Pfefferminzia: Phishing in Form eines Briefes von der Hausbank ist ein aktueller Trend bei Cyberkriminellen. Woher haben die Kriminellen die Daten und wie fälschen sie die Briefe?
Niklas Hellemann: Das Vorgehen der Kriminellen mutet hier nicht sehr zielgenau an. Eher nach der Variante „Trial-and-Error“. In der letzten Welle haben Kriminelle Schreiben im Design der Commerzbank versendet. Zuvor gab es ähnliche Fälle im Design der ING, Raiffeisen und der Sparkasse.
Die Kriminellen haben sich Großbanken mit einem sehr großen Kundenstamm ausgesucht. Die Daten erhalten die Verbrecher aus den folgenden Quellen:
Traditionell genießen physische Briefe ein höheres Vertrauen bei Kunden. Und genau dieses Vertrauen nutzen Kriminelle aus. Außerdem sehen die Schreiben täuschend echt aus. Denn die Verbrecher verwenden echte Banklogos und Corporate Designs sowie gefälschte Kontaktdaten. Kundinnen und Kunden konnten nur an Details erkennen, dass es sich um Fälschungen handelt. Sogar Bankmitarbeiter hatten Schwierigkeiten, die Fälschungen zu erkennen.
Woran erkennen Kunden die Fälschung?
Hellemann: Kundinnen und Kunden sollten auf ungewöhnliche Aufforderungen achten, etwa, dass sie aufgefordert werden, TANs oder Passwörter herauszugeben. Häufig arbeiten Cyberkriminelle mit starken Emotionen wie Angst oder erzeugen Zeitdruck – in den Briefen zum Beispiel durch die Drohung, das Konto zu sperren. Das sind typische Anzeichen für Social Engineering.
Inwiefern lohnt es sich für Cyberkriminelle überhaupt, wenn sie mit dem Porto in Vorleistung gehen müssen?
Hellemann: Trotz der Kosten fürs Porto können sich Phishing-Briefe lohnen, da sie oft eine höhere Erfolgsquote haben. Kriminelle können gezielt wohlhabendere Opfer anvisieren und hohe Summen erbeuten.
Phishing via Mail gilt aber weiterhin als beliebteste und erfolgreichste Masche der Kriminellen. Der diesjährige Sosafe Human Risk Review fand heraus, dass eine Phishing-E-Mail mit dem Betreff „Gehaltsabrechnungsfehler“ eine Klickrate von satten 62 Prozent erzielen konnte – ein Beleg für den noch immer dringenden Aufklärungsbedarf.
Die Schäden durch Cyberkriminelle betragen laut Bitkom im Schnitt 262 Euro. In schwerwiegenden Fällen haben die Verbrecher deutlich höhere Beträge gestohlen. Da Phishing per Post schwer zu erkennen ist, ist die Dunkelziffer hoch. Nur 14 Prozent der Opfer melden die Fälle bei der Polizei.
Welche Betrugsarten wenden Kriminelle derzeit sonst noch am häufigsten an und welche funktionieren am besten?
Hellemann: Um die Erfolgschancen ihrer Angriffe zu steigern, passen sich Cyberkriminelle stetig an aktuelle Trends an. Im Wesentlichen setzen sie dabei auf Social Engineering. Die aktuell beliebtesten Cyberangriffsmethoden sind laut unserer aktuellen Sosafe-Studie:
In der geschäftlichen Kommunikation werden Messaging-Plattformen und Social Media immer beliebter und machen E-Mails Konkurrenz. Daher passen Kriminelle ihre Strategien daran an. Sie setzen beim Phishing nicht mehr allein auf E-Mails. Diese sind im Vergleich zum Vorjahr um 10 Prozent zurückgegangen. Sie investieren verstärkt auch in andere Kanäle – wie QR-Codes. Das nennt sich dann „Quishing“.
Welche Rolle spielt aktuell die künstliche Intelligenz, kurz KI, mit Deep-Fake- und Voice-Cloning-Aktivitäten bei Cyberbetrügereien?
