• blogangle-right
  • Mehr als 60 Social Engineering Statistiken für 2023

Table of Contents

Mehr als 60 Social Engineering Statistiken für 2023

  • July 18, 2023

In der Welt der Cybersicherheit ist die größte Bedrohung nicht immer ein bösartiger Code oder ein Systemfehler. Es ist etwas, das viel schwieriger zu beheben ist – das menschliche Element.

Im Gegensatz zu traditionellen Cyberbedrohungen, die versuchen, Systemschwachstellen auszunutzen, umgehen Social Engineering Angriffe technische Verteidigungen, indem sie Menschen manipulieren, vertrauliche Informationen preiszugeben oder Sicherheitsfehler zu machen.

Deshalb ist das Verständnis von Social Engineering so wichtig. Es geht nicht nur darum, die neuesten Sicherheitskontrollen zu implementieren; es geht darum, die menschlichen Schwachstellen in unseren Organisationen zu erkennen und zu lernen, wie man sie stärkt.

Lassen Sie uns also tiefer in die Welt des Social Engineering eintauchen, das Ausmaß der Bedrohung mit den neuesten Social Engineering Statistiken verstehen und erkunden, wie Organisationen sich gegen diese gewaltige Bedrohung schützen können.

Was sind Social Engineering Angriffe?

Social Engineering ist eine Methode, die von Cyberkriminellen verwendet wird und darauf abzielt, Menschen dazu zu bringen, vertrauliche Informationen wie Passwörter und Kreditkartennummern preiszugeben oder ihnen Zugriff auf ihre Computersysteme zu gewähren, wo sie dann bösartige Software installieren. Anstatt direkt in ein System einzubrechen, manipulieren Social Engineers Menschen dazu, Sicherheitsfehler zu machen oder sensible Informationen preiszugeben.

Das Vertrauen, das wir in andere setzen, unser Wunsch, hilfreich zu sein, und sogar unsere Ängste sind allesamt Schwachstellen, die Cyberkriminelle eifrig ausnutzen. Sie benötigen keine fortgeschrittenen Hacking-Fähigkeiten, wenn sie einfach einen Mitarbeiter dazu bringen können, auf einen bösartigen Link zu klicken oder ein Passwort preiszugeben.

Social Engineering ist eine der häufigsten Techniken, die von bösartigen Akteuren genutzt wird, um eine Organisation auszunutzen – und die Angriffe werden immer raffinierter. Social Engineers verwenden zunehmend personalisierte Taktiken, um Vertrauen zu gewinnen und Verdacht zu vermeiden. Sprachkloning und Deepfake-Technologie ermöglichen es Bedrohungsakteuren, ihre Ziele auf noch überzeugendere Weise zu imitieren. In einem hochkarätigen Fall wurde die mit AI erstellte Stimme eines Bankdirektors genutzt, um einen Bankmanager dazu zu bringen, 35 Millionen Dollar an Bedrohungsakteure zu überweisen.

Social Engineering Angriffe sind eine besonders gefährliche Bedrohung für Organisationen, gerade wegen des menschlichen Elements. Fehler, die von legitimen Nutzern gemacht werden, sind schwerer zu erkennen, vorherzusagen und zu beheben. In vielen Fällen erkennen die Opfer nicht einmal, dass sie hereingelegt wurden.

