Der Black Friday ist zu einer der größten Werbezeiten des Jahres geworden. Marken weiten ihre Angebote von einem einzigen Tag auf eine Woche oder mehr aus. Aufmerksame Verbraucher können sich riesige Rabatte auf alles von Fernsehern bis zu Spielzeug sichern. Allerdings bietet die intensive Rabattphase auch eine große Chance für Betrüger, die Käufer um ihr hart verdientes Geld betrügen wollen. Schon jetzt warnen Schlagzeilen, dass Verbraucher überlegen sollten, ob manche Angebote wirklich zu gut sind, um wahr zu sein. Der Guardian nannte den Tag sogar „Black Fraud Day“, wobei die Daten von Action Fraud zeigen, dass der Rabattzeitraum eine Hauptzeit für Betrüger ist.
Für Organisationen birgt der Schwarze Freitag auch ein erhöhtes Risiko von Cyberangriffen. Im November 2023 gingen bei Action Fraud über 32,000 Betrugs- und Cyberkriminalitätsmeldungen ein. Über 3,500 dieser Meldungen wurden von Unternehmen gemacht, die finanzielle Verluste in Höhe von 30.4 Millionen Pfund meldeten.
Wie können Unternehmen in einer Zeit erhöhter Gefahr von Cyberangriffen ihre Sicherheit gewährleisten?
Was sind die wichtigsten Cybersicherheitsrisiken?
Phishing
Phishing ist das ganze Jahr über eine der häufigsten Formen von Cyberangriffen. Dennoch bieten Ereignisse wie der Black Friday Cyberkriminellen größere Möglichkeiten, insbesondere angesichts der zunehmenden Zahl dringender und zeitkritischer Sonderangebote seriöser Unternehmen.
Betrüger nutzen die gestiegenen Transaktionen und Abschlüsse aus, indem sie Kunden per Phishing angreifen. Dazu verschicken sie oft raffinierte Werbe-E-Mails, die kaum von legitimen E-Mails zu unterscheiden sind. Auf diese Weise können sie Kundendaten, Zahlungsinformationen und mehr abgreifen.
Nicht nur Verbraucher sind gefährdet. Während der Schnäppchenjagd nutzen Ihre Mitarbeiter möglicherweise Firmengeräte oder sogar ihre eigenen Geräte mit Zugriff auf Firmenkonten. Das erhöht das Risiko für Ihr Unternehmen, wenn sie versehentlich Phishing-E-Mails erhalten.
Schwache Passwörter
Laut NordPass ist 123456 immer noch das am häufigsten verwendete Passwort für Privat- und Firmenkonten. NordPass‘ jüngste Studie zu den 200 am häufigsten verwendeten Passwörtern ergab, dass das Passwort über drei Millionen Mal verwendet wurde. Laut Angaben des Unternehmens würde ein Hacker weniger als eine Sekunde brauchen, um es zu knacken.
Der Black Friday bietet Bedrohungsakteuren die perfekte Gelegenheit, Brute-Force-Angriffe in großem Maßstab durchzuführen. Bei einem Brute-Force-Angriff probieren Cyberkriminelle Millionen potenzieller Passwortkombinationen aus, bis sie das richtige Ergebnis erhalten. Und je schwächer das Passwort ist, desto schneller kann es geknackt werden.
Weil eine schwache Passworthygiene – also die Verwendung von Passwörtern oder Variationen davon für mehrere Konten – so weit verbreitet ist, ist es für einen Cyberkriminellen ein Leichtes, auf mehrere Konten zuzugreifen, wenn er ein einziges Passwort geknackt hat. Dazu gehören E-Mail-Profile, Unternehmensnetzwerke und Unternehmenssysteme, was wiederum das Risikoprofil einer Organisation erhöht.
