KnowBe4, Anbieter einer Plattform für Security Awareness Training und simuliertes Phishing, hat den „Phishing by Industry Benchmark Report 2022“ veröffentlicht. Der zugrunde gelegte Phish-Prone Percentage (PPP) misst eine Organisation daran, wie viele ihrer Mitarbeiter wahrscheinlich auf Phishing oder einen Social Engineering-Betrug hereinfallen.
Angesichts von Ransomware-Zahlungen in Höhe von durchschnittlich 580.000 US-Dollar im Jahr 2021 und BEC-Verlusten (Business E-Mail Compromise) in Höhe von 1,8 Milliarden US-Dollar im Jahr 2020 kann ein Cyberangriff verheerende Folgen für ein Unternehmen haben. Die für den Bericht durchgeführten Basistests haben jedoch ergeben, dass ohne Security Awareness-Schulung in allen Branchen weltweit 32,4 Prozent der Mitarbeiter wahrscheinlich auf einen verdächtigen Link klicken oder einer betrügerischen Aufforderung nachkommen würden. In einigen großen Branchen, wie Beratung, Energie- und Versorgungsunternehmen sowie Gesundheitswesen und Pharmazeutik, liegt der Prozentsatz bei über 50 Prozent.
In der europäischen Region waren die Ergebnisse etwas besser: 29,9 Prozent der ungeschulten Mitarbeiter in allen Branchen und Unternehmensgrößen würden wahrscheinlich auf einen verdächtigen Link klicken oder einer betrügerischen Anfrage nachkommen, in größeren Unternehmen (mehr als 1.000 Mitarbeiter) waren es 31,1 Prozent.
KnowBe4 analysierte einen Datensatz von über 9,5 Millionen Nutzern in 30.173 Organisationen mit über 23,4 Millionen simulierten Phishing-Sicherheitstests in 19 verschiedenen Branchen. Der daraus resultierende Basiswert des PPP misst den Prozentsatz der Mitarbeiter in Unternehmen, die keine KnowBe4-Sicherheitsschulung durchgeführt hatten und die während des Tests auf einen simulierten Phishing-E-Mail-Link klickten oder einen infizierten Anhang öffneten.
Als Unternehmen nach der ersten PPP-Messung eine Kombination aus Schulungen und simulierten Phishing-Sicherheitstests durchführten, änderten sich die Ergebnisse dramatisch. Innerhalb von 90 Tagen nach der Durchführung von monatlichen oder häufigeren Sicherheitsschulungen sank die durchschnittliche PPP auf 17,6 Prozent. Nach zwölf Monaten Security Awareness-Training und simulierten Phishing-Sicherheitstests sank der durchschnittliche PPP auf fünf Prozent, was darauf hindeutet, dass neue Gewohnheiten zur Normalität werden und eine stärkere Sicherheitskultur fördern.
Nach zwölf Monaten Schulung in Europa sinkt die durchschnittliche PPP auf 6,3 Prozent – eine Zahl, die immer noch höher ist als die weltweite Rate für diese Phase, wobei größere Unternehmen mit 8 Prozent immer noch die höchste Anfälligkeit aufweisen. „Ein Blick auf die Ergebnisse der ersten beiden Phasen zeigt ein ähnliches Bild. Mit 29,9 für die 1. (Initial Baseline Phishing Security Test Results) und 18,5 für die 2. Phase (Phishing Security Test Results Within 90 Days of Training) schneidet Europa im internationalen Vergleich nicht besonders gut ab. Organisationen haben also noch einiges zu tun“, schließt Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
Der Bericht führt dies zum Teil auf die COVID-19-Krise zurück, die die Abhängigkeit von Informations- und Kommunikationstechnologien auf ein Allzeithoch getrieben hat, was zu Veränderungen bei neuen Cloud-Diensten, einer Zunahme von Direct-to-Consumer-Diensten einschließlich neuer Formen des digitalen Zahlungsverkehrs geführt hat, die in einem beschleunigten Tempo umgesetzt werden.
Der 2022 Phishing by Industry Benchmarking Report unterstreicht, dass Technologie zwar eine wichtige Rolle bei der Prävention und Wiederherstellung nach einem Angriff spielt, Unternehmen es sich aber nicht leisten können, den menschlichen Faktor zu ignorieren. Der „2022 Data Breach Investigations Report“ von Verizon stellt fest, dass bei 82 Prozent der Datenschutzverletzungen in diesem Jahr das menschliche Element eine Rolle spielte.
„In kritischen Branchen wie der Energie- und Versorgungswirtschaft sowie dem Gesundheits- und Pharmasektor, in denen Menschenleben ernsthaft gefährdet sein können, haben wir besonders hohe Cybersicherheitsrisiken durch simulierte Phishing-Tests festgestellt“, sagt Stu Sjouwerman, CEO von KnowBe4. „Angesichts der hohen Kosten von Cyberangriffen ist dies äußerst besorgniserregend. Angesichts der Tatsache, dass die meisten Datenschutzverletzungen auf Social Engineering zurückzuführen sind, können wir es uns nicht leisten, das menschliche Element außer Acht zu lassen. Die Implementierung von Schulungen zum Sicherheitsbewusstsein mit simulierten Phishing-Tests wird dazu beitragen, Unternehmen besser vor Cyberangriffen zu schützen und eine sicherere Unternehmenskultur zu schaffen.“
www.knowbe4.de