Als die COVID-19-Pandemie den Übergang ins Homeoffice und flexible Arbeitsabläufe beschleunigte, mussten Unternehmen ihre Betriebsabläufe ändern. Interne Kommunikations-Apps, E-Mails und Online-Portale übernahmen die B2B-Geschäftswelt. Im Zeitalter des E-Commerce mussten viele Branchen zu einem Cloud-basierten Arbeitsmodell migrieren.

Einem IBM-Bericht zufolge stiegen die Kosten für Datenschutzverletzungen 2021 von 3,86 Millionen US-Dollar auf 4,24 Millionen – die höchsten durchschnittlichen Gesamtkosten in der Geschichte. Dieser digitale Wandel hat jedoch neue Bedrohungen und Sicherheitsrisiken mit sich gebracht.

In diesem Artikel befassen wir uns mit den gängigsten Methoden von Angreifern, den Folgen einer Datenschutzverletzung und wie man sie verhindert.

B2B E-Mail-Praktiken

Für B2B-Einzelhändler mit einem E-Commerce-Kanal ist die E-Mail nach wie vor eine der beliebtesten Zahlungsmethoden, genutzt von 77 %. Darüber hinaus nutzen viele B2B-Unternehmen E-Mail als ihre primäre Marketingstrategie, um eine personalisierte und interaktive Kommunikation mit Kunden zu ermöglichen.

E-Mail ist die effektivste Taktik zur Lead-Generierung mit dem höchsten ROI für B2B-Unternehmen. Die E-Mail ist jedoch auch der verwundbarste Punkt für Unternehmen, was die Datensicherheit anbelangt.

Das Problem mit E-Mails ist, dass so viele von uns sie täglich aus privaten und beruflichen Gründen nutzen. Cyberkriminelle nutzen diese Tatsache für den Diebstahl von Daten und um Schwachstellen aufzuspüren, indem sie verschiedene Formen und große Mengen an Spam senden.

Tatsächlich sind 45 % aller gesendeten E-Mails Spam.

Dies entspricht einer unglaublichen Zahl von 14,5 Milliarden Spam-E-Mails, die täglich verschickt werden. Obwohl die meisten dieser Bedrohungen automatisch gefiltert werden, verwenden Hacker jetzt fortschrittlichere Methoden, die großen Schaden anrichten können.

Die Tragweite einer Datenschutzverletzung

Nach Angaben des Internet Crime Complaint Centers (IC3) des FBI ist BEC-Betrug (Business Email Compromise) eines der finanziell schädlichsten Online-Verbrechen. Zwischen 2014 und 2019 kostete BEC-Betrug US-basierte Unternehmen mehr als 2,1 Milliarden US-Dollar. Opfer waren Organisationen, die beliebte Cloud-basierte E-Mail-Dienste nutzen.

Dem IBM-Bericht zufolge ist BEC zwar nur für 4 % der Verstöße verantwortlich, aber es sind damit die durchschnittlich höchsten Gesamtkosten von 5,01 Millionen US-Dollar verbunden. Beim zweitteuersten Angriff handelt es sich um Phishing (4,65 Millionen US-Dollar), gefolgt von bösartigen Insidern (4,61 Millionen US-Dollar).

Betrüger haben es auf Unternehmen in den USA abgesehen, denn Berichten zufolge sind die USA im elften Jahr in Folge das Land mit den höchsten durchschnittlichen Gesamtkosten im Zusammenhang mit einer Datenschutzverletzung.

Die Tragweite einer Datenschutzverletzung ist enorm, vom geschädigten Markenimage bis hin zum Verlust von Einnahmen. Zu den Kosten im Zusammenhang mit Cyberkriminalität gehören Unterbrechungen des Betriebs und Produktivitätseinbußen, forensische und investigative Tätigkeiten, Diebstahl von Geld, verlorene Kunden und Reputationsverluste, beschädigte und zerstörte Daten sowie die Wiederherstellung gehackter Daten.

Eine noch beunruhigendere Tatsache ist, dass obwohl die meisten Unternehmen erkennen, dass ihr Markenimage aufgrund einer Datenverletzung geschädigt werden kann, nur 48 % die richtigen Tools haben, um angemessen auf ein solches Ereignis zu reagieren.

Arten der E-Mail-Bedrohung

The number and severity of cyberattacks have dramatically increased over the years.   Some of the most popular email threats to look out for are spoofing, spear phishing, malware, to the more complex ones such as brand and domain impersonation and lateral phishing.

Von Spam-E-Mails ausgehende Malware

Malware ist eine der schwerwiegendsten und häufigsten Bedrohungen, die häufig über E-Mails verbreitet werden. Hacker nutzen diese Technik, um Spam-Mails mit Dokumenten, Dateien und URLs an Mitarbeiter in Unternehmen zu versenden, um die Benutzer zum Herunterladen von Dateien mit Malware zu verleiten.

