Proofpoint-Studie

E-Mail-Betrug bei deutschen Unternehmen

Cyberkriminelle setzen bei ihren Angriffen immer weniger auf technische Fehler in der IT-Infrastruktur wie Programmierfehler in Software, sondern konzentrieren sich darauf, menschliche Schwächen zu adressieren.

An erster Stelle steht dabei die CEO-Betrugsmasche (Business E-Mail Compromise, BEC-Fraud): Die Betrüger gehen bei ihren Attacken sehr gezielt vor und verwenden keine Anhänge und eher selten URLs. Als Absender getarnt, täuschen sie Empfängern dabei eine Person in Führungsposition des Unternehmens vor. Firewalls und Antiviren-Software bieten keinen probaten Schutz, da diese Text-Nachrichten ohne Code nicht entdecken. Auf diese Weise können Schäden in Millionenhöhe entstehen, wie kürzlich bei Lazio Rom, einem italienischen Fußball-Erstligisten, oder vor zwei Jahren beim Automobilzulieferer Leonie.

Dies sind aber keineswegs Einzelfälle, sondern ein weltweit zunehmendes Phänomen. Der US-amerikanische Cybersecurity-Spezialist Proofpoint hat sich daher mit der Wahrnehmung und Betroffenheit der Unternehmen mit BEC-Fraud beschäftigt und dabei Unternehmen in Deutschland, den USA, Großbritannien, Frankreich und Australien befragt. Die Ergebnisse der Studie „E-Mail-Betrug erklärt“ hat Proofpoint jetzt veröffentlicht.

Die Ergebnisse der Studie zeigen, dass deutsche Unternehmen seltener mit BEC-Angriffen konfrontiert werden als Unternehmen aus einem der vier anderen genannten Länder – zunächst ist das eine gute Nachricht. Allerdings beeinflussen diese Angriffe den Geschäftsbetrieb erheblich. Das reicht von Ausfallzeiten über finanzielle Einbußen bis hin zur Entlassung von Mitarbeitern, die auf den perfiden Betrugsversuch hereingefallen sind. Dennoch kann man nicht nur die Mitarbeiter dafür verantwortlich machen. Möglicherweise ist hierzulande – trotz der Berichterstattung in den Medien – noch längst nicht allen Führungskräften klar, wie groß die Bedrohung wirklich ist. In den USA befasst sich in 91 von 100 Unternehmen die Geschäftsführung mit der Problematik des Betrugsversuchs, in Deutschland sind es nur 77.

Und noch ein anderes Ergebnis spricht für eine gewisse Sorglosigkeit und Fahrlässigkeit insbesondere in Deutschland. Bei der Implementierung von Sicherheitsmaßnahmen zum Schutz vor E-Mail-Betrug belegt Deutschland im Vergleich der fünf befragten Länder den letzten Platz. Zwar setzen heute auch international insgesamt weniger als die Hälfte der befragten Unternehmen entsprechende Technologien (z. B. E-Mail-Authentifizierung und -verifizierung) ein. Die Werte variieren jedoch sehr stark: In den USA nutzen schon sechs von zehn Unternehmen entsprechende Sicherheitslösungen, in Deutschland sind es nur halb so viele.

Es gibt also noch einiges zu tun, um die Sicherheit auf Seiten der Infrastruktur zu verbessern. Doch sollten sich die Verantwortlichen in Unternehmen, Ämtern und Organisationen bewusst sein: Die Mitarbeiter müssen nicht nur für die Nutzung der IT geschult, sondern auch für die Gefahren durch intelligente Angriffe von Cyberkriminellen sensibilisiert werden. Zwar unterstützt die Technik die Abwehr solcher Angriffe. Dies wird aber nur dann umfassend erfolgreich sein, wenn sowohl die IT als auch die Mitarbeiter ihren Teil dazu beitragen.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.