Die tatsächlichen Kosten eines großen E-Mail Bedrohungsangriffs

Eine neue internationale Studie verdeutlicht die erheblichen finanziellen Kosten und Beeinträchtigungen, die durch einen E-Mail-basierten Angriff auf die Security verursacht werden.

Drei Viertel (75 %) der für den E-Mail-Trends Report 2023 befragten Organisationen gaben an, dass sie in den letzten 12 Monaten Opfer mindestens eines erfolgreichen E-Mail-Angriffs geworden sind, wobei die Betroffenen durchschnittlich Kosten von mehr als 1 Million USD für die Wiederherstellung nach ihrem teuersten Angriffs aufbringen mussten.

Diese Kosten sind nicht nur hoch, sie steigen weiter an. Laut 23 % der Betroffenen haben die finanziellen Auswirkungen der Angriffe im letzten Jahr drastisch zugenommen.

E-Mail ist nach wie vor ein massiver Angriffskanal. Sie ist ein zugängliches, effektives und kostengünstiges Tool für Cyberkriminelle. Auch E-Mail-basierte Angriffe entwickeln sich weiter und nutzen KI und fortschrittliche Social-Engineering-Techniken für immer ausgefeiltere und unauffälligere Angriffe. Das Forschungsteam von Barracuda hat 13 Arten von E-Mail-Angriffen identifiziert.

Störungen, Schäden und Verluste

Die Ergebnisse der Studie zeigen eindeutig, dass die negativen Auswirkungen eines erfolgreichen Angriffs auf die E-Mail-Sicherheit erheblich und schädigend sein können.

Die am häufigsten gemeldeten Auswirkungen waren auch die schwerwiegendsten – darunter Ausfallzeiten und Geschäftsunterbrechungen (44 % der Betroffenen), der Verlust sensibler, vertraulicher und geschäftskritischer Daten (43 %) und die Schädigung des Rufs der Unternehmensmarke (41 %).

Verschiedene Branchen waren auf unterschiedliche Weise betroffen. Finanzdienstleister verloren wertvolle Daten und Geld an die Kriminellen, während für das Gesundheitswesen die Kosten für die schnelle Wiederherstellung der Systeme erheblich waren. Fertigungsbetriebe waren besonders von der Unterbrechung des Geschäftsbetriebs betroffen.

Kleinere Unternehmen waren eher vom Verlust sensibler oder kritischer Daten betroffen, gefolgt von der Schädigung des Rufs der Unternehmensmarke. Für die befragten mittleren und größeren Unternehmen waren die häufigsten Auswirkungen jedoch Ausfallzeiten/Geschäftsunterbrechungen und Produktivitätsverluste der Mitarbeitenden. Dies könnte darauf hindeuten, dass größere Unternehmen besser etablierte Marken und einen besseren Ruf haben, die einem Angriff standhalten können, aber im Hinblick auf die Geschäftskontinuität stärker betroffen sind.

Die Risiken des externen Arbeitens

Unabhängig von der Größe des Unternehmens oder der Branche waren indessen Unternehmen, bei denen mehr als die Hälfte der Mitarbeiter extern arbeiten, mit einem höheren Risiko und höheren Wiederherstellungskosten konfrontiert.

Dies könnte daran liegen, dass Unternehmen nicht immer konsequent Security-Richtlinien für externe Mitarbeiter durchsetzen können, um maximalen Schutz zu gewährleisten. Außerdem müssen sie den Mitarbeitern auch Fernzugriff auf Geschäftsanwendungen und wichtige Daten ermöglichen, damit diese ihre tägliche Arbeit erledigen können. Dies vergrößert nicht nur die Angriffsfläche für Cyberkriminelle, sondern kann auch die Erkennung, Reaktion und Wiederherstellung nach Cyberangriffen erheblich verzögern. 

Organisationen fühlen sich nicht vollständig vorbereitet

Die meisten der befragten Organisationen (97 Prozent) sind der Meinung, dass sie nicht vollständig auf die wichtigsten Security-Bedrohungen vorbereitet sind. Etwa ein Drittel (34 %) fühlt sich schlecht auf den Umgang mit Datenverlust oder Malware vorbereitet und mehr als ein Viertel (27 %) sagt dasselbe über Ransomware. Tatsächlich sind sogar 28 % der Meinung, dass sie nicht einmal auf weniger komplexe Bedrohungen wie Spam vorbereitet sind. Größere Organisationen fühlen sich weniger darauf vorbereitet, mit den meisten Bedrohungen generell umzugehen.

Aber es gibt nicht nur schlechte Neuigkeiten

Insgesamt fühlen sich die Organisationen besser auf einige der fortschrittlicheren Bedrohungen wie Phishing, Spear Phishing und Ransomware vorbereitet als bei unserer letzten Umfrage zu den Auswirkungen von E-Mail-Angriffen vor drei Jahren.

Die neue Studie ergab auch, dass 26 % ihre Investitionen in die E-Mail-Sicherheit erhöht haben und 89 % der Meinung sind, dass ihre Systeme und Daten nun sicherer sind als vor 12 Monaten. Das wachsende Bewusstsein und Verständnis für E-Mail-Risiken und die Notwendigkeit eines robusten Schutzes ist ein positiver Ausgangspunkt für die E-Mail-Sicherheit 2023.

„E-Mail ist ein vertrauenswürdiger und allgegenwärtiger Kommunikationskanal und das macht ihn zu einem attraktiven Ziel für Cyberkriminelle. Wir gehen davon aus, dass E-Mail-basierte Angriffe immer ausgefeilter werden und KI und fortschrittliches Social Engineering nutzen, um an die gewünschten Daten oder den gewünschten Zugriff zu gelangen und Security-Maßnahmen zu umgehen“, sagte Don MacLennan, SVP, Engineering & Product Management, Email Protection, Barracuda. „E-Mail-basierte Angriffe können der erste Zugangspunkt für eine Vielzahl von Cyberbedrohungen sein, einschließlich Ransomware, Informationsdiebstahl, Spyware, Krypto-Mining, andere Malware und mehr. Es ist nicht verwunderlich, dass sich IT-Teams auf der ganzen Welt nicht vollständig auf den Schutz vor vielen E-Mail-basierten Bedrohungen vorbereitet fühlen. Ein wachsendes Bewusstsein und Verständnis für E-Mail-Risiken und den robusten Schutz, der erforderlich ist, um sicher zu bleiben, wird der Schlüssel zum Schutz von Organisationen und ihren Mitarbeitern im Jahr 2023 und darüber hinaus sein.“

Die Umfrage wurde im Auftrag von Barracuda von dem unabhängigen Marktforschungsunternehmen Vanson Bourne durchgeführt. Befragt wurden IT-Experten von der Frontline bis zur höchsten Führungspositionen in Unternehmen mit 100 bis 2.500 Mitarbeitern aus verschiedenen Branchen in den USA und in EMEA- und APAC-Regionen.