79 Prozent der deutschen Büroangestellten öffnen bedenkenlos E-Mails von unbekannten Absendern. Dies ergab eine von OpenText in Auftrag gegebene Online-Erhebung. Hierfür wurden unter anderem 1.000 deutsche Arbeitnehmer zu ihren Erfahrungen mit Phishing-/Scam-Mails, und wie sie die Cyber-Resilienz ihres Unternehmens einschätzen, befragt.
Aus den Ergebnissen geht weiterhin hervor, dass 28 Prozent der deutschen Befragten in den letzten zwölf Monaten mindestens einmal Opfer einer Phishing-Attacke waren. Ein solch unvorsichtiges Verhalten kann besonders während der herrschenden COVID-19-Krise zu katastrophalen Folgen führen.
Cyber-Kriminelle nahmen die Situation der letzten Monate zum Anlass, die Unsicherheit und Neugier ihrer Mitbürger auszunutzen. So warnten das Bundesamt für Sicherheit und Informationstechnik, die WHO sowie die Bundespolizei vor diesem ernsten Problem: Phishing-Mails, die mit falschen Identitäten, Angeboten oder News in Bezug zur Corona-Pandemie lockten. 15 Prozent der deutschen Befragten gaben an, dass sie bereits Phishing-Mails mit Corona-relevanten Inhalten erhalten haben. Dabei gaben 60 Prozent der Befragten an zu wissen, wie sie sich und ihre persönlichen Daten vor Cyber-Attacken schützen können. Immerhin fühlt sich ein Viertel (25 Prozent) heute eher dazu imstande, Phishing-Mails zu erkennen, als vor der Krise. Und acht von zehn Arbeitnehmer gaben sogar an, bestimmte Maßnahmen zur Erkennung von böswilligen E-Mails zu ergreifen. Dem gegenüber stehen jedoch 74 Prozent, die kein Back-up ihrer Daten anlegen. Dies führte dazu, dass 31 Prozent der Befragten seit der Pandemie verloren gegangene Daten wiederherstellen mussten. Nur 13 Prozent derjenigen, die Opfer eines Phishing-Angriffs waren, meldeten diesen Vorfall ihrem Arbeitgeber.
Fehleinschätzung und Unvorsichtigkeit als Risikofaktor im Homeoffice
49 Prozent der deutschen Befragten gaben an, dass sie als Folge der Corona-Pandemie nun wesentlich öfter von zuhause arbeiten als vorher. So wegbereitend diese Entwicklung für zukünftige, flexible Arbeitsmodelle auch ist, so ergeben sich ebenfalls Risiken hinsichtlich der Cyber-Sicherheit. Mehr als ein Viertel (26 Prozent) nutzen sowohl ihre privaten Geräte für ihre Arbeit im Homeoffice als auch ihre Arbeitsgeräte für private Angelegenheiten wie das Lesen von E-Mails. Angesichts der Tatsache, dass die befragten Angestellten täglich etwa 70 E-Mails erhalten und dass die Mehrheit jede Mail öffnet, obwohl sie den Absender nicht kennt, erreicht das Risiko von sicherheitsrelevanten Vorfällen ein ungeahntes Ausmaß.
Dr. Prashanth Rajivan, Assistant Professor an der Universität Washington, hält eine mögliche Erklärung bereit, warum Arbeitnehmer im Homeoffice vermehrt auf Phishing-Versuche reinfallen: „Wie beim Autofahren auch reicht die kleinste Form der Ablenkung, um einen effektiven Schaden anzurichten. Wenn man nun dem Haushalt nachgeht oder den Fernseher nebenbei laufen lässt während man alltägliche Aufgaben erledigt wie zum Beispiel die E-Mails durchzusehen, dann steigt das Risiko, dass Phishing-Mails nicht sofort erkannt oder infizierte Anhänge geöffnet werden.“
Vernachlässigung von Cyber-Resilienz und Sicherheitsverantwortlichkeiten
Nicht nur die Vermischung von privaten und Arbeitsgeräten sowie unvorsichtiges Handeln können zum Problem werden: Laut der Umfrage sehen nur neun Prozent der Arbeitnehmer die Verantwortlichkeit über die Cyber-Sicherheit bei sich selbst; 66 Prozent sehen sie bei der IT-Abteilung. Dabei handelt es sich um einen gefährlichen Trugschluss, denn auch die Mitarbeiter selbst müssen für einen besonnenen Umgang mit Daten und potenziell schadhaften Mails sorgen. Auch Unternehmen scheinen diesen Faktor zu vernachlässigen: Zwar glauben 62 Prozent der befragten Arbeitnehmer, dass ihr Unternehmen in Sachen Cyber-Resilienz genug gewappnet ist für potenzielle Angriffe. Doch nur 15 Prozent verrieten, dass ihr Unternehmen verstärkt Sicherheitsmaßnahmen in Form von Cyber Security-Trainings umgesetzt habe.
