Cyberkriminalität stellt für britische Unternehmen eine ständige Bedrohung dar. Da viele Unternehmen auf eine digitale Lieferkette angewiesen sind und Cloud-basierte Plattformen zur Speicherung ihrer Daten verwenden, werden die Möglichkeiten für Bedrohungsakteure, Schwachstellen auszunutzen, immer größer, und Unternehmen haben Mühe, mitzuhalten.
Tatsächlich sind 100 % unserer weltweiten Bericht zum Stand der Informationssicherheit Die Befragten – über 1,500 Informationssicherheitsexperten – gaben an, dass ihre Organisation in den letzten 12 Monaten einen Cybersicherheits- oder Informationssicherheitsvorfall erlebt hat. Zusätzlich zu den möglichen finanziellen Verlusten durch diese Vorfälle erhielten 99 % der britischen Befragten behördliche Geldbußen wegen eines Datenverstoßes oder einer Verletzung von Datenschutzbestimmungen.
Anhand der an Action Fraud gemeldeten Daten und unseres State of Information Security Report untersucht Christie Rae die finanziellen Auswirkungen der Internetkriminalität auf britische* Unternehmen und zeigt auf, wie Organisationen ihre Informationssicherheitsmaßnahmen verbessern können.
Die fünf schlimmsten Cyberkriminalitätsfälle für britische Unternehmen
Action Fraud listet mehrere verschiedene Verbrechen in der Kategorie der Cyberkriminalität auf. Diese sind:
- NFIB50A – Computervirus/Malware/Spyware
- NFIB51A – Denial-of-Service-Angriff
- NFIB51B – Denial of Service Angriff – Erpressung
- NFIB52A – Hacking – Server
- NFIB52B – Hacking – Persönlich
- NFIB52C – Hacking – Soziale Medien und E-Mail
- NFIB52D – Hacking – PBX/Durchwahl
- NFIB52E – Hacking – Erpressung.
Nachfolgend sind die fünf häufigsten Cyberverbrechen aufgeführt, von denen britische Organisationen betroffen sind.
| Betrugsart (Top 5) | Berichtsvolumen | Finanzieller Verlust | Durchschnittlicher Verlust pro Meldung** |
| NFIB50A – Computervirus \ Malware \ Spyware | 274 | £908,196 | £3,315 |
| NFIB52C – Hacking – Soziale Medien und E-Mail | 1,944 | £783,704 | £403 |
| NFIB52E – Hacking-Erpressung | 411 | £401,923 | £978 |
| NFIB52B – Hacking – Persönlich | 199 | £98,565 | £495 |
| NFIB52A – Hacking – Server | 398 | £0 | £0 |
| Gesamt | 3,226 | £2,192,388 | £680 |
1. NFIB50A – Computerviren / Malware / Spyware
Beschreibung des Verbrechens des National Fraud Intelligence Bureau (NFIB)[1]: In diesem Abschnitt sollten Straftaten bis zu dem Zeitpunkt erfasst werden, an dem der Täter die Malware tatsächlich verwendet. Wenn der Täter die Malware verwendet, wird dieser Computer gezielt ins Visier genommen.
Wenn Malware verwendet wird, um Informationen zu erhalten, die zur Begehung von Betrug oder anderen Computermissbrauchsdelikten dienen, dann sind der Betrug oder der Computermissbrauch die Hauptstraftat und sollten aufgezeichnet werden. Die Malware wurde verwendet, um die Begehung einer anderen Straftat zu ermöglichen, und wenn gleichzeitig eine Straftat gemeldet wird, sollte keine Straftat gemäß diesem Abschnitt aufgezeichnet werden.
Beispiel: Herr A meldet Action Fraud, dass er auf einen Link geklickt hat, über den ein Programm heruntergeladen wurde. Er hat ein Anti-Spyware-Programm ausgeführt und wurde darauf hingewiesen, dass es sich bei dem Programm um ein Keylogger-Programm handelt und dieses erfolgreich entfernt wurde. Ein Verbrechen der unbefugten Änderung von Computermaterial (Klasse NFIB50A). Eine Woche später kontaktiert er Action Fraud, um zu melden, dass heute unrechtmäßig auf sein Online-Bankkonto zugegriffen wurde und 2000 £ davon gestohlen wurden, indem ein Dauerauftrag zur Zahlung seiner Hypothek geändert wurde. Ein weiteres Verbrechen des Mandatsbetrugs (NFIB5D) sollte aufgezeichnet werden.
