Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Wenn es 2024 eine Cyberbedrohung gab, die Unternehmen besonders hart getroffen hat, dann war es der E-Mail-Betrug – genauer gesagt: Business Email Compromise (BEC) und Funds Transfer Fraud (FTF).

Laut dem aktuellen Cyber Claims Report des Versicherungsanbieters Coalition gingen rund 60 Prozent aller gemeldeten Cyberschäden auf BEC-Angriffe zurück, weitere 29 Prozent auf FTF-Fälle. Die Konsequenz ist klar: Keine andere Bedrohung hat im vergangenen Jahr für mehr finanzielle Schäden gesorgt.

Die Empfehlung des Reports: Unternehmen sollten dringend in das Sicherheitsbewusstsein ihrer Mitarbeiter investieren . Und das ist absolut richtig – denn viele dieser Angriffe gelingen nicht trotz moderner Sicherheitslösungen, sondern wegen einer entscheidenden Schwachstelle: den Menschen im Unternehmen, die gezielt mit Phishing- oder Spear-Phishing-Mails manipuliert werden.

Was hinter den Angriffen steckt

BEC ist eine besonders perfide Form von Cyberkriminalität. Die Angreifer geben sich meist als Kolleginnen, Vorgesetzte oder Geschäftspartner aus und verleiten Mitarbeitende dazu, Geld zu überweisen oder vertrauliche Informationen preiszugeben. Der erste Schritt ist fast immer derselbe: eine Phishing-Mail, die harmlos aussieht – aber gezielt Informationen über das Unternehmen und seine Abläufe abgreift.

Mit diesem Wissen im Gepäck bauen die Angreifer täuschend echte E-Mails, die oft nicht auf den ersten Blick als Fälschung zu erkennen sind. Manchmal reicht ein kleiner Moment der Unachtsamkeit – und der Schaden ist angerichtet.

Zahlen, die alarmieren

Der Report zeigt: Der durchschnittliche Schaden durch BEC-Angriffe lag 2024 bei rund 31.000 Euro – ein Anstieg von 23 Prozent gegenüber dem Vorjahr. Hauptgrund: steigende Kosten für Rechtsberatung, Schadensbegrenzung und Wiederherstellung.

Immerhin: Bei FTF-Angriffen – also Fällen, in denen Geld aktiv an die Täter überwiesen wurde – war 2024 ein leichter Rückgang zu verzeichnen. Die Fallzahlen sanken um 2 Prozent, der durchschnittliche Schaden sogar um 46 Prozent. Allerdings kommt das nach einem Rekordjahr 2023.

Schulungen sind wichtig – aber nicht mehr genug

Der Bericht betont: Unternehmen mit wenig geschulten Mitarbeitenden sind besonders gefährdet. Deshalb sollten sie kontinuierlich über die Methoden von Angreifern aufklären und praxisnahe Trainings anbieten – etwa durch Phishing-Simulationen.

Doch damit allein ist es nicht mehr getan. Die Realität ist: Phishing-Angriffe sind heute deutlich raffinierter als noch vor wenigen Jahren. Angreifer analysieren genau, wie Unternehmen ihre Mitarbeitenden schulen – und entwickeln gezielt neue Tricks, um diese Schulungen zu umgehen.

Was jetzt zählt: Mensch und Maschine zusammenbringen

Was Unternehmen heute brauchen, ist ein intelligentes Zusammenspiel aus Technologie und Awareness. Moderne Anti-Phishing-Tools setzen auf künstliche Intelligenz und Schwarmwissen (Crowdsourcing), um auch neue, bisher unbekannte Phishing-Mails schnell zu erkennen. Sie analysieren nicht nur den Inhalt der Nachricht, sondern auch Absenderdomain, Tonfall, Aufbau – und mögliche Täuschungsversuche.

Gleichzeitig entwickeln sich auch die Schulungsmethoden weiter: Dank KI lassen sich Trainings personalisieren, automatisieren und kontinuierlich verbessern. Mitarbeitende lernen so nicht nur allgemein über Phishing, sondern erkennen auch die subtilen Warnzeichen, die oft den Unterschied machen – zum Beispiel verdächtige Formulierungen, untypische Zahlungsaufforderungen oder leicht veränderte Absenderadressen.

Fazit

Technologie schützt – aber Menschen entscheiden. Wer in seine Belegschaft investiert, senkt nicht nur das Risiko für kostspielige Cyberangriffe, sondern macht seine Mitarbeitenden zur stärksten Verteidigungslinie gegen digitale Bedrohungen. BEC und FTF werden nicht verschwinden – aber Unternehmen können heute mehr denn je tun, um ihnen erfolgreich entgegenzutreten.