In den vergangenen 12 Monaten wurde über die Hälfte aller DACH-Unternehmen Opfer eines Spear-Fishing-Angriffs, so eine neue Barracuda-Studie. Bei 24 Prozent aller Unternehmen kompromittiereten Cyberkriminelle zudem mindestens ein unternehmenseigenens E-Mail-Konto - und versendeten rund 370 bösartige E-Mails.

Laut des neuen Spear-Phishing-Trends-Report 2023 von Barracuda Networks, einem Anbieter von Cloud-basierten Sicherheitslösungen, ist die DACH-Region international leicht überdurchschnittlich von solchen Angriffen betroffen.

Der Bericht enthält Barracuda Spear-Phishing-Daten und -Analysen von rund 50 Milliarden E-Mails aus 3,5 Millionen Postfächern, darunter fast 30 Millionen Spear-Phishing-E-Mails. Zudem beinhaltet der Report Ergebnisse aus einer von Vanson Bourne durchgefürten Umfrage:  Dafür wurden IT-Fachleute aus 1.350 Unternehmen aus verschiedenen Branchen in den USA, EMEA und APAC befragt, 150 davon aus der DACH-Region.

Insgesamt zeigt die Studie, dass Cyberkriminelle Unternehmen 2022 weiterhin mit gezielten E-Mail-Angriffen überhäufen und viele Unternehmen Mühe haben, damit Schritt zu halten. Obwohl Spear-Phishing-Angriffe nur in geringem Umfang stattfinden, sind sie weit verbreitet und im Vergleich zu anderen Arten von E-Mail-Angriffen sehr erfolgreich: Ein typisches Unternehmen erhielt täglich 5 hochpersonalisierte Spear-Phishing-E-Mails. Zwar machen Spear-Phishing-Angriffe insgesamt nur 0,1 Prozent aller E-Mail-basierten Angriffe aus, sind aber für 66 Prozent aller Sicherheitsverletzungen verantwortlich.

Schwierige Abwehr und schwere Folgen

Unternehmen spüren die Auswirkungen: 55 Prozent der Befragten, die einen Spear-Phishing-Angriff erlebten, berichteten, dass ihre Rechner mit Malware oder Viren infiziert wurden (50 Prozent in DACH). 49 Prozent gaben an, dass sensible Daten gestohlen wurden (56 Prozent in DACH). 48 Prozent waren von gestohlenen Anmeldedaten und/oder Account Takeover betroffen – in der DACH-Region waren es sogar 62 Prozent. 39 Prozent aller befragten Unternehmen berichteten zudem über direkte finanzielle Verluste.

Die Erkennung von und Reaktion auf Bedrohungen bleibt eine Herausforderung: Im Durchschnitt benötigen Unternehmen fast 100 Stunden, um eine E-Mail-Bedrohung nach der Zustellung zu erkennen, darauf zu reagieren und Abhilfe zu schaffen: 43 Stunden, um den Angriff zu erkennen, und 56 Stunden, um zu reagieren und Abhilfe zu schaffen, nachdem der Angriff erkannt wurde. DACH-Unternehmen schnitten hierbei etwas besser ab: Bei ihnen lag nach eigenen Angaben die durchschnittliche Zeit bis zur Entdeckung nach einem Vorfall bei 22 Stunden und die durchschnittliche Zeit nach der Entdeckung eines Angriffs bis zur Reaktion und Behebung bei 44 Stunden. Als größte Hindernisse für eine schnelle Reaktion und Schadensbegrenzung nannten die IT-Fachleute in DACH eine fehlende Automatisierung (40 Prozent), mangelndes Wissen der Mitarbeiter*innen (38 Prozent) sowie einen Mangel an Personal (34 Prozent).

Fernarbeit erhöht die Risiken: Benutzer in Unternehmen mit mehr als 50 Prozent Remote-Mitarbeitenden berichten über eine höhere Anzahl verdächtiger E-Mails - im Durchschnitt 12 pro Tag (13 in DACH), verglichen mit 9 pro Tag (7 in DACH) bei Unternehmen mit weniger als 50 Prozent Remote-Mitarbeiter*innen. Mit steigender Anzahl an Remote-Angestelleten verlangsamt sich zudem Erkennung und Reaktion: Unternehmen mit einem Anteil von mehr als 50 Prozent Remote-Mitarbeiter gaben außerdem an, dass sowohl die Erkennung als auch die Reaktion auf E-Mail-Sicherheitsvorfälle länger dauert: 55 Stunden für die Erkennung und 63 Stunden für die Reaktion und Schadensbegrenzung, verglichen mit durchschnittlich 36 respektive 51 Stunden für Unternehmen mit weniger Remote-Mitarbeitern.

In der DACH-Region kehrte sich dieses Verhältnis im Vergleich zum internationalen Durchschnitt jedoch um. Unternehmen mit einem Anteil von mehr als 50 Prozent Remote-Mitarbeitern benötigten nur 15 Stunden für die Erkennung und 30 Stunden für die Reaktion und Schadensbegrenzung, verglichen mit 24 Stunden respektive 49 Stunden für Unternehmen mit weniger als 50 Prozent an Remote-Mitarbeitern. 

„Obwohl Spear-Phishing nur ein geringes Volumen hat, führt diese Technik mit ihren gezielten und Social-Engineering-Taktiken zu einer unverhältnismäßig hohen Anzahl erfolgreicher Angriffe, und die Auswirkungen eines einzigen erfolgreichen Angriffs können verheerend sein“, meint Fleming Shi, CTO von Barracuda. „Um diesen Angriffen einen Schritt voraus zu sein, müssen Unternehmen in Lösungen zum Schutz vor Account Takeover investieren, die über künstliche Intelligenz verfügen. Solche Tools haben eine weitaus höhere Wirksamkeit als regelbasierte Erkennungsmechanismen.“ Mehr Effizienz bei der Erkennung werde Shis Ansicht nach dazu beitragen, den Reaktionsaufwand während eines Angriffs zu reduzieren - und Spear Fishing besser abzuwehren.

Den vollständigen Report können Sie hier nachlesen: www.barracuda.com/reports/spear-phishing-trends-2023