Gesamtberichtsvolumen: 274
Gesamter finanzieller Verlust: £908,196
Durchschnittlicher Verlust pro Meldung: £3,315
Zwischen Januar 2023 und Juni 2024 verloren britische Unternehmen in nur 900,000 Berichten über 274 £ durch Computerviren, Malware oder Spyware – das bedeutet, dass ein einziger Malware-Vorfall Unternehmen im Durchschnitt über 3,300 £ kostet. Malware war der am häufigsten gemeldete Cybersicherheitsvorfall in unserem State of Information Security Report, wobei über ein Drittel (35 %) der Organisationen in den letzten 12 Monaten einen Malware-Vorfall erlebten.
2. NFIB52C – Hacking – Soziale Medien und E-Mail
Beschreibung des NFIB-Verbrechens: Dieses Verbrechen umfasst alle Formen von individuellen E-Mail-Konten und alle Formen von individuellen sozialen Medien, zum Beispiel X und Facebook. Es umfasst sowohl persönliche Konten als auch individuelle Konten von Unternehmen oder Organisationen. Dieser Betrug sollte nicht auf Desktop- oder Laptop-Computer beschränkt betrachtet werden. Er kann jedes Gerät umfassen, das über das Internet zugängliche Betriebssystemsoftware verwendet, zum Beispiel Spielkonsolen und Smartphones.
Gesamtberichtsvolumen: 1,944
Gesamter finanzieller Verlust: £783,704
Durchschnittlicher Verlust pro Meldung: £403
Das Hacken von sozialen Medien und E-Mails kostete Unternehmen in den letzten 780,000 Monaten über 18 Pfund. Unser State of Information Security Report ergab, dass Social Engineering der zweithäufigste Cybersicherheitsvorfall war, den 32 % der Befragten erlebten.
3. NFIB52E – Hacking – Erpressung
Beschreibung des NFIB-Verbrechens: Dies kommt vor, wenn mit einem Computerhacking oder einer Androhung von Computerhacking eine ungerechtfertigte Forderung mit Drohungen (Erpressung) verbunden ist. Die Erpressung kann sich auf jede NFIB-Klasse unter NFIB52 Computerhacking beziehen.
Beispiel: ABC Ltd meldet, dass sie eine Zahlungsaufforderung über 100,000 £ erhalten haben, andernfalls würde eine Kopie des Codes für ihr neues Computerspiel im World Wide Web veröffentlicht. Sie sind äußerst besorgt, weil sie letzte Woche einen Speicherstick mit einem Teil des Codes ihres Servers erhalten haben. Ein Verbrechen: Computerhacking (Erpressung) (Klasse NFIB52E).
Gesamtberichtsvolumen: 411
Gesamter finanzieller Verlust: £401,923
Durchschnittlicher Verlust pro Meldung: £978
Unser Bericht ergab, dass in den letzten 12 Monaten 29 % der Organisationen – fast jede dritte – Opfer eines Ransomware-Angriffs wurden. In den letzten 400,000 Monaten verursachten Hacker-Erpressungsfälle bei britischen Unternehmen Verluste in Höhe von über 12 Pfund, wobei 180,000 Pfund dieser Verluste im Jahr 2024 entstanden, obwohl es deutlich weniger Meldungen gab.
4. NFIB52B – Hacking – Persönlich
Beschreibung des NFIB-Verbrechens: Unbefugter Zugriff auf Computermaterial mit der Absicht, weitere Straftaten zu begehen oder zu erleichtern. Wenn die Handlungen des Hackers nur vorbereitender Natur sind und keine wesentlichen Straftaten im Rahmen anderer Betrugsdelikte begangen wurden, sollte eine Straftat gemäß diesem Abschnitt erfasst werden.
