Cyberkriminalität ist ein hoch professionalisiertes und effizientes Geschäftsmodell, das in Höchstgeschwindigkeit neue Innovationen hervorbringt. Geopolitische Konflikte, der Aufstieg neuer Technologien, Digitalisierung und Vernetzung sowie gesellschaftliche Veränderungen haben zu einer massiv vergrößerten Angriffsfläche für Cyberkriminelle geführt.
Das bestätigen auch IT-Sicherheitsverantwortliche in deutschen Unternehmen: Die meisten von ihnen stimmten zu, dass insbesondere die geopolitische Lage (78 %), hybrides Arbeiten (78 %), sowie Künstliche Intelligenz (72 %) die Cyberbedrohungslage verschlechtert. So ist in den vergangenen drei Jahren jedes zweite deutsche Unternehmen (58 %) Opfer einer Cyberattacke geworden, davon ein Drittel sogar mehr als einmal (33 %). 64 Prozent dieser Unternehmen schätzen ihr Risiko, erneut Opfer eines Cyberangriffs zu werden, darüber hinaus als hoch ein. Dies zeigen neue Studienergebnisse, die SoSafe, Europas führende Plattform für Security Awareness und Training, heute im neuen Human Risk Review 2023 vorstellt. Die Studie gibt einen Überblick über die aktuelle Cyberbedrohungslage und die Sicherheitskultur in Unternehmen basierend auf Antworten von über 1.000 IT-Sicherheitsverantwortlichen in Europa, mehreren Experteninterviews sowie mehr als 8,4 Millionen Datenpunkten aus der SoSafe Awareness-Plattform.
„Unsere Gesellschaft hat im vergangenen Jahr eine Vielzahl von Krisen und Konflikten erlebt. Die dadurch entstandene anhaltende Verunsicherung sowie Angst und Stress spielen Cyberkriminellen in die Hände, die dies für neue Social-Engineering-Angriffe instrumentalisieren. Cyberkriminalität ist heute ein hoch professionalisiertes Geschäftsmodell, das umfassende Mittel in ‚Research & Development‘ investieren kann. Taktiken und Strategien werden im Minutentakt angepasst, um diese neuen Erkenntnisse für profitable Cyberangriffe zu nutzen“, sagt Dr. Niklas Hellemann, CEO und Gründer von SoSafe.
Phishing bleibt ein Dauerbrenner
76 Prozent der Befragten gaben an, dass sie Phishing sowie die emotionale Manipulation von Menschen als Sicherheitsrisiko sehen. Phishing ist auch die Angriffsmethode, von der mit 42 Prozent die meisten der befragten Unternehmen betroffen waren. Eigene Daten der SoSafe-Plattform zeigen, dass jede dritte Person (31 %) auf schädliche Links oder Anhänge in Phishing-Mails klickt. Betreffzeilen wie „Beschädigtes Fahrzeug“ und „Einladung zu Teams“ verleiteten am meisten zum Öffnen, Klicken oder sogar zur Eingabe von persönlichen Informationen auf einer weiterführenden Webseite. Mitarbeitende scheinen dabei gerade für Social-Engineering-Taktiken empfänglich zu sein, die starke Emotionen auslösen – wie Druck (24 %), Autorität (28 %) oder finanzielle Apelle (18 %). Laut Daten der SoSafe-Plattform führt diese Art der emotionalen Manipulation tendenziell zu höheren Klickraten in Phishing-E-Mails als im Jahr davor (2021: Druck, 24 %, Autorität, 24 %, finanzielle Apelle, 17 %).
„Phishing bleibt die meist verwendete und auch erfolgreichste Angriffsstrategie auf den Faktor Mensch. Immer noch klickt jede dritte Person auf schädliche Inhalte in Phishing Mails. Das liegt vor allem daran, dass Cyberkriminelle zahlreiche Möglichkeiten für stark personalisierte Phishing-Angriffe haben, auf die durchschnittliche Nutzerinnen und Nutzer nicht vorbereitet sind – sie verwenden persönliche Informationen aus sozialen Medien, instrumentalisieren geopolitische Geschehnisse, die meist starke Emotionen triggern oder verwenden künstliche Intelligenz, um Bilder, Videos oder Stimmen zu imitieren. Und das ist die neue Norm – Cyberkriminelle werden konstant neue, kreative Angriffsstrategien entwickeln“, so Hellemann.
Deutsche Unternehmen zahlen häufiger Lösegeld
Ebenfalls erfolgreiche Angriffsmethoden waren Malware (39 %) und Ransomware (32 %). Fast 45 Prozent der deutschen Unternehmen haben dabei bereits Lösegeld an Cyberkriminelle gezahlt. Im europäischen Vergleich zahlen Unternehmen in Deutschland damit häufiger als in Frankreich (30 %) und im Vereinigten Königreich (38 %). Mehr Lösegeldzahlungen tätigen dafür die niederländischen Nachbarn (46 %). Auch Supply Chain-Angriffe werden von IT-Sicherheitsbeauftragten als Gefahr eingeschätzt: 74 Prozent der Befragten gaben an, dass sie Supply-Chain-Angriffe als Sicherheitsrisiko sehen. Die Organisationen von 15 Prozent der Befragten wurden bereits Opfer eines Supply-Chain-Angriffs. 80 Prozent stimmten daher zu, dass ihre eigene Sicherheit von den Sicherheitsstandards ihrer Partner abhängig ist.
Drei von vier Unternehmen geben an, ein hohes Sicherheitsbewusstsein zu haben
Der Fokus auf die Stärkung des Sicherheitsbewusstsein zeigt sich schon in den Investitionsplänen der Unternehmen: 58 Prozent der bereits angegriffenen Unternehmen schätzen, dass sich die Investitionen in Security-Awareness-Maßnahmen in den nächsten eineinhalb Jahren erhöhen werden. Während 75 Prozent – und damit drei von vier Unternehmen – angeben, ein hohes Sicherheitsbewusstsein zu haben, ist für 93 Prozent das Schaffen einer Sicherheitskultur Priorität. Auch der Fokus des Top Managements auf IT-Sicherheit ist bei mehr als der Hälfte der Unternehmen gestiegen (55 %). „Es ist eine erfreuliche Entwicklung, dass sich Unternehmen bewusst sind, dass sie in den Faktor Mensch in der Informationssicherheit investieren müssen – und dass das auch im Top-Management angekommen ist. Unsere tatsächlichen Verhaltensdaten zeigen jedoch, dass wir immer noch einen langen Weg vor uns haben – immer noch klicken rund 31 Prozent auf Phishing-Mails, 52 Prozent geben darüber hinaus sogar weitere sensible Daten preis. Wir sehen hier eine Lücke, die wir füllen müssen: Mitarbeitende verstehen die Wichtigkeit des Themas besser, brauchen aber noch Unterstützung, um sicheres Verhalten nachhaltig zu verinnerlichen. Das ist unsere Mission: Digitale Selbstverteidigung nachhaltig stärken – und Cyberkriminalität gemeinsam bekämpfen“, so Hellemann.
www.sosafe-awareness.com/de