Cyber-Risiken: Angst vor Phishing ist am größten
Das Wissen um Web-Gefahren wie Phishing, Hacking oder Spam ist bei den Usern vorhanden. Die Absicherung gegen entsprechende Risiken ist in Deutschland aber noch gering. Ein Grund: Resignation.
Die Furcht vor finanziellen oder technischen Schäden durch Internetnutzung ist groß: Fast 70 Prozent der über 1.000 befragten User einer YouGov-Studie bewegen sich aufgrund der wahrgenommenen Risiken besonders vorsichtig im Netz. In Bezug auf finanzielle Schäden haben Nutzer demnach die größte Angst vor Phishing (44 Prozent). Hier werden in der Regel persönliche Bankdaten abgefangen. Weitere Sorgen der User sind das Hacken eines Online-Shopping- (43 Prozent) oder Bank-Accounts (41 Prozent).
Wenn es um das technische Risiko geht, fürchten mehr als 40 Prozent der User neben Spam auch eine unabsichtliche Infizierung durch eigene Aktivitäten im Internet, etwa beim Besuch einer Website, beim Download oder durch das Öffnen von Mails.
Absicherung noch gering
Auch wenn die Angst da ist - die selbstständige Absicherung gegen entsprechende Risiken ist derzeit in Deutschland laut YouGov noch gering: Nur jeder zweite Internetnutzer (55 Prozent) schützt sich beispielsweise durch Softwarelösungen oder andere Sicherheits- und Privatsphäre-Funktionen.
Die Mehrheit nutzt dabei Antivirenprogramme (91 Prozent) und Firewalls (78 Prozent). Nur etwa ein Drittel (29 Prozent) setzt auf Verschlüsselungsdienste von Mails oder Dateien. Sind Antivirenprogramme im Einsatz, steht Avira mit 41 Prozent an erster Stelle. Dann folgen Kaspersky (19 Prozent), Norton (16 Prozent), McAfee und Avast (jeweils 12 Prozent). Ad-Aware, Bitdefender, F-Secure oder Panda nutzen jeweils nur zwei Prozent.
Ein Grund für die niedrige technische Absicherung ist den Studienautoren nach die Gleichgültigkeit und die Resignation der Nutzer: Fast die Hälfte (46 Prozent) hält eine Absicherung gegen Gefahren im Internet für überflüssig, da Hacker immer eine Sicherheitslücke finden würden. "Generell unterschätzen vor allem ältere, weniger nutzungsintensive und weniger kompetente Internet-User das Gefahrenpotenzial. Hier können durch Aufklärungsarbeit die Risikowahrnehmung und die Absicherungsbereitschaft deutlich gesteigert werden", mahnt Oliver Gaedeke, Vorstand bei YouGov.
Risiko Digitalisierung: Hackerangriffe und Malware kommen der globalen Wirtschaft teuer zu stehen. 350 Milliarden Euro Schaden entstehen nur durch Cyberkriminalität.
Alarmierende Trends bei Phishing-Angriffen, vor denen man sich 2023 in Acht nehmen sollte
Im Jahr 2020 waren 75 % der Unternehmen weltweit von einem Phishing-Angriff betroffen.
Phishing ist nach wie vor eine der größten Gefahren für das Überleben und den Erfolg Ihres Unternehmens, denn es ist die Hauptangriffsmethode für alle Arten von Cyberattacken.
Eine einzige Phishing-E-Mail kann dafür verantwortlich sein, dass ein Unternehmen von Ransomware heimgesucht wird und kostspielige Ausfallzeiten in Kauf nehmen muss. Es kann auch dazu führen, dass ein Benutzer unwissentlich die Anmeldedaten für ein E-Mail-Konto des Unternehmens weitergibt, die der Hacker dann für gezielte Angriffe auf Kunden nutzt.
Phishing nutzt menschliches Versagen aus, und einige Phishing-E-Mails verwenden ausgeklügelte Taktiken, um den Empfänger dazu zu verleiten, Informationen preiszugeben oder ein Netzwerk mit Malware zu infizieren.
Die Bedrohungen durch mobiles Phishing sind im Jahr 2021 um 161 % angestiegen.
