SPONSORED-POST Security

Finanzdienstleister im Visier von Cyberkriminellen

Uhr
von Werner Thalmeier, Director Sales Engineering EMEA, Proofpoint

E-Mail-Betrug betrifft nicht nur Unternehmen des Finanzsektors, doch auch Cyberkriminelle arbeiten ergebnisorientiert. Falls sie es schaffen, einen Mitarbeiter eines Unternehmens der Finanzbranche zu überlisten und für ihre Zwecke einzuspannen, verspricht dies ein äusserst lukratives Geschäft zu werden.

Werner Thalmeier, Director Sales Engineering EMEA, Proofpoint. (Source: www.tom-bauer-foto.de)
Werner Thalmeier, Director Sales Engineering EMEA, Proofpoint. (Source: www.tom-bauer-foto.de)

Wenn Finanzdienstleister dem Phänomen des E-Mail-Betrugs effektiv entgegenwirken möchten, müssen sie sich mehrere Trends vergegenwärtigen: Angriffe richten sich immer weniger gegen die IT-Infrastruktur. Hier haben die Unternehmen in den vergangenen Jahren ihre Hausaufgaben gemacht, sodass Sicherheitslücken, die Hacker für ihre Zwecke nutzen könnten, deutlich zurückgegangen sind. Viel einfacher, und für Cyberkriminelle deutlich kosteneffizienter, sind Social-Engineering-Attacken, die einzelne Mitarbeiter ausgewählter Unternehmen aufs Korn nehmen. Hier sind die technischen Einstiegshürden für Hacker niedriger, während der mögliche Ertrag ungleich höher ist.

Schaden für Finanzdienstleister um 50 Prozent höher als in anderen Branchen

Was jedoch für Cyberkriminelle ein lohnender Ertrag ist, verursacht auf der anderen Seite erhebliche Kosten. Der Ende Juli diesen Jahres von IBM und dem Ponemon Institut veröffentlichte "Cost of a Data Breach Report" beziffert die durchschnittlichen Kosten einer erfolgreichen Attacke für Unternehmen des Finanzdienstleistungssektors auf 5,86 Millionen US-Dollar (umgerechnet 5,72 Millionen Franken) und damit um annähernd 50 Prozent höher als im Durchschnitt aller Branchen.

E-Mail-Betrug als Betrugsmasche Nummer eins

Wie ausgereift E-Mail-Betrug gegen Unternehmen des Finanzsektors heute ist, zeigt sich auch in den Ergebnissen der aktuellen Studie "Email Fraud in Financial Services" von Proofpoint. Belegt wird nicht nur ein Anstieg der Angriffe um 60 Prozent von 2017 auf 2018, auch die Zahl der angegriffenen Personen im Unternehmen steigt. So waren bei 56 Prozent der Unternehmen mehr als fünf Mitarbeiter mit Betrugsversuchen konfrontiert.

Auffällig ist ferner ein stark erhöhtes Angriffsaufkommen am Montag sowie zwischen 7 und 14 Uhr – jeweils in der Zeitzone des potenziellen Opfers. Damit wollen die Angreifer die geringere Aufmerksamkeit von Mitarbeitern auszunutzen, die nach dem Wochenende oder zu Beginn des Arbeitstages ihren E-Mail-Posteingang ab­arbeiten.

Vorsicht vor Zahlungsanweisungen und als dringend deklarierten Anfragen

Kategorisiert man betrügerische E-Mails anhand ihrer Betreffzeilen, ist besondere Vorsicht bei all jenen Nachrichten geboten, die zu einer Zahlung auffordern, eine Anfrage beinhalten oder als dringend ausgewiesen sind.

Misstrauen schulen

Um effektiv gegen heutige Angriffe gewappnet zu sein, benötigen Unternehmen umfassende Kenntnis aller Ziele, die im Visier der Kriminellen stehen, sowie Kontrolle über alle Betrugsmethoden hinweg, einschliesslich Domain Spoofing, Display Name Spoofing und Lookalike Domains. Ebenso wichtig ist es, das Misstrauen der Mitarbeiter zu schulen, wie es bereits die Royal Bank of Scotland praktiziert. Dort begann man, über simulierte Phishing-Attacken die Wahrscheinlichkeit zu testen, dass Mitarbeiter auf einen echten Betrugsversuch hereinfallen. Diejenigen Nutzer, die mehrfach auf diese gefälschten Phishing-Nachrichten hereinfielen, erhielten ein besonders intensives Training: Dadurch konnte die Wahrscheinlichkeit, dass Nutzer auf betrügerische Kampagnen reagieren, um 78 Prozent reduziert werden.

Dies zeigt, dass intensive Schulungen ein erfolgreiches Mittel darstellen, um den Menschen mit seinen Schwächen besser gegen die aktuellen Bedrohungen durch Cyberkriminelle zu wappnen.

Webcode
DPF8_150271