Der State of the Phish-Bericht 2020 von Proofpoint bietet umfangreiche Einblicke in den aktuellen Stand der Phishing-Bedrohung.
Heute möchten wir einen Teilbereich des Berichts herausgreifen und näher beleuchten. So wurden für den Report 600 IT-Sicherheitsexperten aus den USA, Australien, Frankreich, Deutschland, Japan, Spanien und Großbritannien zu den folgenden Phishing- und Social-Engineering-Problemen befragt:
• Wie viele Phishing-Angriffe waren erfolgreich und welchen Konsequenzen hatten sie
• Das Aufkommen von Spearphishing-Angriffen sowie Business Email Compromise-Attacken (BEC) im Jahr 2019
• Auftreten von Ransomware-Infektionen im Jahr 2019 sowie der Umgang mit Lösegeldforderungen
• Berechnungsmethode für die Kosten von Phishing-Angriffen
• Maßnahmen für Schulungen zur Steigerung des Sicherheitsbewusstseins
Phishing im Jahr 2019 – eine Bestandsaufnahme
Mehr als die Hälfte (ca. 60 %) der weltweiten Umfrageteilnehmer verzeichneten im Jahr 2019 genauso viele oder weniger Phishing-Angriffe als 2018. Das passt zu einer Entwicklung, die wir (und andere) schon seit einer Weile beobachten: Angreifer konzentrieren sich vermehrt auf Qualität statt Quantität.
So wählen Cyberkriminelle immer häufiger gezielte und personalisierte Angriffe statt Massen-Kampagnen, was sich auch in der Zahl gezielter Attacken auf die Unternehmen unserer Umfrageteilnehmer im Jahr 2019 widerspiegelt:
- 88 % der befragten Unternehmen berichten von Spearphishing Angriffen.
- 86 % der Unternehmen waren 2019 mit BEC (Business Email Compromise, auch Chef-Masche genannt) konfrontiert.
Angriffsversuche sind jedoch nicht gleichzusetzen mit erfolgreichen Angriffen. Mehr als die Hälfte (55 %) der Umfrageteilnehmer berichten zudem, dass ihr Unternehmen im Jahr 2019 mindestens einen – für den Cyberkriminellen – erfolgreichen Phishing-Angriff verzeichnete.
Ransomware: Griff nach den Schlagzeilen (und Bankkonten) im Jahr 2019
Aus Sicht der Angreifer besteht der Vorteil einer erfolgreichen Ransomware-Infektion darin, dass sie die Opfer unter Zeitdruck setzt. Unternehmen aus dem Gesundheitswesen sowie staatliche und lokale Behörden wurden 2019 besonders hart getroffen. Ransomware kann kritische Infrastrukturen lahmlegen und wichtige (oder sogar lebenswichtige) Dienste können nicht mehr aufrechterhalten werden.
In einer solchen Situation kann ein Unternehmen schnell zu dem Schluss gelangen, dass die Zahlung des Lösegeldes die zweckmäßigste – und preiswerteste – Methode ist, den Betrieb wieder aufzunehmen.
• 33 % der Unternehmen wurden mit Ransomware infiziert und zahlten das Lösegeld.
• 32 % wurden infiziert, zahlten das Lösegeld jedoch nicht.
Von den Unternehmen, die das Lösegeld zahlten, lernten viele sehr schnell eine alte Lektion: Es gibt keine Ehre unter Dieben. Von denjenigen, die mit den Angreifern verhandelten, wurden neun Prozent mit weiteren Lösegeldforderungen konfrontiert, und 22 Prozent erhielten nie Zugang zu ihren Daten, auch nicht nach Zahlung des Lösegeldes.
Phishing: Die Kostentreiber
Abgesehen von all ihren unmittelbaren Auswirkungen führen erfolgreiche Phishing-Angriffe stets auch zu finanziellen Einbußen. Der größte Teil (93 %) der Umfrageteilnehmer gab an, dass ihr Unternehmen diese Kosten in einem gewissen Maße erfasst.
Unternehmen nehmen u.a. folgende Kostenfaktoren in die Berechnung auf:
- Ausfallzeiten für Anwender
- Rufschädigung
- Geschäftliche Folgen durch den Verlust geistigen Eigentums
- Direkte finanzielle Verluste (z. B. durch Ransomware oder Überweisungsbetrug)
- Compliance-Probleme/Geldbußen
- Kosten durch Vorfallreaktion und Abhilfemaßnahmen (z. B. externe Forensik)
- Umsatzverlust durch Ausfallzeiten/verlorene Kunden
- Gerichts- und Anwaltskosten
Schulungen ergänzen technische Maßnahmen
Technische Maßnahmen sind zwar ein unverzichtbarer Teil der Cybersicherheit, können jedoch nicht beeinflussen, wie Menschen sich verhalten. Cyberkriminelle suchen und finden Möglichkeiten, die Anwenderebene zu infiltrieren.
Eine Schulung der Anwender ist deshalb unverzichtbar.
Weitere Details aus dem State of the Phish Bericht 2020 finden Sie hier zum kostenlosen Download.
Mehr Informationen über Security Awareness Schulungen von Proofpoint: https://www.proofpoint.com/de/products/security-awareness-training