Auch in diesem Jahr haben Botfrei und der Security-Training-Anbieter SoSafe wieder ihre jährliche Aktion „Phish-Test“ im Rahmen des europäischen IT-Sicherheitsmonat (ECSM) durchgeführt.
Bürger konnten hierbei überprüfen, wie gut sie realistische Phishing-Mails erkennen können. Die aktuell gestiegene Bedrohungslage spiegelte sich dabei auch in einer stark erhöhten Resonanz wider: über 5.000 Teilnehmerinnen und Teilnehmer registrierten sich auf der Webseite www.phish-test.de. Das sind fast 50 % mehr als im vergangenen Jahr. Nach der Registrierung erhielten alle Teilnehmenden drei realistische Phishing-Simulationsmails und wurden auf eine Aufklärungsseite geleitet, falls sie auf die Phishing-Mails „hereinfielen“. Im Gesamtdurchschnitt klickten hierbei 30,71 % der Teilnehmenden auf mindestens eine der Phishing-Mails. Besonders dramatisch: 87,4 % der Mails wurden zugestellt, d.h. sie gelangten ohne Probleme durch die Spamfilter der Teilnehmenden!
Themenfokus: Corona und Home-Office bei Angreifenden hoch im Kurs Thematisch waren die simulierten Phishing-Mails an der aktuellen Angriffslage orientiert und enthielten Taktiken rund um Home-Office und Corona. Denn in der Tat war die globale COVID19-Pandemie nicht nur eine gesundheitliche Bedrohung, sondern auch ein Fest für Hacker und Betrüger. So stieg das Aufkommen von Phishing-Mails laut der Agentur der Europäischen Union für Cybersicherheit ENISA um über 600 % im ersten Halbjahr 2020. Die Angreifer nutzen hierbei insbesondere emotionale Faktoren sowie den Faktor Home-Office aus. So konnten zum Beispiel bereits in den ersten Wochen der Pandemie vermeintliche Mails der World Health Organization „in der freien Wildbahn“ beobachtet werden, die mit Schutzhinweisen zu dem Coronavirus lockten, aber tatsächlich ein Computervirus enthielten.
Männer klicken fast 50 % häufiger als Frauen
Ein differenzierter Blick in die Daten bringt zudem spannende Erkenntnisse zutage. Mit Blick auf das Geschlecht der Teilnehmenden zeigt sich, dass Männer häufiger auf die simulierten Phishing-Mails geklickt haben als Frauen. Annähernd jeder dritte männliche Teilnehmer hat mindestens eine der drei verschickten E-Mails geöffnet (32,97 %). Unter den weiblichen Teilnehmerinnen lag die Quote lediglich bei 22,64 %. Generell waren auch Männer in der Mehrheit. So befanden sich 78 % Männer und 22 % Frauen unter den Teilnehmenden.
Altersgruppen: „Digital Natives“ im Vorteil?
Ein sehr spannendes Ergebnis ergab zudem die Analyse nach Altersgruppen. Die Vermutung liegt zunächst nahe, dass jüngere Nutzer oder „Digital Natives“ eine wesentlich höhere Medienkompetenz besitzen und somit auch in der Lage sind, Phishing-Mails zu erkennen. Interessanterweise ergibt die Phish-Test-Auswertung hier genau das Gegenteil: besonders anfällig für Phishing-Mails ist demnach nämlich die Altersgruppe von 18-29 – mit einer Klickrate von 38,08 %. Bei allen anderen Altersgruppen liegen die Werte deutlich darunter, im Durschnitt bei ca. 25 %. Den niedrigsten Wert weist hier die Altersgruppe der 40-49-Jährigen auf mit 20,83 %.
Spannende Fragen werden hierbei aufgeworfen: geht vielleicht mit der „Selbstverständlichkeit“, mit der diese Altersgruppe digital kommuniziert und arbeitet, auch eine kritische Sorglosigkeit einher? Sind die älteren “Silver Surfer” achtsamer oder skeptischer, insbesondere bei verdächtigen Mails?
In jedem Fall deuten die Ergebnisse darauf hin, dass Medienkompetenz, und damit insbesondere auch „Security-Kompetenz“, bereits im frühen Alter, z.B. in der Schule, gefördert werden sollte.
Ländervergleich: Österreicher schlagen Deutsche knapp, Saarländer besonders vorsichtig
Mit Blick auf die geographische Verteilung lassen sich in den Daten sehr spannende Länderunterschiede beobachten, was die „Phishing-Kompetenz“ angeht. So liegt z.B. Thüringen 3 Prozentpunkte unter dem Durchschnittswert – hier scheint ein ordentlicheres Bewusstsein für Phishing-Mails vorzuliegen als im Bundesdurchschnitt. Baden-Württemberg und Schleswig-Holstein bilden wiederum die Schlusslichter. Die beiden Bundesländer liegen mit ihrer Klickrate weit über dem allgemeinen Durchschnitt.
Aber auch die Saarländer, die „Spitzenreiter“ mit der niedrigsten Klickrate können sich nicht wirklich auf ihren Lorbeeren ausruhen. Im Schnitt wurde auch hier mit einer Klickrate von 21,41 % immer noch jede fünfte Mail nicht erkannt.
Zum Abschluss noch ein Vergleich zwischen Deutschland und Österreich. Hier schneiden die Bewohner der Alpenrepublik mit 28,57% etwas besser ab als die Teilnehmenden aus der Bundesrepublik, deren Klickrate bei 30,01% liegt.
Insgesamt sollte also weiterhin für die Gefahren von Phishing-Mails sensibilisiert werden. Im Vergleich: die durchschnittliche initiale Klickrate bei der SoSafe-Phishing-Simulation über alle Kunden hinweg liegt bei ca. 20 %.
Fazit: gerade jetzt aufmerksam bleiben!
Die Ergebnisse der jährlichen Phish-Test-Aktion zeigen ganz klar: echte Phishing-Mails sind immer schwieriger zu erkennen. Angreifer nutzen aktuelle Themen aus und manipulieren unsere Emotionen auf diese Art und Weise. Unabhängig davon, ob wir uns gut gewappnet fühlen oder unsere Medienkompetenz hoch einschätzen: viele Angriffe treffen ins Schwarze.
Die Tatsache, dass die absolute Mehrzahl der gezielten Phishing-Mails auch durch übliche Spamfilter gelangen zeigt zudem, wie wichtig es ist, aufmerksam zu bleiben und sich konstant mit möglichen Angriffen zu beschäftigen.
Dies trifft umso mehr in der aktuellen Pandemie-Situation zu, die uns alle zu mehr „Remote Work“ zwingt: immer mehr Bestandteile der Kommunikation werden dadurch in den digitalen Raum verlagert und erhöhen damit das Angriffspotenzial. Daher ist die grundsätzliche Sensibilisierung für alle Gefahren von Cyber-Kriminalität und speziell für Phishing-Mails wichtig und gewinnt immer mehr an Relevanz.
www.sosafe.de