Die Beschwerdestelle für Internetkriminalität des US-amerikanischen Federal Bureau of Investigation (FBI) hat ihren Jahresbericht für 2022 veröffentlicht (FBI – Annual Internet Crime Report 2022). Mit über 300.000 Beschwerden waren erneut Phishing-Angriffe die häufigste Kriminalitätsart. Das FBI hält fest: »Cyber-Risiken sind Geschäftsrisiken«.
IC3: Cybercrime-Abteilung des FBI
Sein Ruf ist legendär: kaum ein Hollywood-Blockbuster, in dem Agenten des FBI nicht dabei helfen, die Welt vor dem Untergang, mindestens aber einem Bösewicht zu bewahren. Das moderne FBI von heute ist eine auf Bedrohungen ausgerichtete nationale Sicherheitsorganisation, die sowohl nachrichtendienstliche als auch Strafverfolgungsaufgaben wahrnimmt.
Da Cyberangriffe und cybergestützte Betrügereien unser Leben zunehmend beeinträchtigen, ist das Internet Crime Complaint Center (kurz: IC3) des FBI von entscheidender Bedeutung für deren Bekämpfung. Das IC3 wurde im Mai 2000 eingerichtet, um Beschwerden aus dem gesamten Spektrum der Cyber-Angelegenheiten entgegenzunehmen – darunter Online-Betrug in seinen zahlreichen Erscheinungsformen, einschließlich Fragen der Rechte des geistigen Eigentums, Computereinbrüche (Hacking), Wirtschaftsspionage (Diebstahl von Geschäftsgeheimnissen), Online-Erpressung, Geldwäsche, Identitätsdiebstahl und eine wachsende Liste internetgestützter Straftaten.
Das Internet Crime Complaint Center (IC3) ist eine im Jahr 2000 gegründete Spezialabteilung des FBI, die sich mit Cyberkriminalität beschäftigt. Ziel der Abteilung ist es, Daten zu Cyberkriminalität zu sammeln, Trends zu erkennen und die Öffentlichkeit zu informieren.
Das IC3 dient als öffentliche Ressource für die Einreichung von Berichten über Cyberangriffe und -vorfälle und ermöglicht es, Daten zu sammeln, Trends zu erkennen und die jeweilige Bedrohung zu verfolgen. Zur Förderung des öffentlichen Bewusstseins und als Teil seines Präventionsauftrags fasst das IC3 die übermittelten Daten zusammen und erstellt einen Jahresbericht über die die Öffentlichkeit betreffenden Trends sowie routinemäßige Informationsberichte.
»Cybergestützte Kriminalität gibt es schon seit vielen Jahren, aber die von den Tätern angewandten Methoden werden immer umfangreicher und ausgefeilter und kommen aus der ganzen Welt«, sagt David Nanz, der zuständige Special Agent des FBI Springfield Field Office.
Risiken für Ihre Marke rechtzeitig erkennen
Sie wollen den Internetauftritt Ihres Unternehmens vor Markenmissbrauch durch Dritte schützen? Machen Sie den ersten Schritt: Unser Automated Domain Monitoring informiert Sie über bestehende und neue Domainregistrierungen mit dem Begriff Ihrer Marke sowie relevanten Abweichungen. So können Sie schnellstmöglich gegen mögliche Markenrechtsverletzung vorgehen.
Schäden durch Cyberkriminalität nehmen zu
In den Jahren 2018 bis 2022 gingen bei der IC3 durchschnittlich 652.000 Beschwerden pro Jahr ein. Diese Beschwerden beziehen sich auf eine breite Palette von Internet-Betrügereien, die Opfer in aller Welt betreffen. War die Zahl der eingegangenen Meldungen 2018 mit 351.937 Vorfällen noch vergleichsweise gering, nahm das IC3 allein im Jahr 2022 insgesamt 800.944 Beschwerden auf. Das entspricht zwar einem Rückgang von 5 Prozent gegenüber 2021; der potenzielle Gesamtschaden stieg jedoch zugleich von 6,9 Milliarden US-Dollar im Jahr 2021 auf mehr als 10,2 Milliarden US-Dollar im Jahr 2022. Die zahlenmäßig mit Abstand dominierende Kriminalitätsart war dabei erneut das Phishing.
»[…] die von den Tätern angewandten Methoden werden immer umfangreicher und ausgefeilter […]«
David Nanz (FBI)
| Verbrechenstyp | Zahl der Opfer |
| Phishing | 300.497 |
| Verletzung des Schutzes personenbezogener Daten | 58.859 |
| Nicht-Zahlung/Nicht-Lieferung | 51.679 |
| Erpressung | 39.416 |
| betrügerischer technischer Support | 32.538 |
| Anlagebetrügereien | 30.529 |
| Identitätsdiebstahl | 27.922 |
| Betrug mit Kreditkarte/Scheck | 22.985 |
| Kompromittierung von Geschäfts-E-Mails | 21.832 |
| Spoofing | 20.649 |
Häufiger Cyberangriff: Phishing
Obwohl Cyberkriminelle eine Vielzahl von Techniken einsetzen, sind Phishing-E-Mails, die Ausnutzung des Remote Desktop Protocol (RDP) und die Ausnutzung von Softwareschwachstellen nach wie vor die Hauptinfektionsvektoren für Ransomware-Vorfälle, die dem IC3 gemeldet wurden.
