FBI: Cyberkriminalität verdoppelt sich im Jahr 2020 fast und kostet 4,2 Mrd. Dollar

Ein beunruhigendes Zeichen der Zeit ist der jährliche Internet Crime Report des FBI, der Anfang des Monats veröffentlicht wurde. Er zeigt, dass Cyberangriffe im Jahr 2020 sprunghaft angestiegen sind, von E-Mail-Phishing-Betrügereien bis hin zu kostspieligen Angriffen auf geschäftliche E-Mails.

Seit fast 20 Jahren gilt der Jahresbericht des Internet Crime Complaint Center (IC3) des FBI als Indikator für die Sicherheit im Internet. Der 2020 Internet Crime Report zeigt, dass sich die Beschwerden über Cyberkriminalität fast verdoppelt haben: Im Jahr 2019 erhielt das IC3 467.361 Meldungen, die im vergangenen Jahr auf rekordverdächtige 791.790 Beschwerden in die Höhe schnellten.[1] E-Mail war weiterhin der wichtigste Angriffspunkt für die meisten Betrugs- und Cyberangriffsversuche, und der Bericht stellte einige beunruhigende damit verbundene Trends fest, die Unternehmen und Einzelpersonen Milliarden von Dollar kosten.

Cyberkriminelle nutzten das "Jahr der sozialen Distanzierung" aus

Einige der Enthüllungen des Berichts waren angesichts des neuen Arbeitsumfelds, das 2020 entstand, nicht überraschend. Wie der Bericht von Mimecast The Year of Social Distancing erklärt, haben Bedrohungsakteure im ersten Jahr der Pandemie aufgrund von Fernarbeit und der zunehmenden Nutzung digitaler Tools durch Mitarbeiter zu Hause diese anfälligen Ziele ins Visier genommen. Nach Angaben des Mimecast Threat Intelligence Center stieg das Volumen der Cyberangriffe um 48 % an, wobei die Spitzen parallel zu den Anstiegen der Infektionsraten im April und Oktober letzten Jahres verliefen.

Der FBI-Bericht unterstreicht diesen Trend und zeigt auf, dass E-Mail-Phishing-Angriffe weiterhin der beliebteste Angriffsvektor für Cyberkriminelle sind. Derartige Angriffe haben sich im vergangenen Jahr mehr als verdoppelt, von etwa 114.000 E-Mail-Phishing-Angriffen im Jahr 2019 auf rund 241.000 Angriffe im vergangenen Jahr.

Im vergangenen Jahr gab es erneut Social-Engineering-Phishing-Angriffe per E-Mail, die darauf abzielten, Benutzer zu betrügen, die mit COVID-19-Krankenhausaufenthalten und dem Verlust ihres Arbeitsplatzes sympathisierten. Andere Betrügereien, so das IC3, gaben vor, Informationen über falsche Virusheilmittel und -behandlungen anzubieten. Ein Großteil dieser Angriffe, so das FBI, zielte darauf ab, Anmeldedaten von Mitarbeitern zu stehlen.

E-Mail- und Kollaborationstools enthüllten mehr sensible Informationen

Der Trend ist doppelt besorgniserregend, wie der Mimecast-Bericht hervorhebt, da die Unternehmen aus der Not heraus mehr sensible Informationen als je zuvor digital online übertragen mussten. Abriegelungen auf der ganzen Welt bedeuteten, dass Daten, die von Wettbewerbsanalysen über Forschung und Entwicklung bis hin zu Finanzprognosen reichten - alles Daten, die früher vielleicht in den Sitzungssälen der Unternehmen besprochen wurden - plötzlich online über E-Mail und neue Tools für die Zusammenarbeit ausgetauscht wurden.

Und Mitarbeiter, die von zu Hause aus arbeiten, wenden in ihren neuen Außenstellen nicht dieselben Cyber-Hygienemaßnahmen an, die sie in der Unternehmenszentrale anwenden. Das Mimecast Threat Intelligence-Team fand heraus, dass die Mitarbeiter "einfach nicht so wachsam sind, was die Cybersicherheit angeht, wenn sie zu Hause sind." Der Mimecast-Bericht fand heraus, dass die Zahl der unsicheren Klicks (Klicks auf bösartige URLs in E-Mails) durch Mitarbeiter weltweit während des Jahres der sozialen Distanzierung um das Dreifache gestiegen ist.

