E-Mail-Betrug, der auch als Business Email Compromise (BEC) bezeichnet wird, ist heute eine der größten Cyberbedrohungen, so die Ergebnisse der aktuellen Studie "Understanding Email Fraud Survey" der Cybersecurity-Firma Proofpoint. Die Studie zeigt auf, dass 82 Prozent der weltweit befragten Unternehmen von E-Mail-Betrug betroffen sind und mehr als die Hälfte (59 Prozent) diese Cyberbedrohung als ein Top-Sicherheitsrisiko einstufen. E-Mail-Betrug, bei dem Cyberkriminelle sich beispielsweise als Vorgesetzte ausgeben, ist bereits heute weit verbreitet und für die Täter bestechend einfach einzusetzen.
Bei diesen Social-Engineering-Attacken wird versucht, die Menschen anstatt die Technologie auszunutzen. Die Angriffe sind dabei äußerst gezielt: Sie verwenden keine Anhänge oder URLs, werden nur in geringer Anzahl verteilt und imitieren Personen in Führungspositionen. Diese und weitere Faktoren erschweren die Erkennung von E-Mail-Betrug und die Abwehr mithilfe herkömmlicher Sicherheits-Tools.
E-Mail-Betrug nutzt menschliches Verhalten aus – Angst, das Bedürfnis zu gefallen und vieles mehr –, um Geld zu stehlen und Mitarbeitern, Kunden sowie Geschäftspartnern wertvolle Informationen zu entlocken. Um die Auswirkungen von E-Mail-Betrug auf die betroffenen Unternehmen besser zu verstehen, gab Proofpoint eine Umfrage unter mehr als 2.250 IT-Entscheidungsträgern aus den USA, Großbritannien, Australien, Deutschland und Frankreich in Auftrag. Die Umfrage wurde vom Marktforschungsunternehmen Censuswide vom 6. bis 18. Januar 2018 unter Unternehmen aus verschiedenen Branchen mit mindestens 200 Mitarbeitern durchgeführt. Aus jedem Land nahmen mehr als 500 Personen an der Umfrage teil (mit Ausnahme von Australien, wo nur 250 Menschen teilnahmen). Für weitere Erkenntnisse wurden von eigenen Analysten mehr als 160 Milliarden E-Mails analysiert.
E-Mail-Betrug nimmt rasant zu
E-Mail-Betrug, zu dem eine Reihe von Angriffen und Techniken gezählt werden, war im Jahr 2017 weit verbreitet. Die Attacken beginnen meist mit einer E-Mail oder einer E-Mail-Serie, die scheinbar von einem leitenden Angestellten oder einem Geschäftspartner stammt. In der E-Mail wird der Empfänger gebeten, Geld zu überweisen oder vertrauliche Informationen zu übermitteln. Bei dieser Betrugsform werden weder schädliche Dateianhänge noch URLs verwendet, sodass sie unter Umständen schwer zu erkennen und aufzuhalten ist.
E-Mail-Betrug kann selbst erfahrene Benutzer aufs Glatteis führen. Beispielsweise wird ein Mann aus Litauen beschuldigt, im Juli 2017 bei mehreren Angriffen auf Google und Facebook insgesamt mehr als 100 Millionen US-Dollar gestohlen zu haben. Der Litauer soll sich als Anbieter in den Lieferketten von Unternehmen ausgegeben haben.
Auch wenn die Angriffe weiterhin sehr gezielt erfolgen, wurden sie häufiger und gegen mehr Unternehmen als im Jahr 2016 gestartet. Laut der Analyse des Expertenteams ist die Zahl der Unternehmen, die bereits mindestens einen E-Mail-Betrugsangriff verzeichnet haben, stetig gestiegen und erreichte im 4. Quartal einen neuen Höchststand von 88,8 Prozent.
Die Umfrage von Censuswide spiegelt dies wider. Etwa 75 Prozent der befragten Unternehmen gaben an, dass sie in den letzten zwei Jahren mindestens einen E-Mail-Betrugsversuch verzeichneten. Mehr als zwei Fünftel (41 Prozent) gaben an, dass sie mehrfach angegriffen wurden.
Deutschland wurde am seltensten angegriffen: Nur etwa 63 Prozent der Umfrageteilnehmer gaben an, dass sie in den letzten zwei Jahren mindestens einen E-Mail-Betrugsversuch verzeichneten. Demgegenüber stehen die USA, wo 84 Prozent mindestens einen Angriff meldeten, gefolgt von Australien mit fast 80 Prozent. Die Studienautoren fanden keine Hinweise auf einen Zusammenhang zwischen Unternehmensgröße und Angriffswahrscheinlichkeit. Mit anderen Worten: Alle Unternehmen sind gefährdet.
