Unternehmen ab mehreren tausend Mitarbeiterinnen und Mitarbeiter sind immer häufiger von lateralem Phishing betroffen, einer Cyber-Angriffsmethode, bei der die Angriffe von einem bereits kompromittierten, internem E-Mail-Konto aus auf weitere E-Mail-Postfächer innerhalb des Unternehmens erfolgen. Wie ein neues Threat Spotlight von Barracuda Networks Inc., einem führenden Anbieter von Cloud-First-Sicherheitslösungen, zeigt, macht laterales Phishing fast die Hälfte (42 Prozent) der gezielten E-Mail-Bedrohungen aus, die auf Unternehmen mit 2.000 oder mehr Mitarbeitende abzielen, aber nur zwei Prozent der Angriffe auf Unternehmen mit bis zu 100 Mitarbeitenden.
Die Ergebnisse des Threat Spotlights basieren auf einer Analyse der gezielten E-Mail-Angriffe auf Unternehmen zwischen Anfang Juni 2023 und Ende Mai 2024 und zeigen zudem, dass kleinere Unternehmen am ehesten von externen Phishing-Angriffen betroffen sind. In den vergangenen zwölf Monaten betrafen 71 Prozent der gezielten E-Mail-Angriffe Unternehmen dieser Größe, im Vergleich zu 41 Prozent bei den größeren Unternehmen.
Kleinere Unternehmen sind zudem dreimal so häufig von Erpressungsversuchen betroffen als ihre größeren Pendants. Diese machten bei den kleineren Unternehmen sieben Prozent der auf sie abzielenden Angriffe aus, im Vergleich zu nur zwei Prozent bei Unternehmen mit 2.000 oder mehr Mitarbeiterinnen und Mitarbeitern. Die Unternehmensgröße hatte hingegen keine Auswirkung auf die Häufigkeit der Angriffsmethoden Business E-Mail Compromise (BEC) und Conversation Hijacking.
„Alle Unternehmen, unabhängig von ihrer Größe, sind durch E-Mail-basierte Angriffe gefährdet, allerdings auf unterschiedliche Art und Weise“, sagt Olesia Klevchuk, Director Product Marketing bei Barracuda. „Größere Unternehmen mit vielen E-Mail-Postfächern und Mitarbeitenden bieten Angreifern mehr potenzielle Angriffspunkte und Kommunikationskanäle, um schädliche E-Mails im Unternehmen zu verbreiten. Gleichzeitig werden Mitarbeiterinnen und Mitarbeiter E-Mails, die von innerhalb ihres Unternehmens gesendet werden, eher vertrauen, selbst wenn ihnen der tatsächliche Absender nicht bekannt ist. Bei kleineren Unternehmen hingegen ist die Wahrscheinlichkeit geringer, dass sie über mehrschichtige Sicherheitsstrategien verfügen. Zudem ist es wahrscheinlicher, dass kleinere Unternehmen aufgrund von mangelnder interner Expertise und mangelnden Ressourcen falsch konfigurierte E-Mail-Filter einsetzen.“
Barracuda empfiehlt regelmäßige Security Awareness Trainings für Mitarbeitende durchzuführen, die auch laterales Phishing umfassen, damit diese in der Lage sind, entsprechend verdächtige E-Mails zu erkennen. Eine mehrschichtige, KI-gestützte Abwehrstrategie ist der Schlüssel zur Erkennung und Behebung von komplexen Cyberangriffen, um die Folgen dieser Art von Angriffen einzudämmen und zu minimieren. Für kleinere Unternehmen kann es zudem sinnvoll sein, einen Managed Service Provider an Bord zu holen, um zusätzliche Expertise und Unterstützung für die Verbesserung ihrer Cyberabwehr gegen verschiedene Arten von Bedrohungen zur Verfügung zu haben.
Das komplette Threat Spotlight in englischer Sprache finden Sie hier auf dem Barracuda-Blog.