Zu Ihren wichtigsten Schutzmaßnahmen gegen den ständigen Phishing-Angriff gehören:
E-Mail-Filterung
DNS-Filterung
Virenschutz/Anti-Malware der nächsten Generation
Fortlaufende Schulungen für Mitarbeiter zum Thema Cybersicherheit
Um Ihre Mitarbeiter richtig zu schulen und sicherzustellen, dass Ihre IT-Sicherheit auf die neuesten Bedrohungen abgestimmt ist, müssen Sie wissen, welche neuen Phishing-Gefahren auf Sie zukommen.
Hier sind einige der neuesten Phishing-Trends, auf die Sie im Jahr 2022 achten müssen.
PHISHING WIRD ZUNEHMEND PER SMS VERSENDET
Weniger Menschen sind misstrauisch gegenüber SMS als gegenüber unerwarteten E-Mail-Nachrichten. Die meisten Phishing-Schulungen konzentrieren sich in der Regel auf die E-Mail-Form des Phishings, da diese immer am weitesten verbreitet war.
Cyberkriminelle machen sich jedoch die leichte Verfügbarkeit von Mobiltelefonnummern zunutze und nutzen Textnachrichten für Phishing-Angriffe. Diese Art von Phishing (Smishing“ genannt) nimmt immer mehr zu.
Die Menschen erhalten heute mehr Textnachrichten als in der Vergangenheit, was zum großen Teil darauf zurückzuführen ist, dass Einzelhändler und Dienstleistungsunternehmen ihre Textnachrichten mit Verkaufs- und Lieferankündigungen aufpeppen.
Dies macht es für Phishing via SMS noch einfacher, eine Versandmitteilung vorzutäuschen und einen Benutzer dazu zu bringen, auf eine verkürzte URL zu klicken.
BUSINESS-E-MAILS WERDEN IMMER HÄUFIGER KOMPROMITTIERT
Ransomware war in den letzten Jahren eine wachsende Bedrohung, vor allem weil sie für die kriminellen Gruppen, die Cyberangriffe starten, eine große Einnahmequelle darstellt. Eine neue, aufstrebende Form von Angriffen beginnt, recht lukrativ zu sein, und nimmt daher ebenfalls zu.
Die Kompromittierung geschäftlicher E-Mails (Business Email Compromise, BEC) ist auf dem Vormarsch und wird von Angreifern ausgenutzt, um mit Dingen wie Geschenkkartenbetrug und gefälschten Überweisungsanfragen Geld zu machen.
Was BEC so gefährlich (und lukrativ) macht, ist die Tatsache, dass ein Krimineller, der sich Zugang zu einem geschäftlichen E-Mail-Konto verschafft, sehr überzeugende Phishing-Nachrichten an Mitarbeiter, Kunden und Lieferanten des Unternehmens senden kann. Die Empfänger werden der vertrauten E-Mail-Adresse sofort vertrauen, was diese E-Mails zu mächtigen Waffen für Cyberkriminelle macht.
KLEINE UNTERNEHMEN WERDEN IMMER HÄUFIGER ZIEL VON SPEAR-PHISHING
Man ist nie zu klein, um von einem Hacker angegriffen zu werden. Kleine Unternehmen sind häufig das Ziel von Cyberangriffen, weil sie in der Regel über weniger IT-Sicherheit verfügen als größere Unternehmen.
43 % aller Datenschutzverletzungen zielen auf kleine und mittelständische Unternehmen ab, und 40 % der kleinen Unternehmen, die Opfer eines Angriffs werden, müssen mindestens acht Stunden Ausfallzeit in Kauf nehmen.
Spear-Phishing ist eine noch gefährlichere Form des Phishings, da es gezielt und nicht allgemein eingesetzt wird. Es handelt sich um den Typ, der bei einem BEC-Angriff eingesetzt wird.
Früher wurde Spear-Phishing vor allem für größere Unternehmen eingesetzt, da es mehr Zeit in Anspruch nimmt, einen gezielten und maßgeschneiderten Angriff vorzubereiten. Da große kriminelle Gruppen und staatlich gesponserte Hacker ihre Angriffe jedoch immer effizienter gestalten, sind sie in der Lage, leichter jeden anzugreifen.
