Acht von zehn betrügerischen Mails sind Phishing-Mails, laut BSI-Bericht 2023. Viele Betrüger geben dabei vor, Finanzdienstleister zu sein oder gemeinnützige Programme zu unterstützen.
Der aktuelle Lagebericht des BSI zur IT-Sicherheit in Deutschland hat einmal mehr hohe Wellen geschlagen. Das BSI berichtet darin unter anderem von 250.000 neuen Varianten an Schadprogrammen, täglich 21.000 mit Schadsoftware infizierten Systemen und 70 neuen Sicherheitslücken pro Tag.
Krisensituationen als Aufhänger für Phishing-Mails
Eine ebenfalls weiterhin große Rolle im Cybersicherheitsmix spielt auch das Thema Phishing. Konkret. Nach Angaben des BSI sind 84% aller betrügerischen Mails sogenannte Phishing-Mails. Mit diesen versuchen Kriminelle in der Regel Identitäts- bzw. Authentisierungsdaten zu erlangen um damit Angriffe zu starten.
Für die vergangenen 12 Monate meldet das BSI vor allem viele Phishing-Versuche im Bereich des Finance-Phishings, bei dem Betrüger vorgeben Banken oder Finanzdienstleister zu sein. Ein weiterer Treiber für die wachsende Zahl an Phishing-Versuchen waren gesellschaftliche Krisensituationen, die als Aufhänger für Phishing-Mails genutzt wurden. Die Krise am Energiemarkt wurde besonders häufig thematisiert. Ebenso wurde oft versucht im Namen gemeinnütziger Programme die Empfänger von eMails zu täuschen. Der Ukraine-Krieg sowie Erdbeben in der Türkei und Syrien wurden häufig als Anlass missbraucht um gefährliche Mails zu versenden.
Gefahrenquelle KI
Auch die fortschreitende Entwicklung von KI funkgierte laut dem BSI in 2023 als Turbo für Phishing. Die zunehmend leistungsfähigen KI-Sprachmodelle werden mehr und mehr dazu missbraucht Phishing-Mails authentischer und damit überzeugender zu gestalten.
„Wir sehen die Gefahr, die von Phishing-Mails ausgeht, seit Jahren. Mit der fortlaufenden Energiedebatte, dem Krieg in der Ukraine, dem Konflikt zwischen Israel und der Hamas sowie den Wahlen in den USA und der hitzigen Migrationsdebatte werden auch in 2024 viele Themen auf der Agenda sein, die sich sehr gut für Phishing-Mails eignen“, warnt Sascha Spangenberg von Lookout. „Phishing ist dabei nicht nur ein Problem für private digitale Identitäten, sondern auch für Unternehmen und die Accounts ihrer Mitarbeiter. Gestohlene Zugangsdaten von Mitarbeitern sind eine der effektivsten Möglichkeiten für Angreifer, die Infrastruktur eines Unternehmens zu infiltrieren. Sobald sie die Anmeldeinformationen eines der Konten in der Hand haben, ist es für sie viel einfacher, die Sicherheitsmaßnahmen zu umgehen und Zugang zu sensiblen Daten zu erhalten.“
Mobile Phishing: Jedes dritte Gerät betroffen
Wie Angreifer im Unternehmensumfeld an Zugänge und Passwörter kommen, hat Lookout in seinem Mobile Phishing Report untersucht. Diese weltweite Studie von Lookout hat ergeben, dass die Zahl der Mobile-Phishing-Angriffe im Jahr 2022 so hoch war wie nie zuvor: Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen war mindestens einem Angriff pro Quartal ausgesetzt. Auch im ersten Quartal 2023 war dieser Trend ungebrochen.
Hybride Arbeitsumgebungen und Bring-your-own-device (BYOD)-Richtlinien könnten nach meinung von Lookout zwei Gründe für den Anstieg sein. Die Unternehmen mussten akzeptieren, dass immer häufiger persönliche Mobilgeräte für berufliche Zwecke zum Einsatz kommen. Es gilt jedoch zu bedenken, dass jedes mobile Gerät – ob privat oder unternehmenseigen, verwaltet oder nicht verwaltet, iOS oder Android – anfällig für Phishing-Versuche ist.
Wie BYOD die Phishing-Landschaft verändert hat
Smartphones und Tablets haben es für Mitarbeiter einfacher gemacht, von überall aus produktiv zu sein, aber sie haben auch neue Herausforderungen für IT- und Sicherheitsteams mit sich gebracht. BYOD-Richtlinien bedeuten, dass mehr Menschen als je zuvor ihre privaten Geräte für die Arbeit nutzen. Dies bedeutet, dass die Risiken, denen sie bei der Nutzung dieser Geräte aus persönlichen Gründen begegnen, auch Risiken für das Unternehmen darstellen. IT- und Sicherheitsteams haben außerdem einen deutlich geringeren Einblick in diese Geräte als in die unternehmenseigenen Geräte, was bedeutet, dass es schwieriger ist, diese erhöhten Risiken zu kontrollieren.