Hellemann: Technologische Entwicklungen und KI machen komplexere Angriffe immer einfacher. Und die Auswirkungen davon sind bereits seit 2017 im Deepfake-Engineering spürbar. KI-generierte Deepfakes, gezielte Desinformation und erfundene Geschichten können die Realität auf überzeugende Weise verzerren.
Cyberkriminelle nutzen KI-basierte Technologien, um das soziale Ökosystem der Zielpersonen zu durchleuchten und Social-Engineering-Angriffe noch weiter zu personalisieren. Durch Deepfakes wurden bereits politische Ansichten ins Wanken gebracht. Sie haben für spektakuläre Betrugsfälle gesorgt. Die Betrugsmethode CEO-Fraud basiert zunehmend auf diesen Technologien.
Bei dieser Masche imitieren Kriminelle Stimmen und Bilder von Chefs in Online-Konferenzen, um so beispielsweise Überweisungen anzufordern. Unternehmen sind aufgerufen, ihre Mitarbeiter zu schulen und ein Sicherheitsnetz einzuziehen, um im Ernstfall Betrugsversuche abprallen zu lassen.
Lesen Sie auf Seite 2, wie viele Unternehmen bereits Opfer eines Cyberangriffs wurden.
Wer ist in Deutschland eher Opfer von Cyberbetrügern – Unternehmen oder Privatpersonen?
Hellemann: Betrugs- und Erpressungsversuche gegenüber Unternehmen sind bei Gelingen besonders attraktiv. Das aktuelle Lagebild des Bundeskriminalamts, kurz BKA, gibt an, dass sich die Schäden durch Cyberkriminelle zuletzt verdoppelt haben. Lag die Schadenhöhe 2022 noch bei 588 Millionen Euro, belief sie sich 2023 laut BKA auf 1,7 Milliarden Euro. Eine Entwicklung, die ungebrochen ist. Hinzu kommt noch, dass es immer schwieriger wird, die Tatverdächtigen zu identifizieren.
Für Kriminelle ist die Waffe „Cyber“ äußerst attraktiv. Denn sie ist nicht nur effektiv, sondern auch kostengünstig. Privatpersonen sind quantitativ deutlich häufiger im Visier von Cybergangstern. Die Schadensummen sind jedoch in der Regel überschaubarer.
Für Unternehmen ist Cybercrime das höchste Geschäftsrisiko, dies geht aus dem Allianz Risk Barometer 2023 hervor.
Jedes zweite Unternehmen wurde in den vergangenen drei Jahren Opfer eines Cyberangriffs, jedes dritte sogar mehr als einmal.
Angreifer optimieren bewährte Taktiken und entwickeln gleichzeitig ständig neue Methoden: Sei es, indem sie generative KI einsetzen, um in Sekundenschnelle hunderte personalisierte Phishing-Mails zu erstellen, oder indem sie die Bevölkerung über mehrere Kanäle hinweg durch Deepfake-Audio und -Video täuschen.
Ein beunruhigender Trend besteht darin, dass die Grenzen zwischen privatem und geschäftlichem Bereich verschwimmen. Daher beziehen Cyberkriminelle auch Familienmitglieder von Mitarbeitenden in ihre Angriffe mit ein. Eine Entwicklung, die Unternehmen unbedingt ernst nehmen müssen.
Was raten Sie Versicherungsmaklern, die Unternehmen als Kunden haben, um Schäden durch Cyberkriminalität frühzeitig zu verhindern?
Hellemann: Neben der technischen Grundausstattung sollte es für Unternehmen oberste Priorität sein, bei den Mitarbeitern das notwendige Bewusstsein zu schaffen und eine umfassende Sicherheitskultur zu etablieren, die Mitarbeiter als stärksten Schutzschild im Kampf gegen Cyberkriminelle sieht.
Inwiefern kann man sich als Privatperson oder Unternehmen überhaupt gut vor Cyberkriminalität schützen?