Die häufigsten Arten von Social Engineering Angriffen

  1. Ransomware-Angriffe: Bösartige Software verschlüsselt die Dateien eines Opfers und macht sie unzugänglich, bis ein Lösegeld bezahlt wird.
  2. Phishing Angriffe: Generische E-Mails werden an viele Personen gesendet, um sie dazu zu bringen, sensible Informationen preiszugeben.
  3. Spear Phishing: Phishing-Betrug, der auf bestimmte Personen zugeschnitten ist und oft persönliche Informationen verwendet, um legitimer zu erscheinen.
  4. CEO-Betrug/Whaling: Führungskräfte hoher Ränge werden imitiert, um Mitarbeiter dazu zu bringen, Aktionen wie Geldüberweisungen durchzuführen.
  5. Business Email Compromise (BEC): Ähnlich wie CEO-Betrug, aber der Angreifer infiltriert das E-Mail-Konto des Geschäftsführers, um die Anfragen legitimer erscheinen zu lassen.
  6. Smishing: Phishing per SMS. Der Angreifer sendet eine Textnachricht, die den Empfänger dazu bringt, sensible Informationen preiszugeben oder auf einen bösartigen Link zu klicken.
  7. Vishing: Voice Phishing, bei dem der Angreifer über einen Anruf eine vertrauenswürdige Entität imitiert.
  8. Baiting: Der Angreifer lässt ein physisches Gerät, wie einen mit Malware geladenen USB-Stick, an einem Ort zurück, an dem das Ziel es finden wird.
  9. Piggybacking/Tailgating: Der Angreifer verschafft sich physischen Zugang zu einem eingeschränkten Bereich, indem er einer autorisierten Person folgt.
  10. Vortäuschen: Der Angreifer erfindet ein glaubwürdiges Szenario (oder einen Vorwand), um persönliche Informationen des Opfers zu stehlen.
  11. Quid Pro Quo/Technischer Support-Betrug: Der Angreifer bietet eine Dienstleistung oder einen Vorteil im Austausch für Informationen oder Zugriff.
  12. Scareware: Malware wird in kostenlose Software eingebettet, die dann an ahnungslose Benutzer verteilt wird.
  13. Watering Hole Angriffe: Der Angreifer infiziert Websites, von denen bekannt ist, dass das Ziel sie besucht, mit dem Ziel, das Gerät des Ziels zu kompromittieren.

Empfohlene Lektüre

Die 13 häufigsten Arten von Social Engineering Angriffen + Wie man sich dagegen verteidigen kann

Statistiken zum Social Engineering für 2023

Wir haben die neuesten Datenberichte von vertrauenswürdigen Behörden wie dem FBI, Verizon, IBM, Kaspersky und vielen anderen durchforstet, um die neuesten Social Engineering Statistiken zu finden, die man kennen muss.