BEC-Angriffe (Business Email Compromise) kosten im Jahr 2020 1,8 Milliarden Dollar

Diese Trends führten zu rekordverdächtigen finanziellen Schäden durch Cyberangriffe. Die IC3 schätzt die Gesamtverluste für Unternehmen und Privatpersonen auf 4,2 Milliarden US-Dollar im Jahr 2020; davon wurde der größte finanzielle Schaden durch BEC-Angriffe (Business Email Compromise) verursacht, die satte 1,8 Milliarden US-Dollar verursachten.

Die BEC-Cyberkriminalität weitete sich im Jahr 2020 aus, indem sie sich als interne Unternehmensvertreter ausgab und kompromittierte Lieferanten, Kunden und Anwaltskanzleien ausnutzte. Gestohlene Gelder, die auf diese Weise erlangt wurden, flossen laut FBI zunehmend in Kryptowährungen, was die Wiederherstellung extrem erschwerte. Und BEC war effizient und profitabel für Kriminelle. Man bedenke, dass nur etwas mehr als 19.000 BEC-Angriffe den Dieben 1,8 Milliarden Dollar einbrachten, während es mehr als 241.000 E-Mail-Phishing-Angriffe brauchte, um 54 Millionen Dollar an gestohlenen Geldern zu generieren.

E-Mail ist immer noch das Tor zur Cyberkriminalität

Die wichtigste Erkenntnis aus dem IC3-Bericht ist, dass E-Mails nach wie vor das beliebteste Ziel für Cyberkriminelle sind. E-Mail-Phishing-Angriffe sind zum Beispiel oft nur der Einstieg in ausgefeiltere und schädlichere BEC-Betrügereien. Und da immer mehr Angestellte zu Hause arbeiten, haben die Angreifer die Zahl ihrer Angriffe erhöht.

Außerdem darf nicht vergessen werden, dass der IC3-Bericht zwar ein wichtiger Maßstab ist, aber möglicherweise nur einen Bruchteil der tatsächlichen Bedrohung darstellt, da er nur Vorfälle erfasst, die dem IC3-Zentrum des FBI direkt gemeldet werden. Einige umfangreiche Angriffe, wie die jüngsten Zero-Day-Angriffe, die für Schlagzeilen sorgen, bleiben möglicherweise unentdeckt und werden nicht gemeldet. Von Nationalstaaten unterstützte Cyber-Kampagnen können auch größeren Schaden in Form von Diebstahl geistigen Eigentums und Rufschädigung anrichten.

Threat Intelligence Center rät zu ständiger Wachsamkeit

Was bringt das zweite Jahr der Pandemie? Das Mimecast Threat Intelligence Team schätzt die Wahrscheinlichkeit, dass Bedrohungsakteure weiterhin die unsichere Arbeitssituation ausnutzen, auf 95 % oder "sehr wahrscheinlich. " Nicht nur Fernarbeiter werden weiterhin Ziele sein, sondern auch Angestellte, die in Büros zurückkehren, wo sie mit neuen Protokollen und Stresssituationen konfrontiert werden. Während die Welt also weiterhin wachsam bleiben muss, um die globale Pandemie zu bekämpfen, ist es klar, dass wir genauso wachsam sein müssen, um die kommenden Wellen von Cybersicherheitsbedrohungen abzuwehren.

Die Quintessenz

Der jährliche Internet Crime Report des FBI bestätigt, dass die Cyberkriminalität im Jahr 2020 im Zuge der COVID-19-Pandemie stark angestiegen ist. E-Mail-Phishing ist nach wie vor das beliebteste Einfallstor für Cyberangriffe, die Kompromittierung von Geschäfts-E-Mails hat sich über interne Unternehmensziele hinaus auf die Lieferketten von Unternehmen ausgeweitet - und ist weiterhin die teuerste Form von Cyberangriffen. In der Zwischenzeit warnt das Threat Intelligence Center von Mimecast die Unternehmen, stets wachsam zu bleiben, da selbst die Rückkehr der Mitarbeiter in die Büros wahrscheinlich neue beunruhigende Situationen schaffen wird, die Cyberkriminelle ausnutzen können.

[1] "FBI veröffentlicht den Internet Crime Complaint Center 2020 Internet Crime Report, einschließlich COVID-19 Scam Statistics," FBI