Unternehmen rät der Report, das Sicherheitsbewusstsein ihrer Mitarbeiter zu stärken. Ein Punkt, in dem man ihm nur Recht geben kann. Lassen sich BEC- und FTF-Angriffe in aller Regel doch auf eine Schwachstelle zurückführen: die Anfälligkeit der Belegschaft für Phishing- und Spear-Phishing-Angriffe.
Business Email Compromise (BEC), ist eine ausgeklügelte Form der Cyberkriminalität, bei der Angreifer Personen innerhalb einer Organisation zu manipulieren und zu bestimmten Handlungen zu bewegen suchen – in aller Regel zu Geldüberweisungen und zur Offenlegung sensibler Unternehmensdaten. Ausgangspunkt der Angriffe sind in aller Regel Phishing- und Spear-Phishing-Angriffe. Angreifer sammeln so Informationen über die Unternehmensstruktur, Schlüsselpersonen und Geschäftsprozesse, um dann überzeugende, personalisierte Fake-E-Mails für einen BEC- oder gleich einen FTF-Angriff zu erstellen.
Zu- und Abnahmen verzeichnet
Der Report hält fest, dass der Schaden der BEC-Angriffe 2024 um 23 Prozent zugenommen hat. Durchschnittlich liegt er mittlerweile bei umgerechnet rund 31.000 Euro. Erklären lässt sich dieser Anstieg, so der Report, zumindest zum Teil durch die gestiegenen Kosten für Rechtsberatungen, Maßnahmen zur Schadensbegrenzung und zur Wiederherstellung. Immerhin: Die Häufigkeit von FTF-Angriffen sank 2024 um 2 Prozent, die Schadenshöhe um 46 Prozent – allerdings auch nach einem Allzeithoch im Jahr 2023.
Der Bericht hält fest, dass Unternehmen, deren Belegschaft nur über ein geringes Cybersicherheitsbewusstsein verfügen, prädestiniert dafür sind, Opfer von Phishing- und Spear-Phishing-Angriffen zu werden. Er rät Unternehmen deshalb, die eigenen Mitarbeiter über Taktiken, Strategien und Tools von Bedrohungsakteuren aufzuklären, ihnen beizubringen, wie man solche Angriffe erkennt und vermeidet – zum Beispiel unter Zuhilfenahme von Schulungen und Phishing-Simulationen.
Traditionelle Schulungen und Trainings genügen nicht mehr
Ein Rat, der nur zu unterstützen ist. Allerdings: traditionelle Schulungen und Trainings allein genügen mittlerweile nicht mehr. Angreifer gehen beim Phishing und Spear Phishing immer professioneller vor, passen sich an, wissen um die Inhalte der Trainings der vergangenen Jahre. Unternehmen können und müssen dem etwas entgegensetzen. Sie müssen ihre Cybersicherheit weiter ausbauen: auch und gerade im Bereich intelligente Anti-Phishing-Technologien. Moderne Anti-Phishing-E-Mail-Tools kombinieren KI mit Crowdsourcing, um neueste Zero-Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Im Gegensatz zu herkömmlichen Tools, können sie potenzielle Phishing-E-Mails ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und möglicher Social Engineering-Taktiken.
Daneben werden Unternehmen aber auch fortschrittliche Schulungen und Trainings zum Einsatz bringen müssen. Sie müssen ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen – bevor es zu spät ist. Moderne Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Human Risks zurückzufahren und ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen.