Schwachstellen in der Lieferkette
Unsere Bericht zum Stand der Informationssicherheit 2024 stellte fest, dass das Management von Lieferanten- und Drittanbieterrisiken die größte Herausforderung für Unternehmen in Bezug auf die Informationssicherheit darstellt. 79 % der Befragten gaben an, dass sie in den letzten 12 Monaten von einem Cybersicherheits- oder Informationssicherheitsvorfall betroffen waren, der von einem Drittanbieter oder Lieferkettenpartner verursacht wurde. Tatsächlich waren 45 % von mehreren Vorfällen betroffen.
Da Lieferketten immer stärker von IT-Systemen abhängig werden, steigt für Angreifer die Chance, Schwachstellen anzugreifen – und die Lieferkette Ihres Unternehmens ist nur so stark wie ihr schwächstes Glied. Jedes Glied in Ihrer Lieferkette könnte unbeabsichtigt zum Tor zu Ihrer eigenen digitalen Infrastruktur werden.
Soziale Technik
Social Engineering ist ein weiterer Angriffsvektor, den Unternehmen im Auge behalten sollten. Beispielsweise wird es bei E-Commerce-Unternehmen während des Black Friday wahrscheinlich zu einem dramatischen Anstieg der Kundendienstanfragen kommen, was Cyberkriminelle auszunutzen versuchen könnten.
Normalerweise zielt diese Angriffsmethode darauf ab, an Kundendaten zu gelangen oder Rückerstattungsbetrug zu begehen. Ambitionierte Betrüger nutzen diese Methode jedoch auch, um Sperren zu umgehen.
Auch Social-Media-Betrügereien sind weit verbreitet, wobei sich Angebote und Anzeigen mit gefälschten Produkten und Dienstleistungen an Benutzer richten und sich ausschließlich darauf konzentrieren, Debitkartendaten zu kompromittieren oder Online-Betrug zu begehen.
KI-gestützter Betrug
Künstliche Intelligenz (KI) bietet Bedrohungsakteuren neue Angriffsmethoden und die Technologie erfreut sich bei Betrügern zunehmender Beliebtheit – unserem Bericht zufolge waren 30 % der Unternehmen in den letzten 12 Monaten von einem Deepfake-Vorfall betroffen.
Mithilfe der fortschrittlichen Technologie können betrügerische Websites erstellt werden, die genau wie die legitimen Websites aussehen, die sie imitieren. Die Technologie kann sogar Audio- oder Video-Deepfakes erstellen, um Angriffe im Stil von Business Email Compromise (BEC) durchzuführen. Es gibt jedoch auch mögliche Anwendungsfälle für den Diebstahl von Informationen/Anmeldeinformationen, Reputationsschäden oder sogar die Umgehung der Authentifizierung per Gesichts- und Stimmerkennung.
Viele B2B-Unternehmen bieten potenziellen Kunden am Black Friday Sonderangebote oder Rabatte an, was Bedrohungsakteuren eine weitere potenzielle Angriffsmöglichkeit eröffnet. Die KI-Technologie entwickelt sich weiter, und ob sie nun zum Erstellen betrügerischer E-Mails oder zum Austricksen von Mitarbeitern zu Firmenüberweisungen verwendet wird, es ist klar, dass KI-gesteuerte Betrügereien am Black Friday und darüber hinaus eine echte Bedrohung für Unternehmen darstellen.
Schützen Sie Ihr Unternehmen vor den Cybersicherheitsrisiken am Black Friday
Sensibilisierung und Schulung der Mitarbeiter im Bereich Cybersicherheit
Ein gutes Schulungs- und Sensibilisierungsprogramm für Cybersicherheit ermöglicht es Ihren Mitarbeitern, potenzielle Cyberangriffe zu erkennen und zu melden. Ihr Schulungs- und Sensibilisierungsprogramm sollte auch Prozesse beschreiben, die befolgt werden müssen, beispielsweise den Prozess, den Mitarbeiter befolgen müssen, um mutmaßliche Phishing-Versuche zu melden. Indem Sie Ihren Mitarbeitern mehr Handlungsfreiheit lassen, können Sie Ihr Unternehmen noch besser absichern.
