Kennisbank › Phishing

Gevaren van phishing voor bedrijven

Een phishing aanval is zelden een gesoleerd incident. De gevaren van phishing reiken verder dan een gehackt account: financiele schade, datalekken, reputatieschade en juridische gevolgen kunnen een bedrijf maandenlang of langer raken. Dit artikel legt de werkelijke impact uit.

1. Financiele schade: van fraude tot ransomware

De meest directe schadepost is financieel. Phishing leidt tot drie typen financieel verlies:

Directe fraude

CEO-fraude en nep-facturen leiden tot directe overmakingen naar rekeningen van criminelen. Het gemiddelde schadebedrag per succesvolle CEO-fraude bij mkb-bedrijven bedraagt tienduizenden euro's. Terugvordering is in de meeste gevallen niet mogelijk: zodra het geld overgemaakt is, is het weg.

Ransomware

Meer dan 90% van de ransomware-infecties begint met een phishing e-mail. Zodra een medewerker een besmette bijlage opent, versleutelt de ransomware alle bestanden op het netwerk. Losgeld varieert van enkele duizenden tot honderdduizenden euro's. Betaling geeft geen garantie op herstel. Herstelkosten (IT-expertise, backup-herstel, productiviteitsverlies) lopen doorgaans hoger op dan het losgeld zelf.

Operationele stilstand

Een succesvolle aanval legt systemen plat. Voor een bedrijf van 50 medewerkers betekent twee weken stilstand al snel 150.000 tot 300.000 euro aan misgelopen omzet, overloopkosten en herstelwerk, exclusief de financieel-technische schade.

Cijfer: De gemiddelde totale kostenpost van een cyberaanval via phishing voor een mkb-bedrijf bedraagt volgens onderzoek van het NCSC tussen de 70.000 en 150.000 euro, inclusief alle indirecte kosten.

2. Datalekken en privacyschendingen

Een van de meest ingrijpende gevolgen van phishing is toegang tot vertrouwelijke gegevens. Via een gehackt e-mailaccount krijgt een aanvaller inzicht in klantgegevens, contracten, personeelsdossiers, financiele rapportages en strategische plannen.

Bij phishing gericht op Microsoft 365 of Google Workspace accounts wordt de volledige mailbox uitgelezen - soms wekenlang - voordat de aanvaller actie onderneemt. In die periode verzamelt hij alle informatie die nodig is voor een vervolgaanval of doorverkoop.

Soorten gelekte data bij phishing:

  • Klantgegevens (naam, adres, contactgegevens, contracten)
  • Personeelsgegevens (salarissen, BSN-nummers, medische informatie)
  • Financiele informatie (bankgegevens, jaarrekeningen, debiteuren)
  • Intellectueel eigendom (ontwerpen, broncode, bedrijfsstrategien)
  • Inloggegevens voor andere systemen (domino-effect)

Een datalek door phishing hoeft niet groot te zijn om schadelijk te zijn: zelfs een handvol klantgegevens maakt meldplicht en klantnotificatie noodzakelijk.

3. Reputatieschade en klantenverlies

Reputatieschade is het gevaar van phishing dat het minst in euro's uit te drukken is - maar op lange termijn de zwaarste impact kan hebben. Wanneer klanten, partners of de media vernemen dat uw bedrijf slachtoffer is geworden van een phishing aanval, ontstaan er vragen over de betrouwbaarheid en het beveiligingsniveau van uw organisatie.

Reputatieschade manifesteert zich op drie manieren:

Klantenverlies

Klanten waarvan de gegevens zijn gelekt, stappen over naar een concurrent. Zeker in B2B relaties en sectoren als zorg, finance en juridisch kan dit langdurig zijn.

Mediaaandacht

Grotere incidenten komen in het nieuws. Negatieve berichtgeving is moeilijk te neutraliseren en blijft lang vindbaar via Google.

Partnervertrouwen

Zakenpartners en leveranciers vragen steeds vaker naar uw cybersecuritybeleid. Een incident kan leiden tot verlies van contracten of strengere eisen.

4. Juridische gevolgen en AVG-boetes

Wanneer een phishing aanval leidt tot een datalek waarbij persoonsgegevens zijn gelekt, bent u als organisatie verplicht dit te melden bij de Autoriteit Persoonsgegevens (AP) - binnen 72 uur na ontdekking. In veel gevallen moet ook de betrokken personen worden genotificeerd.

AVG-boetes

De Algemene Verordening Gegevensbescherming (AVG) verplicht organisaties adequate beveiligingsmaatregelen te nemen. Als uit onderzoek blijkt dat u onvoldoende maatregelen had getroffen - waaronder awareness training van medewerkers - kan de AP een boete opleggen van maximaal 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet.

NIS2-richtlijn

De NIS2-richtlijn (in Nederland van kracht) verplicht organisaties in vitale sectoren en hun toeleveranciers om bewezen maatregelen te nemen tegen cyberaanvallen, inclusief aantoonbare beveiligingstraining voor medewerkers. Phishing simulaties en awareness training zijn directe invulling van deze verplichting.

Aansprakelijkheid richting derden

Als uw gehackte systemen worden gebruikt om aanvallen uit te voeren op klanten of partners, kunt u aansprakelijk worden gesteld voor de schade die derden daardoor lijden. Dit is een onderschatte maar reele juridische risico.

Hoe beperkt u de gevaren van phishing?

De gevaren van phishing zijn reeel, maar grotendeels beheersbaar. De meest effectieve aanpak combineert technische maatregelen met menselijke training:

  • Multi-factor authenticatie (MFA) op alle accounts - ook als wachtwoord is gestolen, kan men niet inloggen
  • E-mailverificatie: SPF, DKIM en DMARC om nep-afzenders te blokkeren
  • Regelmatige phishing simulaties om kwetsbare medewerkers te identificeren
  • Security awareness training die medewerkers leert phishing te herkennen
  • Duidelijke meldprocedure zodat verdachte e-mails snel worden opgepakt
  • Incidentresponsplan zodat u weet wat te doen als het toch misgaat

Bedrijven die actief investeren in phishing simulaties en training, zien de kans op een succesvolle aanval met gemiddeld 70% dalen na het eerste jaar. Dat is de meest directe manier om de gevaren van phishing te beperken.

Start een phishing simulatie Wat kost een simulatie?