Proofpoint, ein Next-Generation Cybersecurity- und Compliance-Unternehmen, hat die Ergebnisse seines siebten, jährlich erscheinenden State of the Phish Report veröffentlicht.
Darin beleuchtet der Security-Spezialist die aktuelle Situation von Unternehmen aus Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien und Japan in Sachen Phishing und wirft einen detaillierten Blick auf die Sensibilisierung der Nutzer für dieses Thema. Mehr als 75 Prozent der befragten Sicherheitsexperten gaben im Rahmen der Untersuchung an, dass ihr Unternehmen im Jahr 2020 mit breit angelegten Phishing-Angriffen konfrontiert wurde. Ferner waren 66 Prozent der Befragten von Ransomware-Infektionen betroffen.
„Cyberkriminelle auf der ganzen Welt haben es weiterhin mit ausgeklügeltem und überzeugendem Social Engineering auf Menschen als Schwachstelle abgesehen. Sie setzen dabei vor allem auf E-Mail als Transportmedium für ihren Betrug. Damit bleibt die E-Mail der zentrale Bedrohungsvektor“, sagt Michael Heuer, Vice President DACH bei Proofpoint. „Die Absicherung des E-Mail-Kanals ist heute ganz zweifellos ein geschäftskritischer Faktor. Dazu zählt auch sicherzustellen, dass die Benutzer wissen, wie sie Cyberangriffsversuche erkennen und melden können. Das war nie wichtiger als in der aktuellen Lage, da die Benutzer immer häufiger von außerhalb des Büros arbeiten – oft in einer weniger sicheren Umgebung. Viele Unternehmen geben zwar an, dass sie ihre Mitarbeiter in puncto Sicherheit schulen, aber unsere Daten zeigen, dass die meisten hier nicht ausreichend aktiv werden.“
Der State of the Phish Report von Proofpoint unterstreicht die Notwendigkeit eines personen-orientierten Ansatzes in den Bereichen Cybersecurity und Sicherheitsschulungen, der den sich verändernden Bedingungen stets Rechnung trägt – so wie es Unternehmen im Zuge der Pandemie erlebt haben. Die Umfrageergebnisse offenbaren einen Mangel an maßgeschneiderten Schulungen: So gaben beispielsweise 90 Prozent der befragten Security-Mitarbeiter in den USA an, dass die Belegschaft ihres Unternehmens im vergangenen Jahr zur Arbeit im Homeoffice übergegangen ist. Aber nur 29 Prozent haben dabei die Benutzer auch hinsichtlich eines sicheren Arbeitens von außerhalb des Büros geschult.
In Deutschland ist die Situation ähnlich. „Die Ergebnisse in Bezug auf die Arbeitssituationen im Homeoffice lassen tief blicken“, so Heuer. „Mehr als zwei Drittel der von uns befragten IT-Sicherheitsexperten in Deutschland gaben an, dass sie im vergangenen Jahr für mindestens die Hälfte der Mitarbeiter ihres Unternehmens ein neues Modell zur Arbeit aus dem Homeoffice unterstützt haben. Und dennoch äußerten nur 14 Prozent, dass die Mitarbeiter auch zu entsprechenden Sicherheitsvorkehrungen im Zusammenhang mit der Arbeit von zu Hause aus geschult wurden. Gleichzeitig sagten mehr als die Hälfte der Angestellten in Deutschland, dass sie ihren Freunden und Familienangehörigen den Zugriff auf ihre vom Arbeitgeber gestellten Geräte erlauben, um beispielsweise online einzukaufen oder um zu spielen. Dieses Verhalten stellt ein erhebliches Risiko dar und verdeutlicht den Bedarf an intensivierten Schulungen zum Sicherheitsbewusstsein, die auf Mitarbeiter zugeschnitten sind, die im Homeoffice arbeiten.“
Proofpoints State of the Phish Report beinhaltet praktische Tipps sowie eine umfassende Analyse der Bedrohungslandschaft in Sachen Phishing, um die Risiken für Unternehmen zu reduzieren. Zu den wichtigsten Erkenntnissen der weltweiten Studie zählen:
- Unternehmen waren 2020 häufiger mit erfolgreichen Phishing-Angriffe konfrontiert, als das im Vorjahr der Fall war (57 % vs. 55 %). Darüber hinaus stellen Business-Email-Compromise-
Angriffe (BEC) weiterhin ein ernstzunehmendes Problem dar.