Hellemann: Ganz generell ist es wichtig, dass Personen eine gesunde Vorsicht an den Tag legen und zum Beispiel bei starken Emotionen hellhörig werden. Es ist wichtig, eine Intuition für sicheres Verhalten zu entwickeln. Wer ein schlechtes Bauchgefühl hat oder unsicher ist, sollte versuchen, die Anfrage selbst über weitere Kanäle zu verifizieren. Es ist ratsam, im Zweifel lieber mit einer menschlichen Fachperson Rücksprache zu halten. Bei den gefälschten Briefen ihrer Hausbank mehrten sich die Filialbesuche besorgter Verbraucher.
Bei Webseiten, die unseriös erscheinen, lohnt sich oft ein Blick ins Impressum und den Datenschutzhinweis. Diese Seiten fehlen häufig bei Phishing-Seiten.
Aus Unternehmenssicht ist es ratsam, stets eine aktuelle Cybersicherheitssoftware zu verwenden und das Bewusstsein der Mitarbeiter fortlaufend zu schulen.
Lesen Sie auf Seite 3 dieses Interviews, welche Branchen besonders oft ins Visier von Cyberkriminellen geraten.
Wie können Unternehmen für den Ernstfall vorsorgen?
Hellemann: Die Mitarbeiter über aktuelle Methoden zu informieren, Sensibilität zu fördern und klare Prozesse im Ernstfall festzuhalten ist das A und O. Schnelle Reaktionswege entscheiden über die Schwere der Vorfälle, geeignete Gegenmaßnahmen und die Schadensbegrenzung.
Ein prominentes Beispiel ist der Phishing-Angriff auf Reddit. Dieser veranschaulichte die Rolle der Mitarbeiter für die Prävention nur zu gut.
Anfang 2023 verschaffte sich ein Angreifer Zugriff auf interne Dokumente und den Quellcode. Die Person, die auf die Phishing-Mail reinfiel, erkannte diese jedoch umgänglich und melde es dem internen Sicherheitsteam. Daher konnten diese schnell und effizient reagieren und weitreichende Folgen vermeiden – ein Paradebeispiel für eine starke Sicherheitskultur.
Ist es sinnvoller, zuerst die Systeme upzudaten und dann die Versicherung abzuschließen?
Hellemann: Cyberversicherungen sind ein unverzichtbares Instrument für Unternehmen – und ihre Bedeutung nimmt zu. Ransomware floriert weiterhin und die Zahlungsraten steigen – von 10 Prozent im Jahr 2019 auf 54 Prozent im Jahr 2022.
Best-Practice-Kontrollen bieten Firmen viele Vorteile. In erster Linie verringern sie die Wahrscheinlichkeit eines Sicherheitsverstoßes. Das ist sowohl für das Unternehmen als auch für den Versicherer von Vorteil und die Versicherungskosten sinken. Denn aktuell sind die Versicherungsprämien in die Höhe geschnellt, da Versicherer versuchen, bei der Verwaltung dieses komplexen Risikos kostendeckend zu arbeiten. Und immer mehr Kunden schrecken vor hohen Verlängerungspreisen zurück.
Jedes Unternehmen sollte diese Art der Absicherung in Betracht ziehen. Aber sie funktioniert am besten, wenn die Kernkontrollen effektiv sind. Wenn die Kontrollen teurer, aufwändiger und schwieriger zu implementieren sind und ihr Nutzen nachlässt, ist es an der Zeit, sich nach einer Versicherung umzusehen, um das Risiko zu übertragen.
Welche Branchen sind besonders von Cyberverbrechen betroffen?
Hellemann: Cyberkriminelle wissen nur zu gut, wo besonders viel zu holen ist – nämlich in höchst digitalisierten Branchen, in denen Mitarbeitende tagtäglich mit Technologie und sensiblen Daten umgehen. Dazu gehören vor allem die IT, der Finanzsektor und Vertrieb. Hinzu kommt, dass Mitarbeiter, die täglich mit Technologietools arbeiten, eher dazu neigen, Sicherheitsrisiken zu unterschätzen und unsichere Verhaltensweisen an den Tag zu legen.
