E-Mails sind das am meisten verwendete Kommunikationsmittel innerhalb einer Firma und gleichzeitig die bevorzugte Methode für den Start eines Cyberangriffs: 91 Prozent gezielter Cyberangriffe auf Unternehmen beginnen mit einer E-Mail. Einen Anhang öffnen, auf einen Link klicken oder eine Geldüberweisung veranlassen – bei praktisch 100 Prozent dieser Angriffe via E-Mail muss die Empfängerin oder der Empfänger selbst aktiv werden, damit die Cyberattacke gelingt.
Grundsätzlich lassen sich zwei Arten von gefährlichen E-Mails unterscheiden: Solche mit und solche ohne Malware.
10% der E-Mail-Angriffe enthalten Malware. Bei diesen Angriffen handelt es sich meist um E-Mails mit einem infizierten Anhang beliebigen Dateityps. Öffnet der Mailempfänger den Anhang, wird sein Computer infiziert. Ransomware, also Erpressungssoftware, kann die gesamte IT lahmlegen, indem sie die infizierten Rechner verschlüsselt. Für die Entschlüsselung fordern die Angreifer meist eine horrende Lösegeldsumme.
Mit 90% sind E-Mail-Angriffe, bei denen keine Malware genutzt wird, weitaus häufiger. In diesen Fällen nutzen Cyberkriminelle eine gefälschte Identität, um an Unternehmensinformationen oder Firmendaten zu gelangen. Dies gelingt beispielsweise mit Hilfe von gefälschten Seiten, über die Angreifer an Passwörter heranzukommen versuchen. Wenn ein Passwort einmal «gephisht» wurde, versuchen Cyberkriminelle dieses auf verschiedenen Webdiensten auszunutzen. Deshalb gilt: Niemals dasselbe Passwort verwenden, sondern sogenannte «Password Vaults» mit generierten Passwörtern nutzen.
Ein Beispiel für E-Mails ohne Malware, das in den vergangenen Jahren grossen Schaden verursacht hat, ist der CEO-Betrug oder CEO-Fraud. Laut eines Berichts des FBI konnten Cyberkriminelle von 2016 bis 2019 durch CEO-Fraud weltweit 26 Milliarden US-Dollar – umgerechnet also rund 25 Milliarden Schweizer Franken – ergaunern. Beim CEO-Fraud geben sich Cyberkriminelle als CEO eines Unternehmens aus und fordern Mitarbeitende per Mail auf, eine finanzielle Transaktion zu veranlassen oder geheime Dokumente zu versenden. Die Angreifer erhoffen sich, dass Mitarbeitende aufgrund der stressigen Situation und des Autoritätsdrucks die Anweisung nicht adäquat überprüfen. Der Betrag bleibt in den meisten Fällen verloren, da das Geld kurz nach der Überweisung auf eine Reihe von weiteren Konten überwiesen wird. Auf diese Weise kann das Geld nicht schnell genug nachverfolgt und somit auch nicht zurückgefordert werden.
Wie können Unternehmen und ihre Mitarbeitenden dieser kriminellen E-Mail-Flut begegnen? Immer wieder kommen neue Angriffsmuster auf. Die IT-Sicherheitsabteilung eines Unternehmens benötigt für jedes neue Angriffsmuster eine gewisse Zeit, um ihr Sicherheitsdispositiv anzupassen, damit E-Mails nicht im Posteingang des Mitarbeitenden landen. Deshalb gilt: Bei verdächtigen E-Mails die Absenderadresse hinsichtlich korrekter oder sinnvoller Schreibweise prüfen und keine Klicks tätigen. Ist der vermeintliche Absender dieser verdächtigen E-Mail ein Vorgesetzter oder Mitarbeitende, sollte in jedem Fall zuerst angerufen und abgeklärt werden, ob die E-Mail-Anfrage tatsächlich von der betreffenden Person stammt. «In solchen Fällen ist die Unternehmenskultur entscheidend. Mitarbeitende dürfen keine Hemmungen haben, sich rückzuversichern oder einen Vorfall dem IT-Helpdesk zu melden», so Marc Etienne Cortesi, Chief Information Security Officer der Baloise. Nur wenn die IT-Verantwortlichen Kenntnis von den Emails haben, können sie auch das Sicherheitsdispositiv entsprechend anpassen.