Gefährliche Links, zweifelhafte Forderungen und fiese Tricks: Immer wieder verschaffen sich Cyberkriminelle Zugang zu den empfindlichsten Stellen einer Organisation. Und das kann schnell mal teuer werden: Das Cybersecurity-Unternehmen Proofpoint hat gemeinsam mit dem privaten Ponemon Institute eine Studie zu Phishing-Angriffen auf US-Unternehmen vorgestellt. Während 2015 noch durchschnittliche Schäden von 3,8 Millionen US-Dollar jährlich durch Phishing-Angriffe verzeichnet wurden, melden die 591 befragten IT-Verantwortlichen 2021 deutlich erhöhte Verluste von etwa 14,8 Millionen Dollar.

Die Gesamtsumme, die in der „The 2021 Cost of Phishing Study“ präsentiert wird, setzt sich aus verschiedenen Faktoren zusammen. In die Berechnung fließen beispielsweise die Kosten für das Zurückhalten von Malware ein – und die Kosten, die entstehen, wenn das nicht geklappt hat. Etwa 15 Prozent der gesamten Infizierungen mit Malware seien auf Phishing-Angriffe zurückzuführen; sie schlagen dann mit rund 807.506 Dollar zu Buche. Die Kompromittierung von Zugangsdaten wird auf ähnliche Weise geteilt in den Gesamtwert eingerechnet.

Ein enormer Kostenfaktor ist außerdem der Betrug via Business-E-Mail-Compromise (BEC, auch genannt CEO Fraud). Dabei stammen die gefälschten Mails vermeintlich von einem Mitglied der Geschäftsführung und fordern von den Mitarbeiter:innen meist die Überweisung hoher Geldbeträge. Etwa 1,17 Millionen Dollar seien in den letzten zwölf Monaten durchschnittlich pro Unternehmen direkt als Zahlungen an die unerkannten BEC-Angreifer geflossen. Die im weiteren Verlauf anfallenden Kosten lägen bei solchen Attacken allerdings mit fast sechs Millionen Dollar pro Jahr noch einmal deutlich höher.

Ransomware, die durch Phishing-Angriffe eingeschleust wird, stellt im Durchschnitt einen jährlichen Kostenpunkt von etwa 996.265 Dollar dar.

Phishing-Nachrichten bedeuten für Unternehmen zudem einen Produktivitätsrückgang: Während sich Mitarbeiter:innen der US-Unternehmen 2015 pro Jahr etwa vier Stunden mit Phishing-Mails beschäftigt haben, seien es 2021 sieben Stunden gewesen, so die Schätzung der Studie. Finanziell zieht das 2021 eine durchschnittliche Einbuße von 3,2 Millionen Dollar nach sich – 2015 waren es noch 1,8 Millionen Dollar. Nach einem Angriff nehmen vor allem Reinigung und Wiederherstellung infizierter Systeme Zeit in Anspruch, der geringste Zeitaufwand fällt hingegen für Dokumentation und Planung an.

Doch wie sieht die Lage für deutsche Unternehmen aus? Eine Umfrage zum Wirtschaftsschutz, die der deutsche Digitalverband Bitkom Anfang August 2021 vorgestellt hat, zeigt: Die Zahl der Unternehmen in Deutschland, die beispielsweise von „digitaler Sabotage“ betroffen war, ist um elf Prozentpunkte im Vergleich zu 2019 gestiegen; beim Diebstahl von sensiblen digitalen Daten und Informationen sind es 19 Prozent mehr als noch 2019.

Am häufigsten richten bei den Cyberangriffen gegen deutsche Unternehmen Malware, DDoS-Attacken und Spoofing, also das Vortäuschen einer falschen Identität, tatsächlichen Schaden an. Phishing-Angriffe ziehen in 18 Prozent der Fälle Schäden nach sich – hier ist sogar ein leichter Rückgang im Vergleich zu 2019 (23 Prozent) zu verzeichnen. Insgesamt verursachen Angriffe mittlerweile aber häufiger einen tatsächlichen Schaden als beispielsweise noch 2019: Die Unternehmen melden einen Anstieg der Schadensquote von 70 Prozent auf 86 Prozent. Auch die Anzahl der Cyberattacken an sich hat 2020 laut einer Mehrheit der Befragten „stark“ oder „eher“ zugenommen – und die meisten gehen davon aus, dass sich diese Entwicklung zukünftig fortsetzen wird.