Statistiken zu Malware und Ransomware

  1. Im Jahr 2022 gab es weltweit 493 Millionen Ransomware-Angriffe. Statista
  2. Laut einer Cybersecurity-Umfrage von 2020 haben 68 % der US-Organisationen einen Ransomware-Angriff erlebt und das Lösegeld bezahlt. 22 % gaben an, dass sie nicht infiziert wurden, und 10 % gaben an, dass sie infiziert wurden, aber nicht zahlten. Statista
  3. Im Jahr 2022 gab es einen Anstieg der Ransomware-Verstöße um 13 % – ein so großer Anstieg wie in den letzten 5 Jahren zusammen. Verizon
  4. 40 % der Ransomware-Vorfälle beinhalten die Verwendung von Desktop-Sharing-Software und 35 % die Verwendung von E-Mails. Verizon
  5. Im Jahr 2021 gab es 700 Millionen Angriffe, bei denen Lösegeld oder Erpressung verwendet wurden. Arctic Wolf
  6. 70 % der IT- und Sicherheitsleiter sahen Ransomware im Jahr 2022 als ihr größtes Sicherheitsbedrohungsproblem. Arctic Wolf
  7. Der Gesundheitssektor, der Finanzdienstleistungssektor und der Sektor der Informationstechnologie sind die am wahrscheinlichsten von Ransomware-Angriffen betroffenen Sektoren. FBI
  8. 11 % der Verstöße im Jahr 2022 waren Ransomware-Angriffe, 41 % mehr als im Jahr 2021. IBM
  9. Der Prozentsatz der Benutzer, die von gezielter Ransomware betroffen sind, hat sich in den ersten 10 Monaten des Jahres 2022 verdoppelt. Kaspersky
  10. Neue Ransomware-Varianten tauchen weiterhin auf. Im Jahr 2022 hat Kaspersky über 21.400 Ransomware-Stämme entdeckt. Kaspersky
  11. Die durchschnittlichen Lösegeldzahlungen stiegen im 4. Quartal 2022 um 58 % gegenüber dem 3. Quartal auf 408.644 USD, während die Medianzahlung um 342 % auf 185.972 USD stieg. Coveware
  12. Im Jahr 2021 erhielt das FBI IC3 3.729 Ransomware-Beschwerden mit Verlusten von mehr als 49,2 Millionen US-Dollar. FBI 
  13. 70 % der IT- und Führungskräfte gaben an, dass Ransomware im Jahr 2022 ihr größtes Sicherheitsbedrohungsproblem darstellte. Phishing ist die zweitgrößte Bedrohung. Arctic Wolf 
  14. 2021 gab es einige der höchsten Lösegeldforderungen aller Zeiten, wobei eine Finanzinstitution 40 Millionen US-Dollar zahlte, um ihre Daten zu entschlüsseln. SonicWall
  15. Ransomware-Verstöße benötigen durchschnittlich 326 Tage, um eingedämmt zu werden – 49 Tage länger als der durchschnittliche Datenverstoß. IBM 
  16. Die durchschnittlichen Kosten eines Ransomware-Angriffs – ohne die Kosten des Lösegelds selbst – betrugen 4,54 Millionen US-Dollar. IBM
  17. Die durchschnittlichen Kosten eines Ransomware-Verstoßes sind 13,1 % höher für Organisationen, die das Lösegeld nicht zahlen. IBM 
  18. Im Jahr 2022 gab es weltweit 5,5 Milliarden Malware-Angriffe. Statista
  19. E-Mail ist die häufigste Methode zur Verbreitung von Malware. Verizon 
  20. Das AV-Test-Institut registriert jeden Tag 450.000 neue Malware-Stücke. AV-Test 
  21. Experten schätzen, dass alle 11 Sekunden ein Ransomware-Angriff auf Unternehmen erfolgt. Cybercrime Magazine