Dies führt dazu, dass kleine Unternehmen mehr maßgeschneiderte Phishing-Angriffe erleiden, die für ihre Benutzer schwerer als Betrug zu erkennen sind.
DER EINSATZ VON VERMITTLERN FÜR DEN ERSTZUGANG, UM ANGRIFFE EFFEKTIVER ZU MACHEN
Wir haben soeben die Tatsache erörtert, dass große kriminelle Gruppen ihre Angriffe ständig optimieren, um sie noch effektiver zu machen. Sie behandeln Cyberangriffe wie ein Geschäft und arbeiten ständig daran, sie profitabler zu machen.
Eine Möglichkeit, dies zu tun, ist der Einsatz externer Spezialisten, so genannter Initial Access Brokers. Dabei handelt es sich um eine spezielle Art von Hackern, die sich nur darauf konzentrieren, den ersten Zugang zu einem Netzwerk oder Unternehmenskonto zu erhalten.
Der zunehmende Einsatz dieser Experten auf ihrem Gebiet macht Phishing-Angriffe noch gefährlicher und für die Benutzer noch schwieriger zu erkennen.
UNTERNEHMENSIDENTITÄTEN WERDEN IMMER HÄUFIGER VERWENDET
Da die Benutzer immer vorsichtiger werden, wenn sie E-Mails von unbekannten Absendern erhalten, verwenden Phishing-Angreifer immer häufiger die sogenannte „Business Impersonation“. In diesem Fall sieht eine Phishing-E-Mail wie eine legitime E-Mail von einem Unternehmen aus, das der Benutzer vielleicht kennt oder mit dem er sogar Geschäfte macht.
Amazon ist ein häufiges Ziel von Unternehmens-Imitaten, aber auch kleinere Unternehmen sind betroffen. So gab es beispielsweise Fälle, in denen die Kundenlisten von Website-Hosting-Unternehmen geknackt wurden und diese Unternehmen E-Mails verschickten, in denen sie sich als das Hosting-Unternehmen ausgaben und die Benutzer aufforderten, sich bei einem Konto anzumelden, um ein dringendes Problem zu beheben.
Da bei Phishing-Angriffen vermehrt Unternehmens-Identitäten verwendet werden, müssen die Benutzer bei allen E-Mails misstrauisch sein, nicht nur bei denen von unbekannten Absendern.
IST IHR UNTERNEHMEN AUSREICHEND VOR PHISHING-ANGRIFFEN GESCHÜTZT?
Es ist wichtig, eine mehrschichtige Strategie anzuwenden, wenn es darum geht, sich gegen eine der größten Gefahren für das Wohlergehen Ihres Unternehmens zu schützen. Beginnen Sie mit einem Cybersicherheitsaudit, um Ihre aktuelle Sicherheitslage zu überprüfen und Verbesserungsmöglichkeiten zu ermitteln.
Sparkasse Marburg-Biedenkopf
Ihre Daten gehören Ihnen. Und nicht in fremde Hände.
„Sie müssen Ihre Zugangsdaten aktualisieren“, „Ihr Konto wurde vorübergehend gesperrt“, „Sie haben gewonnen“. Was so daherkommt, ist meist eine Betrugsmasche. Sie werden damit aufgefordert, einen Link zu klicken und dort persönliche Kontodaten wie Anmeldename, TAN oder PIN einzugeben. Oder Sie bekommen einen Anruf oder eine SMS, die genau das Gleiche wollen: Ihre Daten oder direkt Ihr Geld stehlen.
Hier gilt ganz einfach: Geben Sie diese Daten nicht weiter. Auch wenn die Aufforderung noch so echt klingt, Ihre Daten gehören Ihnen und werden niemals von der Sparkasse, der Polizei, Ihrem Finanzamt oder Firmen wie Microsoft oder Amazon abgefragt.
Wenn Sie nicht reagieren, kann in diesen Fällen auch nichts passieren. Wenn Sie also unsicher sind, warten Sie immer, bis Ihre Sparkasse oder der angebliche Absender geöffnet haben oder erreichbar ist. Fragen Sie dann dort nach. So viel Zeit ist immer.