Startseite > Security > Es gibt mehr zu tun, als nur bekannte Lücken zu schließen

Phishing-Angriffe

Es gibt mehr zu tun, als nur bekannte Lücken zu schließen

8. Mai 2023, 9:30 Uhr | Autor: Bert Skaletski / Redaktion: Diana Künstler

Jedes Jahr versuchen Bedrohungsakteure mit neuen Methoden, ihre Opfer hinters Licht zu führen und Schutzmaßnahmen zu umgehen. Der neunte jährliche State of the Phish-Bericht von Proofpoint beleuchtet unter anderem die Auswirkungen für deutsche Unternehmen.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Wie haben sich Phishing-Angriffe zuletzt entwickelt?
Welche (finanziellen) Schäden können Phishing-Angriffe auf Unternehmen hierzulande nach sich ziehen?
Was können Sicherheitsteams gegen Phishing-Versuche unternehmen?
Was sollten Unternehmen beachten, wenn sie Mitarbeiter in Sachen Cybersicherheit schulen?
Was zeichnet darüber hinaus die derzeitige Cyberbedrohungslandschaft aus?
Was gehört zu einer nachhaltigen Cyberverteidigung?

Zahllose Sicherheitsexperten waren davon überzeugt, dass das vergangene Jahr für die meisten Unternehmen so etwas wie eine Rückkehr zum „Normalzustand“ bringen würde. Vater des Gedankens war vermutlich die nachlassende Anspannung durch die Corona-Pandemie sowie das wachsende Vertrauen in die hybriden Systeme, welches die Experten in den vergangenen Jahren entwickeln konnten. Allerdings haben sich auch die Angreifer an die neuen Rahmenbedingungen angepasst und nutzen die größer gewordenen Angriffsflächen. Neben den bekannten gehen sie nun auch neue Wege, um ihre Attacken erfolgreich abzuschließen. Ihr Ziel bleibt unverändert: Abwehrmechanismen zu durchbrechen und Daten zu stehlen.

Wie der kürzlich veröffentlichte State of the Phish Report 2023 von Proofpoint¹ zeigt, wird die Bedrohungslandschaft weiterhin von E-Mail-basierten Angriffen dominiert. Weltweit mussten acht von zehn Unternehmen, die im letzten Jahr mit E-Mail-Attacken konfrontiert waren, mindestens einen erfolgreichen E-Mail-Phishing-Angriff erleben – hierzulande betraf dies sogar 89 Prozent. Erschwerend kommt hinzu, dass rund ein Drittel (31 Prozent) von direkten finanziellen Schäden als Folge der Attacken berichtete. Dies markiert einen deutlichen Anstieg im Vergleich zu 2021: Damals gaben nur 14 Prozent der deutschen Unternehmen an, direkte finanzielle Verluste infolge von Phishing-Angriffen erlebt zu haben.

Sicherheitsteams können nur wenig tun, um Cyberkriminelle daran zu hindern, ihr Unternehmen ins Visier zu nehmen. Sie sollten allerdings immer bedenken, dass der Mensch das größte Einfallstor für Cyberangriffe darstellt. Dies ist auch der Grund dafür, warum die meisten Angriffe auf Benutzer und nicht auf die technische Unternehmensinfrastruktur abzielen. Dieser Umstand ist zwar schon seit geraumer Zeit kein Geheimnis mehr, dennoch wird noch zu selten entsprechend dieser Erkenntnis gehandelt.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Mangelnde Mitarbeiterkenntnisse angehen

Das Verständnis der CISOs für die Risiken von Remote- und Hybridumgebungen hat sich in den letzten Jahren weiter verbessert. Und viele Security-Verantwortliche haben sich in der Folge darauf konzentriert diese Konfigurationen bestmöglich zu schützen, nachdem sie zu Beginn der Covid-19-Pandemie Anfang 2020 abrupt eingeführt wurden, um den Geschäftsbetrieb sicherzustellen. Neben der Einführung innovativer, technischer Lösungen zum Schutz dieser Umgebungen vor Cyberattacken bildete die Schulung der eigenen Mitarbeiter einen Eckpfeiler der zugehörigen Verteidigungsstrategie. Haben sich seither also das Sicherheitsbewusstsein und das Verständnis der Benutzer für grundlegenden Security-Aspekte verbessert?