Phishing-Statistiken

  1. Phishing war bei weitem die am häufigsten gemeldete Cyberkriminalität im Jahr 2022 und betraf mehr als 5-mal so viele Personen wie jede andere Art von Cyberkriminalität. Statista
  2. Bis zum 3. Quartal 2022 wurden weltweit fast 1,3 Millionen einzigartige Phishing-Websites entdeckt, ein Anstieg von mehr als 15 % gegenüber dem 2. Quartal 2022. Statista
  3. Eine Umfrage aus dem Jahr 2021 zeigt, dass 48 % der in den USA ansässigen Organisationen zwischen 4 und 9 erfolgreiche Phishing-Angriffe in diesem Jahr erlebten. Statista
  4. Eine Umfrage unter IT-Sicherheitsspezialisten weltweit aus dem Jahr 2021 ergab, dass 79 % der Organisationen Spear-Phishing-Angriffe erlebten. 13 % der Befragten gaben an, dass ihre Organisation mehr als 50 Angriffe verzeichnete. Statista
  5. Durchschnittlich klicken 2,9 % der Mitarbeiter auf Phishing-E-Mails. Verizon
  6. Phishing-Schemata waren die häufigste Art von Verbrechen mit 300.497 Beschwerden FBI 
  7. Es gab 323.972 gemeldete Beschwerden beim FBI bezüglich Phishing, Fishing, Smashing und/oder Pharming, ein Anstieg von 34 % gegenüber 2021. FBI 
  8. Phishing-E-Mails, Remote Desktop Protocol (RDP)-Ausnutzung und Ausnutzung von Software-Schwachstellen waren die drei häufigsten Infektionsvektoren für Ransomware-Vorfälle im Jahr 2021. FBI
  9. Phishing-Angriffe nahmen 2021 im Vergleich zu 2020 um 29 % zu. Zscaler
  10. Einzelhandel und Großhandel waren 2021 die am häufigsten angegriffenen Branchen und verzeichneten einen Anstieg der Phishing-Angriffe um 436 %. Zscaler
  11. SMS-Phishing verzeichnete in der ersten Hälfte des Jahres 2021 einen Anstieg um 700 %. Zscaler 
  12. Der durchschnittliche CEO erhält jedes Jahr 57 gezielte Phishing-Angriffe. Barracuda 
  13. 43 % der Phishing-Angriffe geben sich als Microsoft-Marken aus. Barracuda 
  14. IT-Mitarbeiter erhalten jedes Jahr durchschnittlich 40 gezielte Phishing-Angriffe. Barracuda 
  15. Phishing-Imitationsangriffe, bei denen Angreifer vorgeben, E-Mails von einer bekannten Marke oder einem bekannten Dienst zu senden, um die Opfer dazu zu bringen, auf einen Phishing-Link zu klicken, machen 49 % aller sozialen Bedrohungen aus. Barracuda 
  16. SlashNext berichtet, dass täglich 80.000 bösartige URLs erkannt werden. Dies entspricht 255 Millionen Phishing-Angriffen im Jahr 2022 — ein Anstieg von 61 % gegenüber 2021. SlashNext
  17. 2022 gab es einen Anstieg der mobilen Phishing-Bedrohungen um 50 %. SlashNext 
  18. Im Jahr 2022 betrug der durch Phishing verursachte finanzielle Schaden 52 Millionen Dollar. FBI 
  19. 62 % der Organisationen nutzen ein Schulungsprogramm zur Sicherheitsbewusstseinsschulung, um die Wahrscheinlichkeit eines erfolgreichen Phishing-Angriffs zu verringern. Arctic Wolf 
  20. Phishing ist die zweithäufigste Ursache für einen Sicherheitsverstoß und die kostspieligste, mit durchschnittlichen Kosten von 4,91 Millionen Dollar pro Verstoß. IBM
  21. Die am häufigsten imitierten Marken bei Phishing-Angriffen im Jahr 2021: ZscalerundBarracuda
    -Microsoft
    -WeTransfer
    -DHL
    -Google
    -eFax
    -DocuSign
    -USPS
    -Dropbox
    -Xerox
    -Facebook
    -Amazon
    -OneDrive
    -PayPal
    -Roblox
    -WhatsApp
    -Microsoft 365
    -Adobe
    -Fidelity

Statistiken zum Business Email Compromise

  1. 1 von 10 Social-Engineering-Angriffen sind Business Email Compromise (BEC) Angriffe. Barracuda 
  2. 77 % der BEC-Angriffe zielen auf Mitarbeiter außerhalb der Finanz- und Führungsebene ab. 1 von 5 BEC-Angriffen zielt auf Vertriebsmitarbeiter ab. Barracuda 
  3. Business Email Compromise (BEC) Angriffe machten 2021 10 % aller Social-Engineering-Angriffe aus. Barracuda 
  4. Business Email Compromise (BEC) Angriffe machen 6 % aller Sicherheitsverstöße aus, mit durchschnittlichen Kosten von 4,89 Millionen Dollar. IBM

Statistiken zu Sicherheitsverstößen.