Berichtsumfang: 199
Finanzieller Verlust: £98,565
Durchschnittlicher Verlust pro Meldung: £495
Unternehmen haben durch das Hacken privater Geräte wie Laptops oder Mobiltelefone fast 100,000 Pfund verloren. Robuste Sicherheitsmaßnahmen für Arbeitsgeräte sowie Schulung und Sensibilisierung der Mitarbeiter sind der Schlüssel zur Bekämpfung dieser Art von Angriffen. 35 % der Unternehmen gaben in unserem Bericht an, dass ihre Mitarbeiter private Geräte ohne angemessene Sicherheitsmaßnahmen für Arbeitszwecke verwendet haben. Dies ist damit der größte Cybersicherheitsfehler der Mitarbeiter.
5. NFIB52A Hacking – Server
Beschreibung des NFIB-Verbrechens: Damit Straftaten gemäß diesem Abschnitt erfasst werden, müssen sich die geänderten Dateien oder Dienste auf dem Server und nicht auf der lokalen Festplatte eines Computers befinden.
Beispiel: Ein Mitarbeiter lässt seinen Desktop-Computer angemeldet, wenn er das Büro verlässt. Ein Kollege erhält dann Zugriff auf seine auf dem Server gespeicherten Beschäftigungsunterlagen und ändert einige der in seiner Akte aufgezeichneten Details mithilfe des angemeldeten Computers. Ein Verbrechen des Hacking-Servers (Klasse NFIB52A).
Gesamtberichtsvolumen: 398
Finanzieller Verlust: £0
Durchschnittlicher Verlust pro Meldung: £0
In den letzten 18 Monaten erlitten Organisationen durch Server-Hacking-Verbrechen keine finanziellen Verluste. Dies ist jedoch wahrscheinlich auf die NFIB-Regeln zur Aufzeichnung von Straftaten zurückzuführen, die besagen, dass „wenn der unbefugte Zugriff direkt die Begehung einer anderen Betrugsstraftat ermöglicht hat, die andere Betrugsstraftat das Hauptverbrechen sein wird.“
Gesamte finanzielle Verluste von Unternehmen durch Cyberkriminalität
Zwischen Januar 2023 und Juni 2024 meldeten Unternehmen Action Fraud fast 3,500 Cyberkriminalität mit finanziellen Verlusten von 2,234,788 £. 2,377 der Meldungen und 1,367,477 £ Verluste ereigneten sich in den letzten 12 Monaten.
Im Januar 2023 kam es mit 179 Meldungen, 580,734 £ finanziellen Verlusten und einem geschätzten durchschnittlichen Verlust von 3,244 £ pro Meldung zu den höchsten finanziellen Verlusten. Im Juni 2023 kam es mit 191 Meldungen, aber keinen finanziellen Verlusten, zu den geringsten finanziellen Verlusten.
| Monat | Berichtsvolumen | Finanzieller Verlust | Durchschnittlicher Verlust pro Bericht |
| Jan-23 | 179 | £580,734 | £3,244 |
| Feb-23 | 194 | £196,743 | £1,014 |
| Mar-23 | 216 | £40,862 | £189 |
| Apr-23 | 176 | £30,067 | £170 |
| May-23 | 166 | £18,905 | £113 |
| Jun-23 | 191 | £0 | £0 |
| Jul-23 | 196 | £95,963 | £489 |
| Aug-23 | 208 | £160,237 | £770 |
| Sep-23 | 215 | £254,252 | £1,182 |
| Oct-23 | 214 | £2,956 | £13 |
| Nov-23 | 222 | £74,249 | £334 |
| Dec-23 | 177 | £114,920 | £649 |
| Jan-24 | 196 | £423,500 | £2,160 |
| Feb-24 | 200 | £89,000 | £445 |
| Mar-24 | 191 | £2,200 | £11 |
| Apr-24 | 179 | £24,000 | £134 |
| May-24 | 173 | £120,400 | £695 |
| Jun-24 | 206 | £5,800 | £28 |
| Gesamt | 3,499 | £2,234,788 | £638 |
Die folgende Tabelle zeigt die Gesamtzahl der Meldungen cyberabhängiger Straftaten und der von Unternehmen und Einzelpersonen zwischen Januar 2023 und Juni 2024 gemeldeten finanziellen Verluste. Nur 5.7 % der gemeldeten cyberabhängigen Straftaten wurden von Unternehmen gemeldet, sie machten jedoch 30 % der gesamten finanziellen Verluste aus.