Um es kurz zu machen: leider nein. Wieder einmal zeigt sich, dass es vielerorts an einem grundlegenden Verständnis für gängige Cyberbedrohungen mangelt. Mehr als ein Drittel der Befragten in Deutschland konnte laut dem State of the Phish Report Malware oder Phishing nicht korrekt zuordnen (38 Prozent beziehungsweise 47 Prozent). Und nur 33 Prozent der Umfrageteilnehmer wussten, was unter Ransomware zu verstehen ist. Die Ursachenforschung dauert in diesem Zusammenhang nicht sehr lange, denn laut Studie betreiben zwar fast alle Unternehmen ein Schulungsprogramm, aber nur 56 Prozent schulen ausnahmslos alle Mitarbeiter gleichermaßen. In der Folge ist rund die Hälfte der Unternehmen schlecht aufgestellt und kann sich nicht darauf verlassen, dass ihre Mitarbeiter Cyberbedrohungen erkennen und abwehren können. Und selbst bei Unternehmen, die ihre Angestellten regelmäßig schulen, ist mit 27 Prozent die Fehlerquote nach der Einführung eines Schulungsprogramms gleichgeblieben.

Weil sich Angreifer immer perfiderer Methoden bedienen und sich verstärkt auf Menschen als Ziel ihrer Attacken konzentrieren, muss dieser Entwicklung schnell Rechnung getragen werden. Die gute Nachricht lautet: Drei Viertel der Unternehmen führen formal bereits Schulungen zur Sensibilisierung ihrer Angestellten für Cyberbedrohungen durch. Selbst, wenn diese nicht umfassend genug sind, wird bereits Zeit für die Ausbildung vorgehalten. Es ist also lediglich an den Verantwortlichen, ihre Schulungen umzustrukturieren und an die tatsächlichen Erfordernisse anzupassen. Sie müssen ihre Programme nicht von Grund auf neu implementieren.

Bei der Strategie müssen die Security-Teams darauf achten, dass sie kontextbezogene Schulungen anbieten. Die Benutzer müssen verstehen, wie sie moderne, hochentwickelte Bedrohungen, die derzeit zu beobachten sind, erkennen und darauf entsprechend reagieren können. Simulationen, die reale Vorlagen nutzen, sind ein wirksames Mittel, um dies zu erreichen. Allerdings wird diese Schulungsmethode lediglich von 35 Prozent der Unternehmen weltweit eingesetzt. Trotz knapper werdender Budgets sind Einsparungen bei der Cybersicherheit keine gute Idee. Insbesondere, weil die Bedrohungslandschaft immer gefährlicher wird, ist ein dedizierter Fokus erforderlich, um sicherzustellen, dass die Cyberabwehr einer Organisation ihrer Aufgabe gewachsen ist.

Wachsende Bedrohungslandschaft

Erfahrene Cybersicherheitsexperten dürften von den Entwicklungen der aktuellen Bedrohungslandschaft kaum überrascht sein. Nach wie vor sind Phishing, Business Email Compromise (BEC, auch CEO-Betrug genannt), Ransomware und andere Bedrohungen weit verbreitet. Allerdings haben viele Cyberkriminelle ihre Angriffe in jüngster Zeit intensiviert, um maximalen Schaden anzurichten.

Weltweit waren im vergangenen Jahr mehr als zwei Drittel (67 Prozent) aller Unternehmen mit einer Ransomware-Attacke konfrontiert. In Deutschland betraf dies sogar 86 Prozent, und 63 Prozent davon erlebten eine aus Sicht der Angreifer erfolgreiche Infektion ihrer Systeme. Dass hierzulande 95 Prozent der betroffenen Organisationen im Vorfeld eine Cyber-Versicherungspolice für Ransomware-Schäden abgeschlossen hatten, und die meisten Versicherer bereit waren, das Lösegeld entweder teilweise oder vollständig zu zahlen (87 Prozent), erklärt die hohe Zahlungsbereitschaft. 81 Prozent der infizierten deutschen Unternehmen haben mindestens einmal Lösegeld gezahlt. Allerdings erhielt weniger als die Hälfte (41 Prozent) der Unternehmen im Anschluss an eine erste Lösegeldzahlung wieder Zugriff auf ihre Daten. International konnte immerhin noch rund die Hälfte der Betroffenen nach einer einzigen Zahlung wieder über ihre Daten verfügen.

Zu einer nachhaltigen Cyberverteidigung gehört weitaus mehr, als bekannte Lücken zu schließen. Ganz gleich, welcher Angreifer ein Unternehmen als nächstes ins Visier nimmt, ist es von fundamentaler Bedeutung für eine wirksamen Cybersicherheitsstrategie, ein Verständnis für die Vorgehensweise der Cyberkriminellen zu entwickeln und sich mit neuen Bedrohungen zu befassen.