  1. Ab 2022 lagen die durchschnittlichen Kosten einer Datenpanne in den Vereinigten Staaten bei 9,44 Millionen US-Dollar, gegenüber 9,05 Millionen US-Dollar im Jahr 2021. Die globalen durchschnittlichen Kosten pro Datenpanne betrugen 2022 4,35 Millionen US-Dollar. Statista
  2. Es wird angenommen, dass 80 % der Datenpannen durch externe Bedrohungen verursacht werden. Verizon
  3. 20 % der bestätigten Datenpannen beinhalten Social Engineering. Verizon
  4. 82 % der Datenpannen beinhalten ein menschliches Element. Verizon
  5. 83 % der Unternehmen haben mehr als eine Datenpanne erlebt. IBM 
  6. Datenpannen bei Unternehmen mit vollständig implementierter Sicherheits-KI und Automatisierung kosten 3,05 Millionen US-Dollar weniger als Datenpannen bei Unternehmen ohne Sicherheits-KI und Automatisierung – ein Unterschied von 65,2 % bei den durchschnittlichen Kosten pro Datenpanne. Unternehmen mit vollständig implementierter Sicherheits-KI und Automatisierung hatten auch durchschnittlich eine 74 Tage kürzere Zeit bis zur Identifizierung und Eindämmung der Panne. IBM 
  7. Gestohlene oder kompromittierte Anmeldedaten sind die häufigste Ursache für eine Datenpanne und bilden in 19 % aller Datenpannen im Jahr 2022 den primären Angriffsvektor. IBM 
  8. 90 % der Cyberangriffe richten sich gegen die Mitarbeiter eines Unternehmens. Arctic Wolf
  9. Das durchschnittliche Unternehmen wird jährlich von über 700 Social-Engineering-Angriffen angegriffen. Barracuda 
  10. 89 % der Social-Engineering-Angriffe waren finanziell motiviert, 11 % durch Spionage. Verizon
  11. 27 % der Social-Engineering-Pannen betreffen Vortäuschungen. Verizon
  12. Im Jahr 2021 wurde ein Anstieg der gemeldeten Datenpannen um 7 % verzeichnet, wobei die potenziellen Verluste 6,9 Milliarden US-Dollar überstiegen. Ransomware und geschäftliche E-Mail-Betrugsmaschen (BEC) gehörten zu den häufigsten Beschwerden, die dem FBI gemeldet wurden. FBI

Schutz vor einer unsichtbaren Bedrohung: Wie man Social-Engineering-Angriffe verhindert

Im Gegensatz zu anderen Arten von Cybersecurity-Bedrohungen, die Systemschwachstellen ausnutzen, zielt Social Engineering auf das unvorhersehbarste Element in einer Organisation – den menschlichen Faktor. Deshalb sind Bewusstsein und Bildung Ihre ersten und besten Verteidigungslinien. Indem Sie Social-Engineering-Angriffe, ihre Phasen und die häufigsten Typen verstehen, ist Ihr Team bereits besser darauf vorbereitet, diese Cyber-Bedrohungen zu erkennen und abzuwehren, bevor sie Ihre Organisation beeinträchtigen können.

1. Eine Kultur des Sicherheitsbewusstseins schaffen

Der Aufbau eines robusten Cybersecurity-Rahmens beginnt mit der Förderung einer Kultur des Sicherheitsbewusstseins. Dies ist keine Aufgabe, die ausschließlich Ihrer IT-Abteilung überlassen werden sollte; es ist eine gemeinsame Verantwortung. Jeder in Ihrer Organisation muss die Bedrohungen verstehen, denen sie ausgesetzt sind, und ihre Rolle bei deren Verhinderung kennen.

Schulung zum Sicherheitsbewusstsein sollte ein regelmäßiger Bestandteil des Onboardings neuer Mitarbeiter sein und während der gesamten Beschäftigungsdauer fortgesetzt werden. Diese Schulung sollte sich auch an die Raffinesse der Social-Engineering-Taktiken anpassen. Denken Sie daran, dass eine Kette nur so stark ist wie ihr schwächstes Glied.

