BEC- und FTF-Angriffe – keine andere Cyberbedrohung hat 2024 für mehr Schaden gesorgt

Kürzlich hat der Cyberversicherungsanbieter Coalition seinen neuesten jährlichen Cyber Claims Report vorgelegt. Dessen Kernaussage: Die Mehrheit der Cyberversicherungsansprüche des Jahres 2024 resultierte aus der Kompromittierung von Geschäfts-E-Mail-Betrug und Überweisungsbetrug. 60 Prozent der Cyberversicherungsansprüche, so der Report, entfielen auf Business Email Compromise (BEC)-Angriffe. 29 Prozent hatten einen Funds Transfer Fraud (FTF)-Angriff zur Folge. Unternehmen rät der Report, das Sicherheitsbewusstsein ihrer Mitarbeiter zu stärken. Ein Punkt, in dem man ihm nur Recht geben kann. Lassen sich BEC- und FTF-Angriffe in aller Regel doch auf eine Schwachstelle zurückführen: die Anfälligkeit der Belegschaft für Phishing- und Spear Phishing-Angriffe.

Business Email Compromise (BEC), ist eine ausgeklügelte Form der Cyberkriminalität, bei der Angreifer Personen innerhalb einer Organisation zu manipulieren und zu bestimmten Handlungen zu bewegen suchen – in aller Regel zu Geldüberweisungen und zur Offenlegung sensibler Unternehmensdaten. Ausgangspunkt der Angriffe sind in aller Regel Phishing- und Spear Phishing-Angriffe. Angreifer sammeln so Informationen über die Unternehmensstruktur, Schlüsselpersonen und Geschäftsprozesse, um dann überzeugende, personalisierte Fake-E-Mails für einen BEC- oder gleich einen FTF-Angriff zu erstellen.

Der Report hält fest, dass der Schaden der BEC-Angriffe 2024 um 23 Prozent zugenommen hat. Durchschnittlich liegt er mittlerweile bei umgerechnet rund 31.000 Euro. Erklären lässt sich dieser Anstieg, so der Report, zumindest zum Teil durch die gestiegenen Kosten für Rechtsberatungen, Maßnahmen zur Schadensbegrenzung und zur Wiederherstellung. Immerhin: Die Häufigkeit von FTF-Angriffen sank 2024 um 2 Prozent, die Schadenshöhe um 46 Prozent – allerdings auch nach einem Allzeithoch im Jahr 2023.

Der Bericht hält fest, dass Unternehmen, deren Belegschaft nur über ein geringes Cybersicherheitsbewusstsein verfügen, prädestiniert dafür sind, Opfer von Phishing- und Spear Phishing-Angriffen zu werden. Er rät Unternehmen deshalb, die eigenen Mitarbeiter über Taktiken, Strategien und Tools von Bedrohungsakteuren aufzuklären, ihnen beizubringen, wie man solche Angriffe erkennt und vermeidet – zum Beispiel unter Zuhilfenahme von Schulungen und Phishing-Simulationen.

Ein Rat, der nur zu unterstützen ist. Allerdings: traditionelle Schulungen und Trainings allein genügen mittlerweile nicht mehr. Angreifer gehen beim Phishing und Spear Phishing immer professioneller vor, passen sich an, wissen um die Inhalte der Trainings der vergangenen Jahre. Unternehmen können und müssen dem etwas entgegensetzen. Sie müssen ihre Cybersicherheit weiter ausbauen: auch und gerade im Bereich intelligente Anti-Phishing-Technologien. Moderne Anti-Phishing-E-Mail-Tools kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Im Gegensatz zu herkömmlichen Tools, können sie potenzielle Phishing-E-Mails ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und möglicher Social Engineering-Taktiken. Daneben werden Unternehmen aber auch fortschrittliche Schulungen und Trainings zum Einsatz bringen müssen.

Sie müssen ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen – bevor es zu spät ist. Moderne Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Human Risks zurückzufahren und ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen.

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Bild/Quelle: https://depositphotos.com/de/home.html