Bei dieser stillen Übernahme kann bösartige Software in Unternehmensnetzwerke eindringen und auf sensible Rechnungen, Zahlungsanforderungen und persönliche Daten zugreifen. Das Eindringen geschieht nicht sofort, sodass die Benutzer meist gar nicht wissen, dass sie Malware wie Viren, Trojaner, Spyware und Würmer installiert haben.

Oft wird das Eindringen erst bemerkt, nachdem sensible Daten nach außen gedrungen sind und der größte Teil des IT-Systems kompromittiert wurde.

Spear-Phishing-E-Mails

Spear-Phishing-E-Mails sind Spam sehr ähnlich, doch sie sind eine sehr personalisierte Form von Phishing-Angriffen. Diese E-Mails täuschen Opfern vor, von einem vertrauenswürdigen Absender oder einer vertrauenswürdigen Organisation zu stammen, um sie dazu zu bringen, vertrauliche Informationen preiszugeben.

So können sich die Angreifer beispielsweise Zugang zu Firmenkonten verschaffen, Geld überweisen und sich Daten beschaffen, mit denen sie sich bei einem legitimen Konto anmelden können. In einer Umfrage von Barracuda gaben 43 % der Unternehmen an, in den letzten 12 Monaten von einem Spear-Phishing-Angriff betroffen gewesen zu sein.

Identitätsmissbrauch und BEC

Social engineering is a technique when cybercriminals study victims and their social media profiles to make personalized attacks.

Bei diesem Betrug handelt es sich um eine hochentwickelte Art von Spear Phishing, bei dem Angreifer viel Zeit mit der Kontaktaufnahme mit dem Opfer verbringen. Die Angreifer geben vor, eine Person, ein Dienst oder eine Organisation zu sein, und versenden E-Mails mit Insider-Informationen, um die Sache realistisch und wenig offensichtlich machen.

Der Identitätsmissbrauch ist eine breite Kategorie von Betrügereien, die viele Formen von Phishing annehmen kann, wie z. B. der Missbrauch von Marken oder Domains bzw. BEC. Das Kompromittieren von E-Mails wird auch als CEO-Betrug bezeichnet, da sich Angreifer als hochrangige Personen innerhalb des Unternehmens ausgeben und Druck und Dringlichkeit nutzen, um Opfer zum Überweisen von Geld zu bringen.

Data Exfiltration, Extortion, and Ransomware

Datendiebstahl ist eine Art von Sicherheitsverletzung, bei der Angreifer in den Besitz von Daten eines Opfers oder einer Organisation gelangen, die von einem Computer oder einem Server kopiert, abgerufen oder übertragen werden. Diese Daten werden dann dazu verwendet, um mit ihrer Veröffentlichung zu drohen und Geld von den Opfern zu erpressen. In anderen Fällen verlangen die Hacker die Zahlung von Lösegeld, wenn die Opfer ihre Daten zurückerhalten wollen.

Wie Sie Ihr Unternehmen schützen können

Die Sicherung von Client und Server ist entscheidend für den Schutz eines Unternehmens vor bösartigen Angriffen. In Bezug auf die Sicherheit des Clients ist es wichtig, das Bewusstsein der Nutzer und deren Kenntnis über potenzielle Bedrohungen zu stärken. Die Mitarbeiter müssen wissen, wie sie Spam- und Phishing-Angriffe erkennen können.

Da diese Angriffe jedoch immer raffinierter werden, ist es nicht ratsam, sich nur auf die Client-Seite zu verlassen. Es bedarf nur eines einzigen Mitarbeiters, der im Unternehmensnetzwerk einen falschen Anhang herunterlädt, und die Folgen können katastrophal sein.

Deshalb ist es ebenso wichtig, die Serverseite zu schützen, damit Spam-E-Mails gefiltert werden und Ihre Server keine DDoS-Angriffe durchlaufen. Hacker sind inzwischen in der Lage, herkömmliche Schutzmaßnahmen zu umgehen, weshalb ein höherer Schutz notwendig ist.

E-Mail-Gateway-Lösungen in Kombination mit API-basierter Posteingangsverteidigung können bösartige E-Mails erkennen und Angriffe verhindern. Durch KI kann diese Lösung ein Kommunikationsmuster erstellen und anomale E-Mails erkennen.

Da E-Mails nach wie vor eine der effektivsten Formen des Marketings sind, benötigen Unternehmen, die Datenschutz als Priorität betrachten, diese doppelte Schutzebene.

Barracuda Email Protection ist der umfassendste – und absolut kinderleichte – E-Mail-Schutz der Welt. Ein kostenloses Probeabo oder einen Test erhalten Sie auf www.barracuda.com.