| Gesamtzahl der Cyberkriminalität Januar 2023 – Juni 2024 | ||
| Datum | Berichtsvolumen | Finanzieller Verlust |
| Jan-23 | 2,176 | £670,752 |
| Feb-23 | 1,972 | £442,071 |
| Mar-23 | 2,517 | £659,304 |
| Apr-23 | 2,267 | £253,575 |
| May-23 | 2,965 | £547,045 |
| Jun-23 | 2,874 | £310,386 |
| Jul-23 | 3,952 | £718,226 |
| Aug-23 | 3,313 | £332,210 |
| Sep-23 | 3,224 | £500,528 |
| Oct-23 | 3,670 | £363,292 |
| Nov-23 | 3,957 | £264,566 |
| Dec-23 | 3,439 | £490,098 |
| Jan-24 | 4,028 | £890,500 |
| Feb-24 | 3,777 | £215,300 |
| Mar-24 | 4,101 | £242,700 |
| Apr-24 | 3,849 | £187,100 |
| May-24 | 4,461 | £257,600 |
| Jun-24 | 4,436 | £219,400 |
| Gesamt | 60,978 | £7,564,652 |
Wie hoch sind die jährlichen Verluste eines durchschnittlichen britischen Unternehmens?
Unser Bericht zum Stand der Informationssicherheit ergab, dass 99 % der britischen Unternehmen in den letzten 12 Monaten wegen Datendiebstahls oder Verstößen gegen Datenschutzbestimmungen mit Geldstrafen belegt wurden. Die Befragten gaben die Gesamtsumme der Geldstrafen bekannt, die ihre Organisationen erhalten haben:
| Höhe der Geldbuße | Anzahl der Befragten |
| Bis zu £ 50,000 | 36 |
| £ 50,001- £ 100,000 | 101 |
| £ 101,000- £ 250,000 | 177 |
| £ 250,001- £ 500,000 | 133 |
| £ 500,001- £ 1,000,000 | 51 |
| Mehr als 1,000,000 £, bitte angeben | 0 |
| Wir haben in den letzten 12 Monaten keine Geldstrafe wegen Datenschutzverstößen oder Verstößen gegen Datenschutzbestimmungen erhalten | 4 |
Die durchschnittliche Gesamtsumme der von Unternehmen verhängten Geldstrafen beträgt 366,475 £***, während der durchschnittliche finanzielle Verlust aus einer einzigen Meldung von Cyberkriminalität durch Organisationen an Action Fraud im gleichen Zeitraum (April 2023-März 2024) 538.37 £ betrug. Organisationen könnten durch einen einzigen Vorfall bis zu 367,013 £ verloren haben.
Mit ISO 27001 Cyberangriffe verhindern
Die Action Fraud gemeldeten Top-Cyberkriminalitätsfälle zeigen, dass die Ausnutzung menschlicher Fehler ein Hauptziel für Bedrohungsakteure ist. Als Reaktion darauf konzentrieren sich Unternehmen auf die Schulung ihrer Mitarbeiter in Sachen Informationssicherheit. Fast die Hälfte (45 %) der Befragten in unserem State of Information Security Report gibt an, dass ihre Organisation einen stärkeren Fokus auf die Schulung und Sensibilisierung ihrer Mitarbeiter gelegt hat, und 35 % sagen, dass sich Lernmanagementplattformen als die effektivste Methode erwiesen haben.
Eine Zertifizierung nach Informationssicherheitsstandards wie ISO 27001 hilft Unternehmen dabei, ihre Sicherheitsvorkehrungen gründlich zu stärken und so das Risiko von Cybervorfällen zu verringern. Um die ISO 27001-Zertifizierung zu erhalten, müssen Unternehmen ein ISO 27001-konformes Informationssicherheits-Managementsystem (ISMS) aufbauen, pflegen und kontinuierlich verbessern und ein externes Audit erfolgreich absolvieren.