Phishing (abgeleitet von Password-Fishing) wird allgemein definiert als illegale Beschaffung von Zugangsdaten zum Online-Banking. Die Definition des FBI geht etwas weiter; darunter fällt die Verwendung unerbetener E-Mails, Textnachrichten und Telefonanrufe, die angeblich von einem seriösen Unternehmen stammen und persönliche, finanzielle und/oder Anmeldedaten anfordern.
So macht united-domains Ihre Domain sicher
Wir schützen Ihr Domain-Portfolio mit einem gut durchdachten, dreistufigen Sicherheitskonzept.
In der klassischen Form des Phishings erhält das Opfer vom Angreifer eine E-Mail im Corporate-Design eines Kreditinstituts. In der E-Mail wird das Opfer aufgrund einer vermeintlichen Dringlichkeit aufgefordert, einen Link zu öffnen. Dieser Link führt zumeist auf eine – ebenfalls im Corporate-Design des Kreditinstituts gestaltete – betrügerische Webseite. Im Rahmen dieser vertrauten Umgebung gibt das getäuschte Opfer dann Kontodaten, TAN und PIN preis. Die Täter ist damit in der Lage, frei über das Konto des Opfers zu verfügen (Köbrich: Phishing 2.0 – Ein Überblick über die zivilrechtlichen Streitstände).
Die Auswirkungen von Phishing auf Einzelanwender und Unternehmen sind unabhängig von ihrer Größe oder Branche erheblich, indem sie Serviceunterbrechungen, finanzielle Verluste und in einigen Fällen den dauerhaften Verlust wertvoller Daten verursachen. Für Unternehmen entsteht im Fall eines erfolgreichen Angriffs neben dem finanziellen auch ein Reputationsschaden. Sollten in Folge eines Cyberangriffs Kundendaten gestohlen werden, können die betroffenen Kunden zudem Schadensersatz fordern. Für Unternehmen ist es daher von entscheidender Bedeutung, sich gegen derartige Angriffe abzusichern und die Angestellten zu schulen.
Maßnahmen gegen Phishing
Nach den Erfahrungen des FBI können Unternehmen jedoch selbst eine entscheidende Rolle spielen, indem sie proaktive Maßnahmen ergreifen, um einen potenziellen Cyberangriff durch Phishing zu verhindern. Das FBI hebt dabei folgende vier Sofortmaßnahmen hervor, die auch Sie jetzt zum Schutz ergreifen können:
- Aktualisieren Sie Ihr Betriebssystem und Ihre Software.
- Wenn Sie Fernzugriff-Software verwenden, sichern und überwachen Sie es.
- Erstellen Sie eine Offline-Sicherung Ihrer Daten.
Eine besonders wichtige Maßnahme, um Phishing vorzubeugen, ist die Schulung von Mitarbeitern. Diese warnt idealerweise vor der Betrugsmasche und gibt eine grundlegende Checkliste für verdächtige Nachrichten an die Hand:
- Führen Sie Benutzerschulungen und Phishing-Übungen durch, um das Bewusstsein für die Risiken verdächtiger Links und Anhänge zu schärfen.
- Aufmerksam sein: Passt der angezeigte Absender in der E-Mail/Nachricht zur verwendeten Absenderadresse?
- Kritisches Prüfen von Links: Handelt es sich um einen Textlink, doch die hinterlegte URL deutet auf ein völlig anderes Ziel hin? Oder wurde die eingefügte URL mit einem Dienst wie bit.ly verkürzt?
- Hinterfragen: Wird der Empfänger aufgefordert, vertrauliche Daten preiszugeben? Braucht der Absender diese Daten wirklich?
- Genau hinsehen: Wird der Empfänger mit Formulierungen wie »umgehend« oder »letzte Warnung« unter Druck gesetzt, zu handeln?
Automatisch Domains überwachen
Automated Domain Monitoring von united-domains überwacht und berichtet bestehende und neue Domainregistrierungen mit dem Begriff Ihrer Marke oder relevanten Abweichungen davon (z. B. Tippfehler-Domains) für gTLDs, new gTLDs und ccTLDs. So erkennen Sie frühzeitig, ob Domainregistrierungen ein Risiko für Ihre Marke darstellen.
Schutzmaßnahme gegen Phishing: Domains registrieren
Im Rahmen einer langfristigen Phishing-Strategie sind viele Unternehmen und Organisationen, aber auch Privatpersonen dazu übergegangen, potenziell gefährliche Domain-Namen vorbeugend oder defensiv zu registrieren, ohne sie selbst aktiv zu nutzen. Damit sind sie dem Markt entzogen, können also von Cyberkriminellen nicht registriert und für Phishing missbraucht werden. Zugleich eröffnet man sich die Möglichkeit, diese Domains zu einem späteren, beliebigen Zeitpunkt zu reaktivieren und für neue Angebote zu nutzen.
Inhaber von Kennzeichenrechten nehmen defensive Domain-Registrationen zumeist vor, um ihre Rechte vor Verletzungen zum Beispiel durch Domain-Grabber zu schützen; überdies sind mit einer »defensiven« Domain-Registrierung in der Regel weit geringere Kosten verbunden als im Streitfall vor Gerichten anfallen würden. Niemand ist Phishing-Angriffen wehrlos ausgesetzt; wer allerdings untätig bleibt, steigert das Risiko, langfristig erheblichen Schaden zu erleiden.