Sensibilisierung der Mitarbeiter hat zugenommen
Da E-Mail-Betrug bei immer mehr Unternehmen ins Zentrum der Aufmerksamkeit rückt, rechnen auch immer mehr mit Angriffen. Insgesamt gaben 77 Prozent der Umfrageteilnehmer an, dass ihr Unternehmen "wahrscheinlich" oder "sehr wahrscheinlich" im nächsten Jahr von einem E-Mail-Betrugsversuch betroffen sein wird. Unternehmen in den USA sind in dieser Frage am pragmatischsten – 83,4 Prozent erwarten einen Angriff.
Am optimistischsten waren deutsche Unternehmen, von denen nur 66,4 Prozent mit einem Angriff rechnen. In beiden Fällen liegt die Zahl im Bereich der tatsächlichen Angriffe in den letzten beiden Jahren. Trotz eines wachsenden Bewusstseins für diese Bedrohung rechnet ein Siebtel der Umfrageteilnehmer nicht mit einem Angriff im nächsten Jahr.
Schmerzhafte Auswirkungen
Die Auswirkungen von E-Mail-Betrug treten nicht sofort ein, sind jedoch meist schwerwiegend. Neben direkten finanziellen Verlusten, die erheblich sein können, kann E-Mail-Betrug den Geschäftsbetrieb stören und zu Datenverlusten sowie zu umfassenden Entlassungen führen.
Laut 55,7 Prozent der Umfrageteilnehmer, die einen E-Mail-Betrugsversuch erlebt hatten, war die Unterbrechung der Geschäftsabläufe die häufigste Auswirkung. Dabei wurde der Finanzsektor am stärksten getroffen: Hier störten 63 Prozent der E-Mail-Betrugsversuche den Geschäftsbetrieb. Nach Region betrachtet mussten Unternehmen in den USA mit 61 Prozent die meisten Unterbrechungen hinnehmen, während deutsche Unternehmen mit lediglich 49 Prozent am seltensten betroffen waren.
In einem Drittel der E-Mail-Betrugsversuche verleitete der Cyberkriminelle das Opfer dazu, Geld zu überweisen. In etwa der Hälfte der Fälle verlor das Unternehmen vertrauliche Daten.
Und bei fast 25 Prozent der Angriffe wurden die betreffenden Mitarbeiter entlassen. Hier taten sich US-Unternehmen hervor und entließen in fast 40 Prozent der Vorfälle die als verantwortlich ausgemachte Person. In Frankreich hingegen gelten strenge Kündigungsschutzregeln, sodass Entlassungen hier äußerst selten waren.
Abb. 01: Welche Auswirkungen hatten die E-Mail-Angriffe auf Ihr Unternehmen in den letzten zwei Jahren?
Finanzabteilung besonders gefährdet
Cyberkriminelle beschränken sich nicht mehr auf CEO-zu-CFO-Betrug, bei dem sie sich als Geschäftsführer ausgeben und versuchen, den Finanzleiter zu einer Geldüberweisung zu verleiten. Jetzt übernehmen sie weitere Identitäten und greifen ein größeres Spektrum an Mitarbeiterrollen im Zielunternehmen an.
Nach konstanten Zahlen in den ersten drei Quartalen des Jahres 2017 hat sich laut der Analyse die durchschnittliche Zahl gefälschter Identitäten im 4. Quartal mehr als verdoppelt (auf ca. 10 Identitäten).
Die Unternehmen registrieren eine ähnliche Entwicklung. In der Censuswide-Umfrage erklärte mehr als die Hälfte der Teilnehmer (55 Prozent), dass ihre Finanzabteilung am stärksten durch E-Mail-Betrug gefährdet ist. Das ist kaum überraschend, da die Angreifer an das Geld wollen. Doch 43 Prozent der Umfrageteilnehmer sehen als potenzielle Ziele auch die Buchhaltung, gefolgt von der Unternehmensleitung (37 Prozent) und dem Mitarbeiterstamm allgemein (33 Prozent).
Das Problembewusstsein ist bei Unternehmen in den USA anscheinend am stärksten ausgeprägt. Zudem schätzen sie die Gefahr einer Attacke auf einen Mitarbeiter, unabhängig von dessen Abteilungszugehörigkeit, von allen Befragten als am höchsten ein. Ebenso wie in Deutschland (61 Prozent) wird auch hier die Finanzabteilung als am stärksten gefährdet betrachtet (62 Prozent). Französische Unternehmen wiederum sehen ihre Geschäftsleitung mit 52 Prozent doppelt so oft als potenzielles Ziel wie Unternehmen in Australien (26 Prozent) und Deutschland (28 Prozent).
Abb. 02: Wer in Ihrem Unternehmen wird Ihrer Meinung nach am wahrscheinlichsten gefälschte E-Mails erhalten, die vorgeblich von einem anderen Mitarbeiter stammen?
Download Studie