2. Lernen Sie, Social-Engineering-Taktiken zu erkennen

Ihre Mitarbeiter sollten mit den Taktiken vertraut sein, die Social Engineers anwenden. Hier sind einige wichtige Maßnahmen:

  • Überprüfen Sie E-Mail-Adressen: Hacker geben sich oft als vertrauenswürdige Quellen aus. Überprüfen Sie immer die E-Mail-Adresse des Absenders. Zum Beispiel könnte „support@micros0ft.com“ auf den ersten Blick legitim erscheinen, aber beachten Sie, dass die Zahl „0“ den Buchstaben „o“ ersetzt.
  • Klicken Sie nicht auf verdächtige Links: Bewegen Sie den Mauszeiger über Links, um die tatsächliche URL anzuzeigen, bevor Sie klicken. Seien Sie vorsichtig bei URLs, die nicht mit dem angeblichen Ziel übereinstimmen oder unnötig lang und mit zufälligen Zeichen versehen sind.
  • Achten Sie auf häufig verwendete Betreffzeilen: Phrasen wie „Passwort-Reset sofort erforderlich“, „Ihr Konto wurde gesperrt“ und „Unbefugter Anmeldeversuch“ werden häufig verwendet, um Dringlichkeit und Angst auszulösen.
  • Kontaktieren Sie den Absender direkt: Wenn eine E-Mail oder Nachricht verdächtig erscheint, kontaktieren Sie den Absender direkt unter Verwendung bekannter Kontaktdaten, nicht der in der verdächtigen Kommunikation angegebenen Daten.

3. Führen Sie regelmäßige Phishing-Tests durch

Phishing-Tests sind ein proaktiver Ansatz zur Stärkung der Verteidigung Ihrer Organisation. Regelmäßige simulierte Phishing-Kampagnen können helfen, die Reaktion Ihres Teams zu bewerten und Bereiche zu identifizieren, die verbessert werden müssen. Dieser Ansatz hilft auch den Mitarbeitern, die Bedeutung von Sicherheitsprotokollen zu verstehen, und ermöglicht es ihnen, ihre Schulungen in einer sicheren Umgebung anzuwenden.

4. Führen Sie regelmäßiges Patchen und Sicherheitsupdates durch

Unabhängig davon, wie sicherheitsbewusst Ihre Mitarbeiter sind, können veraltete Software, Hardware und Anwendungen Hackern leichten Zugang verschaffen. Regelmäßige Patches und Sicherheitsupdates sind entscheidend, um bekannte Schwachstellen zu beheben und Ihre Systeme sicher zu halten. Erwägen Sie automatisierte Patch-Management-Systeme, um diesen Prozess zu optimieren.

5. Implementieren Sie kontinuierliche Überwachung

Kontinuierliche Überwachung ist ein wichtiger Schritt zur schnellen Erkennung und Reaktion auf Sicherheitsvorfälle. Die Analyse von Website-Traffic und -Aktivität auf Anomalien kann dabei helfen, ungewöhnliches Verhalten zu erkennen, das auf einen Social-Engineering-Versuch hinweisen könnte. Mit maschinellem Lernen und KI können moderne Sicherheitssysteme Muster erkennen und Echtzeitwarnungen bei verdächtigen Aktivitäten ausgeben.

Social Engineering ist eine bedeutende Bedrohung, die eine strategische Reaktion erfordert. Indem Sie eine Kultur des Sicherheitsbewusstseins fördern, Mitarbeiter regelmäßig schulen, Phishing-Tests durchführen, alle Systeme auf dem neuesten Stand halten und kontinuierlich auf verdächtige Aktivitäten überwachen, können Organisationen effektiv gegen bösartige Angriffe geschützt werden.

Schützen Sie sich vor Social Engineers und Cyberkriminellen mit Secureframe Train

Unsere Plattform für Sicherheits- und Compliance-Automatisierung umfasst proprietäre Schulungen zur Sensibilisierung für Sicherheit, wodurch es einfach ist, erforderliche Mitarbeiterschulungen zuzuweisen, zu verfolgen und darüber Bericht zu erstatten. Unsere ansprechenden Schulungsprogramme werden ständig aktualisiert, damit die neuesten Best Practices in Ihrer gesamten Organisation erlernt und angewendet werden. Sie können Ihre Belegschaft auch segmentieren und genau die Schulungen zuweisen, die für jede Gruppe oder Rolle erforderlich sind.

Erfahren Sie mehr über Secureframe Training odervereinbaren Sie eine Demomit einem Produktexperten.