Der Cyber-Security-Awareness Anbieter SoSafe hat seinen „Human RiskReview2022“ veröffentlicht:„Mit dem Human Risk Review wollen wir Einblicke in aktuelle Trends und Entwicklungen in der europäischen Cyber Bedrohungslage geben. Unser Ziel ist es, die Aufmerksamkeit für dieses Thema weiter zu stärken“, sagt Dr. Niklas Hellemann, Managing Director.
Dass diese Aufklärung wichtig ist, zeigen auch andere Quellen: Eine Umfrage der Allianz-Versicherung belegt, dass Cybervorfälle weltweit auf Platz 1 der größten Business-Risiken stehen. Auf der RSA Conference 2021 sprach Cisco CEO Chuck Robbins von 6 Billionen Dollar Schaden pro Jahr. Die Schnittstelle zwischen Mensch und Maschine bleibt dabei weiterhin Einstiegstor Nummer 1 – mehr als 85 Prozent aller Angriffe starten beim Faktor Mensch.
Während sich Cyberkriminelle zunehmend professionalisieren, muss sich auch die Verteidigerseite entsprechend aufstellen: „Mitarbeitende brauchen mehr als Sicherheitsrichtlinien. Sie können als ‚Human Firewall‘ eingebunden werden, um das Sicherheitsrisiko nachhaltig zu senken. Dafür muss eine Sicherheitskultur in Unternehmen etabliert werden, die Menschen einbezieht und sie darin unterstützt, Cybergefahren zu identifizieren und sich sicher zu verhalten“, sagt der Diplom Psychologe Hellemann. Der Human Risk Review hilft dabei: Er gibt Sicherheitsverantwortlichen Handlungsempfehlungen, um die Sicherheitskultur in Unternehmen nachhaltig zu stärken. Mit Hilfe des „Behavioral Security Models“ von SoSafe können Organisationen menschliche Risiken auf Basis psychologisch fundierter Ansätze maßgeblich und effektiv minimieren: Die Daten zeigen, dass systematische Awareness-Maßnahmen die Risiken um bis zu 90 Prozent senken können.
Der Human Risk Review basiert auf unterschiedlichen Datenquellen: Neben einer Umfrage mit 251 IT-Sicherheitsverantwortlichen wurde auf Reaktionsdaten aus der SoSafe Awareness-Plattform (4,3 Mio. simulierte Phishing-Angriffe von 1.500 Organisationen) und aus der jährlich von SoSafe und Botfrei durchgeführten Studie „Phish Test“ zur allgemeinen Phishing-Awareness (1350 User in 2021, die drei Phishing-Simulationen in einer Woche erhalten haben) zurückgegriffen. Darüber hinaus wurden bestehende Inhalte und Studien analysiert sowie Interviews mit anderen Branchenexpertinnen und -experten geführt.
Verschärfung und Professionalisierung von Cyberkriminalität
Die Umfrage zeigt vor allem: Die Cyber-Bedrohungslage hat sich weiter verschärft. Jede dritte Organisation (35 %) hat demnach im letzten Jahr einen erfolgreichen Cyberangriff erlebt. Darüber hinaus haben neun von zehn (90 %) IT-Sicherheitsexperten die Verschärfung der Lage in der Umfrage bestätigt. Cyberkriminelle haben ihre Angriffstaktiken und Geschäftsmodelle professionalisiert: „Organisationen sehen sich einer innovativen Dark Economy gegenübergestellt, in der Cybercrime-as-a-Service das gängige Geschäftsmodell ist. Taktiken werden beinahe im Minutentakt weiterentwickelt“, sagt Hellemann. Es zeigen sich zwei Cybercrime-Trends: Groß angelegte Supply-Chain-Angriffe zielen auf schwache Glieder in Lieferketten und legen ganze Industrien oder Versorgungssysteme lahm. Darüber hinaus spricht die Agentur der Europäischen Union für Cybersicherheit (ENISA) von der „goldenen Ära“ für Ransomware. Komplexe Angriffstaktiken wie Mehrfacherpressungen erhöhen die Gefahr von Datenmissbrauch demnach um 800 Prozent.
Fast jede und jeder Dritte klicken auf schädliche Inhalte in Phishing-Mails
Phishing und Social Engineering bleiben Dauerbrenner. Angriffe werden laufend und anlassbezogen weiterentwickelt, wie beispielsweise im Angriffskrieg auf die Ukraine: „Innerhalb kürzester Zeit kursierten Social Engineering-Angriffe, die die Hilfsbereitschaft der Menschen gegenüber der Ukraine ausgenutzt haben“, sagt Hellemann. SoSafes Daten zeigen, dass diese Taktiken funktionieren: Fast die Hälfte aller Nutzenden (45 %) öffnen Phishing-Mails. Davon klickt fast jede und jeder Dritte (30 %) auf enthaltene Links, Anhänge oder andere schädliche Inhalte. Ein stetiger Trend zeigt sich bei der Unterscheidung nach Personengruppen: Wie schon im Jahr 2021 klicken Männer häufiger auf Phishing-Mails (23 %) als Frauen (20 %) und jüngere häufiger (18-49 Jahre; 29 %) als ältere Menschen (über 50; 19 %). 58 Prozent der Nutzenden, die geklickt haben, interagieren zudem mit den Inhalten und geben beispielsweise persönliche Daten in fingierte Login Masken ein. Damit sind die Öffnungs-, Klick- und Interaktionsraten bei Phishing-Mails weiterhin auf hohem Niveau. Im Vergleich zum Vorjahr sind sie sogar noch weiter angestiegen.
Zusammenfassung der wichtigsten Erkenntnisse des „Human Risk Reviews 2022“ von SoSafe. Bildquelle: SoSafe GmbH
Hybride Arbeitsmodelle als Herausforderung für Unternehmen
Drei von vier Befragten (75%) sagen, dass sich die Angriffslage durch Homeoffice und hybride Arbeitsmodelle verschärft hat. Das ist nicht überraschend: Hybride Arbeitswege haben neue Kommunikationskanäle mit sich gebracht, die Cyberkriminellen zusätzliche Eintrittswege für Cyber Angriffe auf Unternehmen eröffnen. Dabei setzen sie weiterhin verstärkt auf Social Engineering, da Menschen sich immer auf ähnliche Art und Weise angreifen lassen: Über emotionale Manipulation. Psychologisch fundierte Ansätze helfen maßgeblich dabei, menschliche Risiken in einer Organisation zu minimieren. 99 Prozent der Befragten wollen im nächsten Jahr daher ihre organisationseigene Sicherheitskultur stärken.
www.sosafe.de