Cyberangriffe auf Unternehmen: CEO-Fraud und unerwünschte E-Mails

Fiona Egli
3. August 2020
Von elektronischer Post und blinden Passagieren: Über 90 Prozent gezielter Cyberangriffe auf Unternehmen beginnen mit einer E-Mail. Preisgabe von vertraulichen Informationen oder Klicks auf schädliche Anhänge und Links können für Unternehmen erhebliche finanzielle Verluste und Reputationsschäden zur Folge haben. Wie können Unternehmen und ihre Mitarbeitenden dieser kriminellen E-Mail-Flut begegnen?

E-Mails sind das am meisten verwendete Kommunikationsmittel innerhalb einer Firma und gleichzeitig die bevorzugte Methode für den Start eines Cyberangriffs: 91 Prozent gezielter Cyberangriffe auf Unternehmen beginnen mit einer E-Mail. Einen Anhang öffnen, auf einen Link klicken oder eine Geldüberweisung veranlassen – bei praktisch 100 Prozent dieser Angriffe via E-Mail muss die Empfängerin oder der Empfänger selbst aktiv werden, damit die Cyberattacke gelingt.

Grundsätzlich lassen sich zwei Arten von gefährlichen E-Mails unterscheiden: Solche mit und solche ohne Malware. 

E-Mails | Kommunikationsmittel und Basis für Cyberangriffe

10% der E-Mail-Angriffe enthalten Malware. Bei diesen Angriffen handelt es sich meist um E-Mails mit einem infizierten Anhang beliebigen Dateityps. Öffnet der Mailempfänger den Anhang, wird sein Computer infiziert. Ransomware, also Erpressungssoftware, kann die gesamte IT lahmlegen, indem sie die infizierten Rechner verschlüsselt. Für die Entschlüsselung fordern die Angreifer meist eine horrende Lösegeldsumme.

10 % der E-Mail-Angriffe enthalten Malware

CEO-Fraud führt zu ungewollten Transaktionen in Millionenhöhe

Ein Beispiel für E-Mails ohne Malware, das in den vergangenen Jahren grossen Schaden verursacht hat, ist der CEO-Betrug oder CEO-Fraud. Laut eines Berichts des FBI konnten Cyberkriminelle von 2016 bis 2019 durch CEO-Fraud weltweit 26 Milliarden US-Dollar – umgerechnet also rund 25 Milliarden Schweizer Franken – ergaunern. Beim CEO-Fraud geben sich Cyberkriminelle als CEO eines Unternehmens aus und fordern Mitarbeitende per Mail auf, eine finanzielle Transaktion zu veranlassen oder geheime Dokumente zu versenden. Die Angreifer erhoffen sich, dass Mitarbeitende aufgrund der stressigen Situation und des Autoritätsdrucks die Anweisung nicht adäquat überprüfen. Der Betrag bleibt in den meisten Fällen verloren, da das Geld kurz nach der Überweisung auf eine Reihe von weiteren Konten überwiesen wird. Auf diese Weise kann das Geld nicht schnell genug nachverfolgt und somit auch nicht zurückgefordert werden.

Mit Aufmerksamkeit gegen E-Mail-Angriffe

Wie können Unternehmen und ihre Mitarbeitenden dieser kriminellen E-Mail-Flut begegnen? Immer wieder kommen neue Angriffsmuster auf. Die IT-Sicherheitsabteilung eines Unternehmens benötigt für jedes neue Angriffsmuster eine gewisse Zeit, um ihr Sicherheitsdispositiv anzupassen, damit E-Mails nicht im Posteingang des Mitarbeitenden landen. Deshalb gilt: Bei verdächtigen E-Mails die Absenderadresse hinsichtlich korrekter oder sinnvoller Schreibweise prüfen und keine Klicks tätigen. Ist der vermeintliche Absender dieser verdächtigen E-Mail ein Vorgesetzter oder Mitarbeitende, sollte in jedem Fall zuerst angerufen und abgeklärt werden, ob die E-Mail-Anfrage tatsächlich von der betreffenden Person stammt. «In solchen Fällen ist die Unternehmenskultur entscheidend. Mitarbeitende dürfen keine Hemmungen haben, sich rückzuversichern oder einen Vorfall dem IT-Helpdesk zu melden», so Marc Etienne Cortesi, Chief Information Security Officer der Baloise. Nur wenn die IT-Verantwortlichen Kenntnis von den Emails haben, können sie auch das Sicherheitsdispositiv entsprechend anpassen.

Cyber-Versicherung für KMU

Wir begleiten Unternehmen in der digitalen Welt.