Proofpoint-Studie

E-Mail-Betrug bei deutschen Unternehmen

| Redakteur: Peter Schmitz

Immer wieder werden Fälle bekannt, in denen große Unternehmen mittels gefälschter Nachrichten um Millionenbeträge betrogen wurden.
Immer wieder werden Fälle bekannt, in denen große Unternehmen mittels gefälschter Nachrichten um Millionenbeträge betrogen wurden. (Bild: Pixabay / CC0)

Cyberkriminelle setzen bei ihren Angriffen immer weniger auf technische Fehler in der IT-Infrastruktur wie Programmierfehler in Software, sondern konzentrieren sich darauf, menschliche Schwächen zu adressieren. Aufgrund der steigenden Qualität der Programme und Betriebssysteme erscheint dies als ein einfacher Weg, um illegal an geistiges Eigentum, Geld oder persönliche Daten zu gelangen.

An erster Stelle steht dabei die CEO-Betrugsmasche (Business E-Mail Compromise, BEC-Fraud): Die Betrüger gehen bei ihren Attacken sehr gezielt vor und verwenden keine Anhänge und eher selten URLs. Als Absender getarnt, täuschen sie Empfängern dabei eine Person in Führungsposition des Unternehmens vor. Firewalls und Antiviren-Software bieten keinen probaten Schutz, da diese Text-Nachrichten ohne Code nicht entdecken. Auf diese Weise können Schäden in Millionenhöhe entstehen, wie kürzlich bei Lazio Rom, einem italienischen Fußball-Erstligisten, oder vor zwei Jahren beim Automobilzulieferer Leonie.

Dies sind aber keineswegs Einzelfälle, sondern ein weltweit zunehmendes Phänomen. Der US-amerikanische Cybersecurity-Spezialist Proofpoint hat sich daher mit der Wahrnehmung und Betroffenheit der Unternehmen mit BEC-Fraud beschäftigt und dabei Unternehmen in Deutschland, den USA, Großbritannien, Frankreich und Australien befragt. Die Ergebnisse der Studie „E-Mail-Betrug erklärt“ (pdf) hat Proofpoint jetzt veröffentlicht.

Die Ergebnisse der Studie zeigen, dass deutsche Unternehmen seltener mit BEC-Angriffen konfrontiert als Unternehmen aus einem der vier anderen genannten Länder – zunächst ist das eine gute Nachricht. Allerdings beeinflussen diese Angriffe den Geschäftsbetrieb erheblich. Das reicht von Ausfallzeiten über finanzielle Einbußen bis hin zur Entlassung von Mitarbeitern, die auf den perfiden Betrugsversuch hereingefallen sind. Dennoch kann man nicht nur die Mitarbeiter dafür verantwortlich machen. Möglicherweise ist hierzulande – trotz der Berichterstattung in den Medien – noch längst nicht allen Führungskräften klar, wie groß die Bedrohung wirklich ist. In den USA befasst sich in 91 von 100 Unternehmen die Geschäftsführung mit der Problematik des Betrugsversuchs, in Deutschland sind es nur 77.

Und noch ein anderes Ergebnis spricht für eine gewisse Sorglosigkeit und Fahrlässigkeit insbesondere in Deutschland. Bei der Implementierung von Sicherheitsmaßnahmen zum Schutz vor E-Mail-Betrug belegt Deutschland im Vergleich der fünf befragten Länder den letzten Platz. Zwar setzen heute auch international insgesamt weniger als die Hälfte der befragten Unternehmen entsprechende Technologien (z. B. E-Mail-Authentifizierung und -verifizierung) ein. Die Werte variieren jedoch sehr stark: In den USA nutzen schon sechs von zehn Unternehmen entsprechende Sicherheitslösungen, in Deutschland sind es nur halb so viele.

Es gibt also noch einiges zu tun, um die Sicherheit auf Seiten der Infrastruktur zu verbessern. Doch sollten sich die Verantwortlichen in Unternehmen, Ämtern und Organisationen bewusst sein: Die Mitarbeiter müssen nicht nur für die Nutzung der IT geschult, sondern auch für die Gefahren durch intelligente Angriffe von Cyberkriminellen sensibilisiert werden. Zwar unterstützt die Technik die Abwehr solcher Angriffe. Dies wird aber nur dann umfassend erfolgreich sein, wenn sowohl die IT als auch die Mitarbeiter ihren Teil dazu beitragen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45280930 / Kommunikation)