Gute Passworthygiene
Alle Ihre Mitarbeiter sollten komplexe Passwörter verwenden, die:
- Sind nicht mit persönlichen Informationen verknüpft
- Werden auf keiner anderen Site verwendet, auch nicht auf Sites außerhalb der Arbeit
- Werden vertraulich behandelt
- Enthalten nicht Ihren Firmennamen oder Produktnamen.
Sie können auch eine Mindestanzahl an Zeichen festlegen – Best Practice empfiehlt mindestens 12 Zeichen. Mitarbeiter sollten außerdem eine Multi-Faktor-Authentifizierung (MFA) verwenden und ihre Passwörter regelmäßig ändern. Ihre Organisation sollte ein Passwort einrichten Datenschutzrichtlinien Halten Sie sich an diese Anforderungen und stellen Sie sicher, dass sie von allen eingehalten werden.
Robustes Technologie- und Informationssicherheitsmanagement
Durch die Einführung und Implementierung wirksamer Cybersicherheitspraktiken kann Ihr Unternehmen Risiken reduzieren und ein robustes Sicherheits- und Informationsmanagement fördern.
Organisationen sollten Folgendes berücksichtigen:
Zugriffsverwaltung— Eine effektive Verwaltung der Rechte und Privilegien von Benutzern und die Verwendung von Steuerelementen wie MFA für Mitarbeiterkonten können wichtige Schutzmaßnahmen gegen gestohlene Anmeldeinformationen und unbefugten Zugriff sein. Beispielsweise stellt der Zugriff mit den geringsten Privilegien sicher, dass Benutzer nur auf die Ressourcen zugreifen können, die sie für ihre Rolle benötigen. Dadurch werden die Auswirkungen auf Ihr Unternehmen begrenzt, falls ein Konto kompromittiert wird.
Datenschutz—Um Unternehmensdaten in allen Formen zu identifizieren, zu klassifizieren und sicher zu handhaben, sind geeignete Prozesse und technische Kontrollen unerlässlich. Tools wie Informationsmanagementsysteme oder Frameworks kann Organisationen dabei helfen, zu verhindern, dass Cyberkriminelle per E-Mail, durch Fehlkonfigurationen und mangelndes Sicherheitsverhalten auf Unternehmensdaten zugreifen.
Sichere Konfiguration— Konzentrieren Sie sich von Anfang an auf sichere technische Lösungen, anstatt sie später oder nach einem Vorfall hinzuzufügen. Mit diesem Ansatz können Sie die Anzahl schwacher Einstiegspunkte in Unternehmensnetzwerke, die Cyberkriminelle ausnutzen können, erheblich reduzieren.
Patching und Software-Updates – Angreifer nutzen häufig Schwachstellen in veralteter Software aus. Sorgen Sie für die regelmäßige Installation von Updates und Patches für die Software in Ihrem Unternehmen und auf den Geräten Ihrer Mitarbeiter. Berücksichtigen Sie Ihre BYOD-Richtlinien und -Kontrollen (Bring Your Own Device), um ein Höchstmaß an Sicherheit zu gewährleisten.
Durch die Implementierung effektiver und angemessener Kontrollen zur Verwaltung organisatorischer Daten und Informationen können Sie sicherstellen, dass Ihr Unternehmen den erhöhten Cyberrisiken an diesem Black Friday einen Schritt voraus ist. Darüber hinaus wird der Nachweis solider Referenzen im Informations- und Risikomanagement das Kundenvertrauen stärken und Ihren Ruf und Geschäftserfolg stärken.
Stärken Sie noch heute Ihr Informationsmanagement und Ihre Risikoposition
Wenn Sie Ihre Informations- und Cybersicherheit verbessern möchten, können wir Ihnen helfen.
Unsere ISMS-Lösung ermöglicht einen einfachen, sicheren und nachhaltigen Ansatz für das Informationsmanagement ISO 27001 , NIST, NIS 2 und andere Frameworks. Nutzen Sie noch heute Ihren Wettbewerbsvorteil – Buchen Sie Ihre Demo.
