Für die Anbieter von Cyberversicherungen, aber auch die Versicherten selbst wird die Lage in Bezug auf Cyberangriffe enorm ungemütlich. Denn der Sicherheitsspezialist Sosafe kann in seinem neuen Bericht „Human Risk Review 2024“ über die globalen Cyberrisiken nur wenig Erbauliches berichten. Die Gefahr von Angriffen auf Unternehmen ist so groß wie seit mindestens fünf Jahren nicht mehr. Das meinen 81 Prozent der für den Bericht befragten Sicherheitsexperten.

Der „Human Risk Review“ von Sosafe bewertet jährlich die Cyber-Bedrohungslandschaft in Europa und die Sicherheitskultur in Unternehmen. Er beruht auf Antworten von mehr als 1.250 Sicherheitsverantwortlichen in Westeuropa und auf 3,2 Millionen Datenpunkten der Sosafe-Plattform.

Und gleich auf den ersten Seiten zeigt er Zahlen, die die aktuelle Gefahr von Cyberangriffen auf Unternehmen verdeutlichen. So wurde jedes zweite Unternehmen in den vergangenen drei Jahren Opfer einer erfolgreichen Cyberattacke. 68 Prozent der Cybersicherheits-Profis leiden schon unter einer Form des Burnouts, sind also überlastet.

Und es könnte weiter gehen: 59 Prozent der Sicherheitsbeauftragten meinen, dass ihr Unternehmen in großer Gefahr ist, von einem empfindlichen Cyberangriff getroffen zu werden. Allerdings gehen nur 41 Prozent von ihnen davon aus, dass dieser Angriff auf menschliche Schwäche oder Fehler zurückgeht.

Ein verhängnisvoller Irrtum

Geht es nach dem Analysehaus Forrester Research, ist das ein verhängnisvoller Irrtum. Denn dort sieht man den Faktor Mensch in 90 Prozent der Fälle als Ursache für künftige erfolgreiche Angriffe. Weshalb wiederum 89 Prozent der Sicherheitsbeauftragten einer Sicherheitskultur im Unternehmen oberste Priorität einräumen.

Denn das sogenannte „Social engineering“, bei dem sich Täter im Vorfeld über andere Kommunikationswege an Mitarbeiter eines Unternehmens heranwanzen, läuft auf vollen Touren. Über ein Drittel der Nutzer (37 Prozent) klicken auf schädliche Inhalte in E-Mails. Und von denen, die geklickt haben, interagieren 38 Prozent sogar anschließend noch weiter mit dem schädlichen Inhalt. Weil sie dem Absender vertrauen.

Die erfolgreichsten Betreffzeilen aus schädlichen E-Mails

Und worauf fallen die Angestellten herein? Hier sind die fünf erfolgreichsten Betreffzeilen aus schädlichen E-Mails mit den Klickraten in Klammern):

• Payroll accounting error (62 Prozent) – Fehler in der Gehaltsabrechnung
• Office 365 password expired (41 Prozent) – Passwort für Office 365 abgelaufen
• New time tracking tool (39 Prozent) – Neue Anwendung, um die Zeit zu erfassen
• Sick note (38 Prozent) – Krankmeldung
• Summer party photos (30 Prozent) – Fotos vom Sommerfest

Seite 2: Welche kleinen Tricks in E-Mails Kriminelle für Cyberangriffe nutzen

Mit jeweils einer Klickrate von 12 Prozent lauten die häufigsten Triebfedern, um hereinzufallen:

• Vertrauen/Intimität
• Druck/Angst
• Autorität

Und damit noch mehr Empfänger auf gefälschte E-Mails hereinfallen, nutzen Cyberkriminelle Tricks. Hier sind die Favoriten zusammen mit der Klickrate:

• Zusätze „Antwort“ oder „Weiterleitung“ – erzeugt Vertrauen (16 Prozent)
• Anhänge – erzeugen Neugier (15 Prozent)
• E-Mail-Adresse vortäuschen – erzeugt Vertrauen (14 Prozent)

Dabei laufen die Cyberangriffe bei weitem nicht mehr nur über E-Mail-Konten. Favoriten von Cyberkriminellen sind inzwischen auch:

• direkte Anrufe (!)
• physische Sicherheitsverletzungen
• Anwendungen zur Zusammenarbeit
• Nachrichten-Apps
• Soziale Medien
• Textnachrichten
• Lieferketten oder Dritte
• QR-Codes

Andrew Rose, Leiter für Informationssicherheit bei Sosafe ordnet ein:

„Cyberkriminelle werden sich auf das konzentrieren, was funktioniert. Das ist in der Regel eine Mischung aus Altbewährtem und neuartigen Methoden, mit denen sie versuchen, ihre Angriffe zu beschleunigen, zu personalisieren und auszuweiten. Den Mitarbeitern muss eine Mischung aus guten Grundlagen vermittelt werden, die auch dann noch gültig sind, wenn sich die Bedrohungen weiterentwickeln, sowie Sicherheitsinstinkte, die ihnen helfen, auf neue, sich entwickelnde Angriffe zu reagieren, wenn sich Cyberkriminelle anpassen.“

Eine Mehrheit der Umfrageteilnehmer geht nicht davon aus, dass die Gefahr aus dem Netz in nächster Zeit abnimmt. Ganz im Gegenteil beschleunigen drei Faktoren die Sache sogar noch. Diese hier sind es:

• Künstliche Intelligenz erleichtert Cyberkriminellen ausgeklügelte Social-Engineering-Angriffe
• Globale Instabilität erhöht die allgemeinen Sicherheitsrisiken von Unternehmen
• Interkonnektivität – die Sicherheit von Lieferketten ist wichtiger geworden

Den Bericht „Human Risk Review 2024“ von Sosafe können Sie hier kostenlos anfordern.