„Durch die massenhafte Verschiebung ganzer Belegschaften in die Heimbüros, den steten Fluss an E-Mail-Kommunikation und eine ‚Always connected‘-Mentalität, ergaben sich für Cyber-Kriminelle schlagartig mehr Angriffsfelder als je zuvor“, so Mark J. Barrenechea, CEO & CTO von OpenText. „Cyber-Kriminelle schlagen immer dort zu, wo sie mit Sicherheit den größtmöglichen Effekt erzielen können. Neben den gefälschten Sparkassen-Mails, die eine Schließung von Filialen vortäuschten, um persönliche Daten aus ihren Empfängern zu locken, konnten wir zum Beispiel ebenfalls beobachten, wie die anonymen Angreifer vermehrt E-Mails von Streamingdiensten imitierten, um Verbraucher hinters Licht zu führen. Sowohl Unternehmen als auch der einzelne Verbraucher müssen dem Thema Cyber-Resilienz eine höhere Priorität zukommen lassen und erkennen, dass jeder eine gewisse Verantwortung über den Schutz von Daten trägt.“
Weitere Key Findings – Globaler Durchschnitt
Das Phishing-Risiko steigt aufgrund verstärkter Mail-Kommunikation, Remote Working sowie der hohen Fälschungsqualität:
- Durchschnittlich erhalten die Befragten täglich etwa 70 E-Mails – ein Zuwachs von 34 Prozent im Vergleich zu letztem Jahre.
- Ein Fünftel der Befragten erhielten bereits Phishing-Mails rund um COVID-19-Themen.
Unternehmen und Verbraucher schätzen den Grad ihrer Cyber-Sicherheit zu optimistisch ein. Obwohl sie die Risiken kennen, bleiben sie unvorsichtig:
- Nur 59 Prozent der Mitarbeiter glauben zu wissen, wie sie sich und ihre persönlichen Daten vor Angriffen schützen können.
- Dennoch geben 64 Prozent der Befragten zu, dass sie auf jeden Fall E-Mails öffnen würden, wenn sie augenscheinlich von ihrem Vorgesetzten stammen. 23 Prozent würden eine E-Mail mit hoher Prioritätsangabe bzw. „DRINGEND“ in der Betreffzeile öffnen (sogenannte Business E-Mail Compromise (BES)-Attacken).
- 22 Prozent geben zu, bereits auf einen Phishing-Link in einer ihrer privaten Mails geklickt zu haben (14 Prozent im Arbeitsumfeld), was nahelegt, dass Arbeitnehmer zuhause unvorsichtiger werden.
- Lediglich 14 Prozent sind der Meinung, dass die Mitarbeiter in ihrem Unternehmen verantwortlich sind für die Wahrung der Cyber-Sicherheit. 74 Prozent sehen die Verantwortung bei der IT oder der Führungsetage.
Für eine bessere Cyber-Resilienz braucht es mehr Mitarbeiterschulungen und Präventivmaßnahmen – besonders, wenn Remote Worker Zugang zu Unternehmensressourcen brauchen:
- Obwohl sich seit der Corona-Pandemie mehr Unternehmen der Cloud und Kollaborations-Tools zuwenden (wie z.B. Microsoft 365), gaben lediglich 54 Prozent der Befragten an, dass ihr Arbeitgeber Back-ups ihrer Microsoft 365 Daten sichert, wodurch Data Recovery-Pläne Lücken aufweisen.
- Nur 21 Prozent sagen, dass ihr Arbeitgeber während der Corona-Pandemie für mehr Sicherheitsschulungen sorgt.
- 60 Prozent der Befragten halten ihr Unternehmen für resilient
81 Prozent verfolgen einzelne Schritte, um zu ermitteln, ob eine E-Mail schädlich ist oder nicht. Darunter:
- 64 Prozent sehen sich den Absender genau an
- 64 Prozent suchen nach verdächtigen Anhängen
- 56 Prozent suchen nach Rechtschreib-, Grammatik- und Interpunktionsfehlern
- 45 Prozent sehen sich die Link-Adresse genau an, indem sie die Maus darüber bewegen
- 29 Prozent suchen im Internet nach dem Namen/dem Unternehmen des Absenders
- 14 Prozent geben zu, dass sie keine der Maßnahmen ergreifen
Ein Drittel der Befragten gibt zu, im letzten Jahr mindestens einmal Opfer eines Betrugs gewesen zu sein.
Methodik:
In Zusammenarbeit mit Lewis Research führte Webroot, ein OpenText-Unternehmen, zwischen dem 10. und dem 19. Juni eine Online-Befragung unter insgesamt 7.000 Büroangestellten und Vollzeit-Angestellten aus sieben Ländern durch – jeweils 1.000 Teilnehmer aus Deutschland, dem Vereinigten Königreich, Frankreich, Italien, den Vereinigten Staaten, Japan, sowie Australien/Neuseeland.
www.opentext.de