Als die COVID-19-Pandemie den Übergang ins Homeoffice und flexible Arbeitsabläufe beschleunigte, mussten Unternehmen ihre Betriebsabläufe ändern. Interne Kommunikations-Apps, E-Mails und Online-Portale übernahmen die B2B-Geschäftswelt. Im Zeitalter des E-Commerce mussten viele Branchen zu einem Cloud-basierten Arbeitsmodell migrieren.

Einem IBM-Bericht zufolge stiegen die Kosten für Datenverletzungen 2021 von 3,86 Millionen USD auf 4,24 Millionen – die höchsten durchschnittlichen Gesamtkosten in der Geschichte. Dieser digitale Wandel hat jedoch neue Bedrohungen und Security-Risiken mit sich gebracht.

In diesem Artikel behandeln wir einige der gängigsten Methoden von Angreifern, den Folgen einer Datenverletzung und wie man sie verhindert.

B2B – E-Mail-Praktiken

Für B2B-Einzelhändler mit einem E-Commerce-Kanal ist E-Mail nach wie vor eine der beliebtesten Zahlungsmethoden, genutzt von 77 %. Darüber hinaus nutzen viele B2B-Unternehmen E-Mail als ihre primäre Marketingstrategie, um einen personalisierten und interaktiven Ansatz für die Kundenkommunikation zu entwickeln.

E-Mail ist die effektivste Taktik zur Lead-Generierung mit dem höchsten ROI für B2B-Unternehmen. Die E-Mail ist auch der empfindlichste Punkt, wenn es um die Daten-Security von Unternehmen geht.

Das Problem mit E-Mails ist, dass so viele von uns sie täglich aus privaten und beruflichen Gründen nutzen. Cyberkriminelle nutzen diese Tatsache für den Diebstahl von Daten und um Schwachstellen zu erkennen, indem sie verschiedene Formulare und große Mengen an Spam senden.

Tatsächlich sind 45 % aller gesendeten E-Mails Spam.

Dies entspricht einer unglaublichen Zahl von 14,5  Milliarden Spam-E-Mails, die täglich verschickt werden. Obwohl die meisten dieser Bedrohungen automatisch gefiltert werden, verwenden Hacker jetzt fortschrittlichere Methoden, die großen Schaden anrichten können.

Die Tragweite einer Datenschutzverletzung

Nach Angaben des Internet Crime Complaint Centers (IC3) des FBI ist die Kompromittierung von geschäftlichen E-Mails (BEC) eines der finanziell schädlichsten Online-Verbrechen. Zwischen 2014 und 2019 kostete BEC-Betrug US-basierte Unternehmen über 2,1 Milliarden USD. Opfer waren Organisationen, die beliebte Cloud-basierte E-Mail-Services nutzen.

Dem IBM-Bericht zufolge ist BEC zwar nur für 4 % der Verstöße verantwortlich, aber damit sind die durchschnittlich höchsten Gesamtkosten von 5,01  Millionen USD verbunden. Beim zweitteuersten Angriff handelt es sich um Phishing (4,65
Millionen USD), gefolgt von bösartigen Insidern (4,61 Millionen USD).

Betrüger haben es auf Unternehmen in den USA abgesehen, denn Berichten zufolge sind die USA im elften Jahr in Folge das Land mit den höchsten durchschnittlichen Gesamtkosten im Zusammenhang mit einer Datenschutzverletzung.

Die Tragweite einer Datenverletzung ist enorm, vom geschädigten Markenimage bis hin zum Verlust von Einnahmen. Zu den Kosten für Cyberkriminalität gehören Betriebsunterbrechungen und Produktivitätseinbußen, forensische und investigative Aktivitäten, gestohlenes Geld, verlorene Kunden und Reputationsverluste, beschädigte und zerstörte Daten und die Wiederherstellung gehackter Daten.

Eine noch besorgniserregende Tatsache ist, dass die meisten Unternehmen zwar die Schäden anerkennen, die eine Datenverletzung für ihr Markenimage haben kann, aber nur 48 % über die richtigen Tools verfügen, um mit diesem Ereignis angemessen umzugehen.

Arten der E-Mail-Bedrohung

Die Anzahl und Schwere von Cyberangriffen hat in den letzten Jahren dramatisch zugenommen.   Einige der häufigsten E-Mail-Bedrohungen, auf die man achten sollte, sind Spoofing, Spear Phishing, Malware und komplexere Bedrohungen wie der Missbrauch von Marken und Domains und laterales Phishing.

Von Spam-E-Mails ausgehende Malware

Malware ist eine der schwerwiegendsten und häufigsten Bedrohungen, die häufig über E-Mails verbreitet werden. Cyberkriminelle nutzen diese Technik, um Mitarbeitende in Organisationen ins Visier zu nehmen, indem Sie Spam-Mails mit Dokumenten, Dateien und URLs senden, um die Benutzer zum Herunterladen von Dateien mit Malware zu verleiten.