Risikomanagement
Kontinuierliches Risikomanagement für die Informationssicherheit ist eine Anforderung der Norm ISO 27001, Abschnitt 6.1, Maßnahmen zum Umgang mit Risiken und Chancen. Ihre Organisation sollte die mit jedem Informationswert im Rahmen Ihres ISMS verbundenen Risiken identifizieren und für jedes Risiko die geeignete Risikobehandlung auswählen – behandeln, übertragen, tolerieren oder beenden.
Anhang A der ISO 27001 beschreibt die 93 Kontrollen, die Ihr Unternehmen bei der Durchführung des Risikomanagements berücksichtigen muss. Die Entscheidung, eine Kontrolle anzuwenden oder nicht anzuwenden, muss in Ihrer Anwendbarkeitserklärung (SoA) begründet werden. Dieser gründliche Ansatz für Risikomanagement und -behandlung ermöglicht es Ihrem Unternehmen, Risiken während ihres gesamten Lebenszyklus zu identifizieren, zu behandeln und zu mindern, wodurch die Wahrscheinlichkeit eines Vorfalls verringert und die Auswirkungen im Falle eines Vorfalls gemindert werden.
Schnelle Implementierung
Die Norm ISO 27001 fördert die kontinuierliche Verbesserung der Informationssicherheit, einschließlich eines kontinuierlichen, organisationsweiten Bewusstseins für Informationssicherheit. Bewusstsein spielt eine Schlüsselrolle bei der Einhaltung von ISO 27001; Anhang A.6.3 Bewusstsein für Informationssicherheit und Datenschutz, Schulung und Training ist eine der 93 Kontrollen der Norm. Die Kontrolle stellt sicher, dass die Mitarbeiter sich ihrer Verantwortung für Informationssicherheit bewusst sind und diese erfüllen.
Setzen Sie sich gegen kostspielige Cyberkriminalität zur Wehr
Die Statistiken aus dem State of Information Security Report von Action Fraud und ISMS.online zeigen, dass Cyberkriminalität eine anhaltende und wachsende Herausforderung für britische Unternehmen darstellt. Die Meldungen von Cyberkriminalität nehmen von Jahr zu Jahr zu, und Unternehmen, die Opfer von Datenlecks werden oder gesetzliche Vorschriften nicht einhalten, müssen mit hohen Geldstrafen rechnen.
Jetzt ist es für Unternehmen an der Zeit, ihre Bemühungen zur Informationssicherheit zu verstärken.
Um das Risiko von Vorfällen durch menschliches Versagen zu verringern, ist es wichtig, das Bewusstsein der Mitarbeiter und Stakeholder zu schärfen. Der Aufbau eines robusten ISMS, das den Anforderungen von ISO 27001 entspricht, bietet zusätzliche Schutzebenen. Die ISO 27001-Zertifizierung verbessert die Belastbarkeit der Organisation und verschafft einen Wettbewerbsvorteil gegenüber Unternehmen, die weniger Wert auf ihre Sicherheitslage legen.
-
Datenquellen:
- ISMS.online-Daten zum Stand der Informationssicherheit 2024, durchgeführt von der unabhängigen Marktforschungsfirma Censuswide.
- 2023 Action Fraud-Daten aus der Informationsfreiheitsanfrage FOI2024/00990, City of London Police, erhalten am 25.
- 2024 Action Fraud-Daten vom National Fraud Intelligence Bureau Dashboard, gesammelt am 25.
*Diese Daten enthalten keine Informationen der schottischen Polizei, die für die Erfassung und Verfolgung betrügerischer Aktivitäten, die schottische Opfer betreffen, verantwortlich ist. Die von Action Fraud bereitgestellten Daten beziehen sich auf betrügerische Aktivitäten in England, Wales und Nordirland sowie betrügerische Aktivitäten, die von schottischen Organisationen und Einzelpersonen direkt an Action Fraud gemeldet wurden.
**Durchschnittlicher Verlust pro Meldung, berechnet durch Division des finanziellen Verlusts durch das Meldevolumen
***Die durchschnittliche Geldstrafe wird berechnet, indem die durchschnittliche Geldstrafe durch die Anzahl der Befragten geteilt wird.
[1] https://assets.publishing.service.gov.uk/media/645b7b87479612000fc29318/nfib-fraud-april-2023.pdf