Auch mit einem weiteren alten Bekannten in der Bedrohungslandschaft haben Security-Profis zu kämpfen. Die Rede ist von BEC. Drei Viertel aller Unternehmen weltweit waren im vergangenen Jahr von einem entsprechenden Angriffsversuch betroffen, deutsche Unternehmen insbesondere: Ganze 86 Prozent der Organisationen berichteten von versuchten BEC-Attacken.

Darüber hinaus prägen noch immer Insider-Bedrohungen und die Folgen der Covid-19-Pandemie die derzeitige Cybersicherheitslage. Mobiles und hybrides Arbeiten verstärken die Risiken, die mit fahrlässigen bezieungsweise böswilligen Insidern einhergehen, weil sie unter den gegebenen Umständen ihre Handlungen einfacher verbergen zu können glauben. Da derzeit besonders viele Angestellte ihren Arbeitgeber wechseln, ergibt sich in der Folge ein erhebliches Risiko für einen Datenverlust aufseiten der Unternehmen. Einen solchen Datenverlust aufgrund von Insider-Aktivitäten mussten im vergangenen Jahr rund zwei Drittel der Unternehmen weltweit erleben, in Deutschland sogar 81 Prozent. Von den 26 Prozent aller Angestellten, die hierzulande im vergangenen Jahr ihren Arbeitsplatz gewechselt haben, gaben zwei von drei (66 Prozent) an, dass sie im Zuge ihres Jobwechsels Daten mitgenommen haben.

Zudem entwickeln und verwenden Cyberkriminelle immer komplexere E-Mail-Bedrohungen. Im vergangenen Jahr wurden täglich Hunderttausende von Phishing-Nachrichten zur Umgehung von Multi-Faktor-Authentifizierung (MFA) verschickt und zahllose Telefonattacken (Telephone-Oriented Attack Delivery, TOAD) durchgeführt, von denen fast alle befragten Unternehmen betroffen waren. Insbesondere die Methoden der Angreifer, die darauf abzielen, MFA zu umgehen, bergen für Organisationen große Risiken, da viele gerade auf diese Methode setzen, um hochsensible Konten und Netzwerke zu schützen. All diese Entwicklungen zeichnen ein deutliches Bild: Cyberkriminelle, die viel Zeit darauf verwenden, hartnäckig neue Wege zur Umgehung von Schutzmaßnahmen zu finden, und Cybersicherheitsteams, die sich in einem nicht enden wollenden Wettrüsten gefangen sehen.

Im Wettrüsten die Oberhand behalten

Zu einer nachhaltigen Cyberverteidigung gehört weitaus mehr, als bekannte Lücken zu schließen. Ganz gleich, welcher Angreifer ein Unternehmen als nächstes ins Visier nimmt, ist es von fundamentaler Bedeutung für eine wirksamen Cybersicherheitsstrategie, ein Verständnis für die Vorgehensweise der Cyberkriminellen zu entwickeln und sich mit neuen Bedrohungen zu befassen. Je mehr die Mitarbeiter eines Unternehmens über potenzielle Angriffe wissen, wie sie ihnen begegnen können und welche Rolle sie selbst bei der Abwehr dieser Attacken spielen, umso besser sind sie in der Lage, das Unternehmen und seine Daten zu schützen.

In einem ersten Schritt sollten Security-Verantwortliche herausfinden, wer innerhalb der Organisation am stärksten gefährdet ist, sei es aufgrund mangelnder Cyberkenntnisse oder eines hohen Gefährdungsgrads beispielsweise aufgrund weitreichender Befugnisse. Nur auf diese Weise lassen sich Ressourcen zielgerichtet auf die Bereiche konzentrieren, in denen sie am dringendsten benötigt werden. Zudem muss dafür Sorge getragen werden, dass alle Angestellten des Unternehmens regelmäßig kontextbezogene Schulungen durchlaufen, um das Sicherheitsbewusstsein der gesamten Belegschaft zu schärfen.

Im Ergebnis führen diese Maßnahmen zu einer gestärkten Sicherheitskultur am Arbeitsplatz, die Mitarbeiter dazu motiviert, langfristig Security-Gewohnheiten zu entwickeln und diese im Arbeitsalltag umzusetzen. Letztlich wird dadurch die gesamte Organisation sicherer, egal, welche Attacke als nächstes auf die Mitarbeiter abzielt.

Bert Skaletski, Resident CISO, EMEA bei Proofpoint

^{1 https://www.proofpoint.com/de/resources/threat-reports/state-of-phish}