungsschimmer, denn die Untersuchung lässt den folgenden Schluss zu: Wenn Unternehmen in Programme für Sicherheitsbewusstsein und Schulungen investieren, in denen ihre Mitarbeiter lernen, Phishing-Angriffe zu verhindern, können sie nicht nur die Bemühungen der Angreifer zunichtemachen, sondern auch die Gesamtkosten durch Phishing verringern.
Die IT- und IT-Sicherheitsexperten wurden für diese Studie zu Kosten durch Phishing-Angriffe gefragt, um wie viel Prozent sich die Phishing-Kosten schätzungsweise reduzieren lassen, wenn die Mitarbeiter gezielt zu den Risiken durch Phishing-Angriffe geschult würden. Den Antworten zufolge könnten die Kosten im Schnitt um mehr als die Hälfte (53 %) verringert werden.
Zur Steigerung der Sicherheit muss das Unternehmen zudem einen mehrschichtigen Ansatz in Betracht ziehen. Wie effektiv kann Ihr E-Mail-Gateway Bedrohungen stoppen, bevor sie die Mitarbeiter erreichen? Können Bedrohungen nach der Zustellung behoben werden? Verwenden Unternehmen DMARC-Authentifizierung und überwachen sie Betrugsrisiken?
Unternehmen, die einen integrierten Bedrohungsschutzansatz verfolgen, können das Risiko für Phishing minimieren und Betriebskosten optimieren. Diese Forrester-Studie zu den wirtschaftlichen Auswirkungen zeigt, dass ein großer Gesundheitsdienstleister sein Risiko für eine Datenschutzverletzung um über 50 % verringern und dabei jährlich über 2 Millionen US-Dollar einsparen konnte. Durch Automatisierung konnte das Unternehmen zudem Mitarbeiter einsparen und über einen Zeitraum von drei Jahren beinahe 350.000 US-Dollar sparen.
Laden Sie den kostenlosen Bericht herunter, um mehr zu erfahren
Die Ergebnisse der Ponemon-Untersuchung zeigen, dass zu den Auswirkungen auf den Gewinn durch Phishing-Angriffe nicht nur das von den Angreifern erbeutete Geld zählt, sondern auch Verluste bei der Mitarbeiterproduktivität, Belastungen des IT-Teams und die erhöhte Wahrscheinlichkeit für Geschäftsunterbrechungen und Datenschutzverletzungen.
Um alle Ergebnisse der Ponemon Institute-Studie zu lesen – einschließlich Informationen zu den jährlichen geschäftlichen Kosten durch Ransomware-Angriffe und detaillierten Daten zu BEC-Trends –, können Sie die Studie zu Kosten durch Phishing-Angriffe 2021 jetzt herunterladen.