Mimecasts State of Email Security 2021 enthüllt pandemische E-Mail-Bedrohungen

Der gesundheitliche Schaden, den die COVID-19-Pandemie angerichtet hat, ist natürlich schlimm genug. Verheerend ist aber auch die Art und Weise, wie die Pandemie viele der Bedrohungen, mit denen Unternehmen bereits konfrontiert waren, noch verstärkt hat. Die Fragilität der Lieferkette zum Beispiel. Oder Einschränkungen der Infrastruktur. Oder die vielen Möglichkeiten, die E-Mail- und Computersysteme von Unternehmen anzugreifen.

Mimecast hat heute die Ergebnisse seines State of Email Security 2021 Berichts (SOES) veröffentlicht, der letzteres beleuchtet. Die Ergebnisse des Berichts 2021, der fünften jährlichen Studie dieser Art, bieten wichtige Einblicke in den dramatischen Anstieg von Cyberangriffen seit Beginn der globalen Pandemie. Auf der Grundlage von Interviews mit 1.225 Fachleuten aus den Bereichen Informationstechnologie und Cybersicherheit aus 12 Branchen und 10 Ländern dokumentiert der Bericht auch, wie sich große und kleine Unternehmen schützen - und wo sie bei diesen Bemühungen versagen.

Eine neue Flut von E-Mail-Bedrohungen

Die Geschichte beginnt mit der verblüffenden Erkenntnis, dass im Jahr 2020, als Unternehmen weltweit mehr denn je von der digitalen Kommunikation abhängig wurden, die Bedrohungen per E-Mail um 64 % zunahmen. Schlimmer noch: Cyberkriminelle nutzten die Befürchtungen rund um die Pandemie und die damit verbundene plötzliche Verlagerung auf Heimarbeit aus und hatten damit zunehmend Erfolg. Die Mimecast-Forscher fanden beispielsweise heraus, dass die Mitarbeiter im Zuge der Pandemie dreimal so viele bösartige E-Mails anklickten wie zuvor.

Viele Unternehmen sind sich bewusst, dass die Cyberrisiken zunehmen, und 70 % der Befragten gehen davon aus, dass ihr Geschäft im Jahr 2021 durch eine E-Mail-Bedrohung gestört wird. Dabei sind Phishing-Angriffe am weitesten verbreitet und haben seit Beginn der Pandemie um 63 % zugenommen, aber auch andere Bedrohungen - vor allem Ransomware - nehmen zu.

Und obwohl die E-Mail nach wie vor der am häufigsten genutzte Weg für einen Cyberangriff ist, ist sie bei weitem nicht die einzige Form der digitalen Kommunikation, die Bedrohungsakteure auszunutzen versuchen. Da die Reisetätigkeit stark eingeschränkt ist und sowohl Mitarbeiter als auch Kunden von zu Hause aus arbeiten, erfreuen sich Collaboration-Tools wie Slack und Microsoft Teams zunehmender Beliebtheit - werden aber auch immer mehr zur Zielscheibe von Cyberkriminellen, und mehr als zwei Drittel der Umfrageteilnehmer von 2021 (70 %) äußerten sich besorgt über die von diesen Programmen ausgehenden Risiken.

Einige Unternehmen kommen zurecht, aber andere haben zu kämpfen

Wie kommen die Unternehmen also mit einer noch schwieriger gewordenen Bedrohungslandschaft zurecht? Der SOES-Bericht 2021 weist auf einige Fortschritte, aber auch auf eine Reihe von Mängeln hin.

Die gute Nachricht ist, dass 44 % der befragten Unternehmen über eine Cyber-Resilienzstrategie verfügen, die ihnen hilft, sich an neue Bedrohungen anzupassen. Diese Unternehmen sind zuversichtlicher, was ihre Fähigkeit angeht, einem E-Mail-Angriff zu widerstehen. Nur 63 % stufen einen solchen Angriff als wahrscheinlich, sehr wahrscheinlich oder unvermeidlich ein, verglichen mit 76 % der Befragten aus Unternehmen ohne eine solche Strategie.

Auch die Wahrscheinlichkeit, von Ransomware betroffen zu sein, war bei Unternehmen mit einer Cyber-Resilience-Strategie geringer als bei Unternehmen ohne Strategie (53 % zu 68 %). Darüber hinaus halten es 35 % der Befragten aus Unternehmen mit einer Cyber-Resilience-Strategie für unwahrscheinlich, sehr unwahrscheinlich oder sogar unmöglich, dass ihre Organisation durch einen E-Mail-Angriff geschädigt wird, während nur 22 % der Befragten aus Unternehmen ohne Cyber-Resilience-Strategie dies für möglich halten.

Ein weniger erfreuliches Ergebnis ist, dass 79 % der SOES-Befragten einräumen, dass ihr Unternehmen im Jahr 2020 eine Betriebsunterbrechung, einen finanziellen Verlust oder einen anderen Rückschlag erlitten hat, der auf ihre mangelnde Cyberbereitschaft zurückzuführen ist. Allerdings haben fast alle (97 %) bereits verschiedene E-Mail-Sicherheitssysteme eingesetzt, sind dabei, solche Systeme einzuführen, oder ziehen dies in Betracht. Allerdings haben weniger als sechs von zehn Unternehmen bereits Systeme für jeden der vier in der Umfrage abgefragten Schlüsselbereiche der E-Mail-Sicherheit eingerichtet. Nur 26 % schützen sich vor allen vier Bereichen - und 13 % der befragten Unternehmen arbeiten noch immer ohne ein spezielles E-Mail-Sicherheitssystem.

Diese uneinheitliche Situation ist besonders ausgeprägt, wenn es um die Schulung der Mitarbeiter zur Erkennung von und zum Umgang mit Cyberangriffen geht. Während sieben von zehn Befragten der Meinung sind, dass das Verhalten der Mitarbeiter, wie z. B. mangelnde Passworthygiene, ihr Unternehmen gefährdet, bietet nur eines von fünf Unternehmen kontinuierliche Schulungen zum Thema Cyberangriffe an.

Weitere wichtige Themen der SOES 2021 sind die E-Mail-Schwachstellen, mit denen Microsoft 365-Nutzer konfrontiert sind, die wachsende Bedrohung durch Spoofing von Unternehmens-E-Mails und Marken-Identität sowie die zunehmende Nutzung von KI durch Unternehmen, um ihre Cyberabwehr zu stärken.

Die Quintessenz

So heißt es im SOES-Bericht 2021: "Im Jahr 2020 sahen sich Unternehmen und ihre Cybersicherheitsteams weltweit mit einer digitalen Pandemie von per E-Mail verbreiteter Malware, Phishing-Angriffen und raffinierten Methoden des Social Engineering konfrontiert, um ihre Systeme zu kompromittieren. Böswillige Akteure nutzten das Chaos, das durch eine globale Ansteckung entstand, um Millionen von plötzlich entfernten und desorientierten Arbeitnehmern ins Visier zu nehmen." Um diese und andere Herausforderungen zu meistern, ist die Vorbereitung auf den Cyberangriff von entscheidender Bedeutung. Unternehmen, die über eine Strategie für die Widerstandsfähigkeit gegenüber Cyberangriffen verfügen, sind zuversichtlicher, dass sie Angriffe per E-Mail verhindern und abwehren können, als Unternehmen, die diese Investition noch nicht getätigt haben.