Diese Faktoren führen dazu, dass Angreifer nun gezielt die privaten Geräte der Benutzer angreifen, um in Unternehmensumgebungen einzudringen. Ein Mitarbeiter kann über private Kanäle wie soziale Medien, WhatsApp oder E-Mail zum Opfer eines Social-Engineering-Angriffs werden. Sobald dies der Fall ist, können Angreifer Zugang zu den Netzwerken oder Daten seines Arbeitgebers erhalten. Das ist zudem kein einmaliges Ereignis, so zeigen Daten von Lookout, dass im Jahr 2022 mehr als 50 Prozent der privaten Geräte mindestens einmal pro Quartal einer Art von mobilem Phishing-Angriff ausgesetzt waren.
Millionenbeträge stehen auf dem Spiel
Daten sind nicht das Einzige, was Unternehmen riskieren, wenn Mitarbeiter auf einen Phishing-Betrug hereinfallen. Lookout schätzt, dass die maximalen finanziellen Auswirkungen eines erfolgreichen Phishing-Angriffs für Unternehmen mit 5.000 Mitarbeitern auf fast vier Millionen US-Dollar gestiegen sind. Stark regulierte Branchen wie Versicherungen, Banken und das Rechtswesen gelten als die lukrativsten Märkte und sind aufgrund der großen Menge an sensiblen Daten, die sie besitzen, besonders anfällig für Angriffe.
Diese hohen Kosten fallen in eine Zeit, in der die Zahl der Phishing-Angriffe so hoch ist wie nie zuvor. Im Vergleich zu 2020 ist die Zahl der Phishing-Angriffe auf Unternehmensgeräten jetzt um 10 Prozent und auf privaten Geräten um 20 Prozent höher. Außerdem klicken die Menschen häufiger auf Phishing-Links als noch im Jahr 2020, was bedeuten könnte, dass die Angreifer immer besser darin werden, authentisch aussehende Nachrichten zu erstellen. Da mehr Risiken und mehr Geld auf dem Spiel stehen als je zuvor, müssen Unternehmen ihre Sicherheitsstrategien anpassen, um ihre Daten zu schützen.
Daten gegen mobile Phishing-Angriffe schützen
Die Mobile-Phishing-Landschaft ist tückischer als je zuvor, vor allem, da das standortunabhängige Arbeiten zunimmt. IT- und Sicherheitsteams müssen Strategien anwenden, die es ihnen ermöglichen, die Datenrisiken, die von Phishing-Angriffen ausgehen, auf allen Mitarbeitergeräten zu visualisieren, zu erkennen und zu minimieren. Dies gilt unabhängig davon, ob es sich um unternehmenseigene oder private Geräte handelt. Mit der richtigen Strategie, basierend auf dem Zero-Trust-Prinzip und SASE (Secure Access Service Edge), ist es möglich, die hybride Arbeitswelt sicher zu gestalten.
„Eine geräteinterne und KI-gestützte Phishing-Erkennung über eine cloudbasierte Sicherheitsplattform ermöglicht es, Angriffe dort zu stoppen, wo sie beginnen. Eine entsprechende Sicherheitslösung hindert Benutzer daran, sich sowohl auf Unternehmens- als auch Privatgeräten mit Phishing-Websites zu verbinden“, erklärt Sascha Spangenberg, , Global MSSP Solutions Architect bei Lookout. „Eine solche Lösung erkennt und blockiert Phishing-Angriffe über jede beliebige mobile App und hindert Mitarbeiter daran, Zugangsdaten preiszugeben oder bösartige Software herunterzuladen. Gerade der Schutz vor mobilen Phishing-Bedrohungen muss dabei Priorität haben, wenn hybrides Arbeiten Realität ist.“
Mehr bei Lookout.com
Über Lookout Die Mitbegründer von Lookout, John Hering, Kevin Mahaffey und James Burgess, schlossen sich 2007 mit dem Ziel zusammen, Menschen vor den Sicherheits- und Datenschutzrisiken zu schützen, die durch die zunehmende Vernetzung der Welt entstehen. Noch bevor Smartphones in jedermanns Tasche waren, erkannten sie, dass Mobilität einen tiefgreifenden Einfluss auf die Art und Weise haben würde, wie wir arbeiten und leben.