Während dieser stillen Übernahme kann bösartige Software Unternehmensnetzwerke infiltrieren und auf sensible Rechnungsinformationen, Zahlungsanforderungen und persönliche Daten zugreifen. Das Eindringen findet nicht sofort statt, daher wissen die Benutzer meist gar nicht, dass sie Malware wie Viren, Trojaner, Spyware und Würmer installiert haben.

Häufig wird das Eindringen erst erkannt, nachdem sensible Daten in die Öffentlichkeit gelangt sind und der größte Teil des IT-Systems kompromittiert wurde.

Spear-Phishing-E-Mails

Spear-Phishing-E-Mails sind Spam sehr ähnlich, sie sind allerdings eine hochgradig personalisierte Form von Phishing-Angriffen. Diese E-Mails täuschen Opfern vor, von einem vertrauenswürdigen Absender oder einer vertrauenswürdigen Organisation zu stammen, um sie dazu zu bringen, vertrauliche Informationen preiszugeben.

So können sich die Angreifer beispielsweise Zugang zu Firmenkonten verschaffen, Geld überweisen und sich Daten beschaffen, mit denen sie sich bei einem legitimen Konto anmelden können. In einer Umfrage von Barracuda gaben 43 % der Organisationen an, in den letzten 12 Monaten von einem Spear-Phishing-Angriff betroffen gewesen zu sein.

Identitätsmissbrauch und BEC

Social Engineering ist eine Technik, bei der Cyberkriminelle die Opfer und ihre Social-Media-Profile studieren, um personalisierte Angriffe durchzuführen.

Diese Betrugsversuche sind eine hochentwickelte Art von Spear Phishing, bei der Angreifer viel Zeit in die Kontaktaufnahme mit dem Opfer investieren. Die Angreifer geben vor, eine Person, ein Service oder eine Organisation zu sein und versenden E-Mails mit Insider-Informationen, um die Sache realistisch und wenig offensichtlich machen.

Identitätsmissbrauch ist eine breite Kategorie von Betrügereien, die viele Formen von Phishing annehmen kann, wie Missbrauch von Marken oder Domains oder BEC. Die Kompromittierung von geschäftlichen E-Mails wird auch als CEO-Betrug bezeichnet, da sich Angreifer als hochrangige Personen innerhalb des Unternehmens ausgeben und Druck und Dringlichkeit einsetzen, um Opfer zum Überweisen von Geld zu verleiten.

Datendiebstahl, Erpressung und Ransomware

Datendiebstahl ist eine Art von Security-Verstoß, bei dem Angreifer in den Besitz von Daten eines Opfers oder einer Organisation gelangen, die von einem Computer oder einem Server kopiert, abgerufen oder übertragen werden. Diese Daten werden dann dazu verwendet, um mit ihrer Veröffentlichung zu drohen und Geld von den Opfern zu erpressen. In anderen Fällen verlangen die Hacker die Zahlung von Lösegeld, wenn die Opfer ihre Daten zurückerhalten wollen.

Wie Sie Ihr Unternehmen schützen können

Die Sicherung von Client und Server ist entscheidend für den Schutz eines Unternehmens vor bösartigen Angriffen. In Bezug auf die Security des Clients ist es wichtig, die User Awareness und deren Kenntnis über potenzielle Bedrohungen zu stärken. Die Mitarbeitenden müssen wissen, wie sie Spam- und Phishing-Angriffe erkennen können.

Da diese Angriffe jedoch immer raffinierter werden, ist es nicht ratsam, sich nur auf die Client-Seite zu verlassen. Es bedarf nur eines einzigen Mitarbeitenden, der im Unternehmensnetzwerk einen falschen Anhang herunterlädt und die Folgen können katastrophal sein.

Deshalb ist es ebenso wichtig, die Serverseite zu schützen, damit Spam-E-Mails gefiltert werden und Ihre Server keine DDoS-Angriffe durchlaufen. Hacker sind inzwischen in der Lage, herkömmliche Abwehrmaßnahmen zu umgehen, weshalb ein höherer Schutz notwendig ist.

E-Mail-Gateway-Lösungen in Kombination mit API-basierter Posteingangsverteidigung können bösartige E-Mails erkennen und Angriffe verhindern. Durch KI kann diese Lösung ein Kommunikationsmuster erstellen und anomale E-Mails erkennen.

Da E-Mails nach wie vor eine der effektivsten Formen von Marketing sind, benötigen Unternehmen, für die Data Protection eine Priorität sind, diese doppelte Schutzschicht.

Barracuda Email Protection ist der weltweit umfassendste extrem einfache E-Mail-Schutz. Starten Sie eine kostenlose Testversion oder vereinbaren Sie eine Demo auf www.barracuda.com.