Der Tag könnte wohl kaum schlechter starten: Eine Mail des Vorgesetzten liegt im Posteingang der Buchhaltung, in der dazu aufgefordert wird, eine längst fällige Forderung eines im Ausland ansässigen Lieferanten zu begleichen. Schnell überweisen, bevor es noch Ärger gibt - und schon ist es passiert. Soeben wurde Geld des Unternehmens unter der Vorgabe falscher Tatsachen und der Ausübung von Druck auf einen Mitarbeiter an ein fremdes Konto überwiesen.
Ein fiktives Beispiel, das sich in dieser oder ähnlicher Form täglich in deutschen Firmen abspielt. Mit Phishing-Mails täuschen Cyberkriminelle in präparierten E-Mails einen Vorwand vor, um Zugangsdaten, Pin-Codes und Firmeninterna zu erbeuten, Überweisungen zu provozieren oder schlichtweg Ransomware im System der Opfer zu platzieren. Zahlen und Fakten sprechen eine deutliche Sprache.
Schäden in Milliardenhöhe
Laut einer Studie des Digitalverbands Bitkom und des Bundesamts für Verfassungsschutz waren im Jahr 2017 mehr als 50 Prozent aller deutschen Unternehmen Opfer von Phishing-Attacken - Tendenz steigend. Die Studie kommt zudem zum Ergebnis, dass der aus Cyberangriffen resultierende Gesamtschaden für die deutsche Wirtschaft sich jährlich auf über 55 Milliarden Euro beläuft – wobei hier von einer weitaus höheren Dunkelziffer auszugehen ist, da eine Vielzahl von Attacken unentdeckt bleibt. Über 92 Prozent aller erfolgreichen Cyberattacken starten mit einer Phishing-Mail. Diese Zahl verdeutlicht: Das größte IT-Sicherheitsrisiko ist der Mensch.
Im Schnitt landen jährlich drei schadhafte Mails im Posteingang eines jeden Mitarbeiters deutscher Unternehmen. Das Problem: 80 Prozent dieser Mitarbeiter können differenzierte Phishing-Mails nicht von echten Mails unterscheiden und verursachen hierdurch im Worst-Case-Szenario Schäden in Millionenhöhe.
Immer wichtiger: Mitarbeiter-Awareness
Trotz der offenkundigen Schwachstellen herkömmlicher Spamfilter und der bekannten Gefahr von Phishing-Attacken wurden Investitionen im Bereich der Mitarbeiter-Awareness in Vergangenheit geradezu fahrlässig vernachlässigt. So wurden im Jahr 2014 weltweit gerade einmal eine Milliarde US-Dollar für Awareness-Maßnahmen ausgegeben – ein verschwindend geringer Betrag, wenn man sich die durch Cybercrime verursachten Kosten vor Augen hält.
Hier ist jedoch ein klarer Trendwechsel zu erkennen: Laut einer Prognose der IT-Beratung Gartner werden die Ausgaben im Bereich Mitarbeiter-Awareness bis zum Jahr 2027 auf zehn Milliarden US-Dollar jährlich steigen.
Um der Gefährdung durch Phishing-Attacken entgegenzutreten, gibt es einige unkomplizierte und grundlegende Maßnahmen, die direkt umsetzbar sind und das Bewusstsein der Mitarbeiter für Cyber-Threats stärken: