Der Studie zufolge äußern sich fast neun von zehn Befragten (88 Prozent) besorgt darüber, dass ihre Mitarbeiter, Kunden und/oder Partner ins Visier solcher Attacken geraten könnten. Und diese Sorge ist berechtigt, denn in den vergangenen zwölf Monaten wurde jedes Unternehmen im Durchschnitt 26-mal mithilfe von Phishing angegriffen.
Phishing gehört heute zu den beliebtesten Angriffsvektoren von Cyber-Kriminellen – kein Wunder, der Aufwand ist oft geringer als bei anderen Cyber-Attacken, der Gewinn kann aber enorm sein. Unternehmensverantwortliche sind sich dieser zunehmenden Gefahr bewusst, wissen aber auch, dass sie noch mehr tun können und müssen, um ihre Sicherheit zu erhöhen. Das zeigt eine neue Studie von OpenText / Carbonite + Webroot in Zusammenarbeit mit IDG. Dr. Dieter Kehl, Director Sales DACH von OpenText / Carbonite + Webroot, weiß, dass insbesondere die Mitarbeiter dabei eine entscheidende Rolle spielen.
Die Pandemie erhöht den Druck
Die Angst vor Phishing packt europäische Unternehmen: In der neuen Studie von IDG und OpenText / Carbonite + Webroot äußern sich fast neun von zehn Befragten (88 Prozent) besorgt darüber, dass ihre Mitarbeiter, Kunden und/oder Partner ins Visier solcher Attacken geraten könnten. Und diese Sorge ist berechtigt, denn in den vergangenen zwölf Monaten wurde jedes Unternehmen im Durchschnitt 26-mal mithilfe von Phishing angegriffen.
Die COVID-19-Pandemie ist daran nicht unschuldig, drei Viertel der Befragten (74 Prozent) haben eine Zunahme der Angriffe seit Beginn der Pandemie beobachtet. Allerdings berichtet nur knapp die Hälfte der Organisationen (46 Prozent) von Phishing-Versuchen, die explizit im Zusammenhang mit COVID-19 stehen. Stattdessen versuchen Kriminelle, die allgemeine Unsicherheit sowie die steigende Anzahl der digitalen Tools und Mitarbeiter auszunutzen, die im Homeoffice anfälliger für Betrug sein können.
Hohe materielle und immaterielle Schäden drohen
Die Folgen eines erfolgreichen Angriffs können für Unternehmen große Schäden anrichten: Mehr als ein Drittel der Befragten (36 Prozent) hat Downtimes erlebt, die länger als einen Tag andauerten, und bei 34 Prozent waren sensible Daten für die Kriminellen zugänglich. Zudem berichtet ein Viertel der Studienteilnehmer (24 Prozent) von Umsatzverlusten und jeder Fünfte (21 Prozent) von einem Reputationsschaden bei ihren Kunden.
Phishing nimmt verschiedene Formen an, daraus ergibt sich für Mitarbeiter die Herausforderung, diese Angriffsversuche rechtzeitig zu erkennen. In der Studie werden die folgenden Angriffe dabei als besonders schwierig eingeschätzt:
- Standardisierter, nicht zielgerichteter Massenversand – der Angriffstyp, von dem die meisten Unternehmen in den letzten zwölf Monaten sicher betroffen waren oder dies vermuten (78 Prozent)
- Clone Phishing – Änderungen an einer existierenden E-Mail, um einen legitimen Anhang, Link oder ein anderes Element durch ein bösartiges auszutauschen
- Pharming – legitimer Webtraffic wird auf eine gefälschte Seite umgeleitet
- Malware Phishing – Nutzer werden dazu gebracht, auf einen Link zu klicken oder einen Anhang herunterzuladen, der Malware enthält
- Search Engine Phishing – die Einspeisung betrügerischer Webseiten in die Ergebnisse beliebter Suchmaschinenbegriffe mithilfe bezahlter Werbung
Im Fokus der Cyber-Kriminellen stehen dabei vor allem Mitarbeiter, die Zugang zu sensiblen und/oder Finanzdaten haben: die IT- und Finanzabteilungen (55 bzw. 35 Prozent) sowie die oberste Führungsebene wie CEOs oder der Vorstand (25 Prozent).
Effektiver Schutz braucht Mensch und Technologie
IT-Sicherheitsteams im Unternehmen wissen um diese Gefahr und versuchen daher, mehr für den Schutz vor Phishing zu tun. Deshalb setzen sie vor allem auf Sicherheitsschulungen für die Angestellten, die laut nahezu allen Befragten (97 Prozent) effektiv bei der Abwehr solcher Angriffe sind. Entsprechend haben bereits 85 Prozent obligatorische Trainings etabliert und weitere 8 Prozent planen, diese einzuführen. Wichtig dabei: Sicherheitstrainings sollten regelmäßig stattfinden, um das Bewusstsein für das Cyber-Risiken hochzuhalten und auf neue Angriffsmuster aufmerksam zu machen.
Auch Technologie kommt zum Einsatz: Bei gut zwei Drittel der Befragten sind im Unternehmen ein Backup-Tool (69 Prozent) implementiert, um gelöschte oder verschlüsselte Daten wiederherstellen zu können, sowie Endpunkt-Security-Lösungen (66 Prozent). Intelligente prädiktive Software wird dagegen erst bei 44 Prozent der Organisationen genutzt, allerdings ist die Einführung solcher Lösungen in weiteren 44 Prozent der Unternehmen geplant.
„Angreifer gehen dorthin, wo sich ihnen eine lukrative Gelegenheit bietet. Das erklärt, warum IT-Abteilungen, Führungskräfte und Finanzmitarbeiter nach wie vor die häufigsten Ziele sind“, erklärt Prentiss Donohue, EVP SMB/C Sales bei OpenText. „Obwohl wir uns bemühen, so nah wie möglich an 100 Prozent heranzukommen, ist es unrealistisch zu erwarten, dass kein Mitarbeiter jemals auf bösartige Links klickt oder auf immer raffiniertere und täuschend echt gestaltete Phishing-E-Mails hereinfällt. Daher ist es für Unternehmen unerlässlich, einen mehrschichtigen Ansatz zum Schutz vor den neuesten Bedrohungen einzusetzen.“
Weitere Informationen zu den Ergebnissen der Studie sind in dem IDG-Whitepaper gesponsert von OpenText / Carbonite + Webroot verfügbar.
Methodik:
Die Studie wurde von IDG Communications im Oktober 2021 durchgeführt. Im Auftrag von OpenText / Carbonite + Webroot wurden insgesamt 300 IT-Entscheidungsträger aus Unternehmen mit 25 – 999 Mitarbeitern weltweit, davon 100 aus Europa (Deutschland, Frankreich, Großbritannien), anonym in einer Online-Umfrage befragt.
www.opentext.de