- Von den zwei Dritteln der Umfrageteilnehmer, die angaben, dass ihr Unternehmen im Jahr 2020 Opfer einer Ransomware-Attacke wurde, entschied sich mehr als die Hälfte für die Zahlung des Lösegelds, in der Hoffnung, schnell wieder Zugriff auf die Daten zu erhalten.
Von denjenigen, die das Lösegeld zahlten, erhielten 60 Prozent nach der ersten Zahlung wieder Zugriff auf Daten/Systeme. Allerdings sahen sich fast 40 Prozent nach der ersten Zahlung einer weiteren Lösegeldforderungen gegenüber – ein Anstieg von 320 Prozent im Vergleich zum Vorjahr. 32 Prozent gaben an, dass sie sich im Anschluss dazu entschlossen, auch die zusätzlichen Lösegeldforderungen zu bezahlen – ein Anstieg von 1.500 Prozent gegenüber 2019.
- 80 Prozent der befragten Unternehmen gaben an, dass Schulungen zum Sicherheitsbewusstsein die Anfälligkeit für Phishing verringern konnten. Doch während 98 Prozent der Umfrageteilnehmer äußerten, dass ihre Organisation über ein Programm für Security Awareness Trainings verfügt, bieten nur 64 Prozent den Anwendern auch wirklich formale Schulungen als Teil von Cybersecurity-Trainings an.
- Die durchschnittliche Fehlerquote der Proofpoint-Kunden bei Phishing-Simulationen lag insgesamt bei 11 Prozent, im Jahr 2019 waren es noch 12 Prozent.
- Laut Proofpoint Threat Research waren Unternehmen aus der Fertigungsbranche 2020 mit dem höchsten durchschnittlichen Volumen an tatsächlichen Phishing-Angriffen konfrontiert. Organisationen in diesem Sektor gehörten außerdem zu den aktivsten, wenn es darum ging, die Reaktion ihrer Benutzer auf Phishing-Bedrohungen zu testen. Die durchschnittliche Fehlerquote von Unternehmen der Fertigungsbranche betrug 11 Prozent.
- Auf die Abteilungsebene heruntergebrochen waren die Beschaffungsabteilungen mit einer durchschnittlichen Fehlerquote von nur 7 Prozent die Spitzenreiter. Demgegenüber schnitten die Wartungsabteilungen und die mit der Gebäudeverwaltung betrauten Teams laut den Untersuchungen mit einer durchschnittlichen Fehlerquote von 15 bzw. 17 Prozent am schlechtesten ab.
Weitere Ergebnisse aus Deutschland zeigen, wie sehr Praktiken und Verhaltensweisen im Bereich IT-Sicherheit je nach Region variieren können:
- 68 Prozent der deutschen Organisationen haben 2020 von ihren Mitarbeitern verlangt bzw. sie dazu angehalten, dass sie ihrer Arbeit von zu Hause nachgehen. Jedoch haben nur 14 Prozent ihre Mitarbeiter auch zu Best Practices im Homeoffice geschult.
- Ransomware: 14 Prozent der deutschen Organisationen weigerten sich, einer weiteren Lösegeldforderung nachzukommen, nachdem ihre erste Zahlung nicht zur Rückgabe ihrer Daten geführt hatte. In keinem der sechs anderen Länder verweigerten die Erpressungsopfer so häufig eine zweite Zahlung.
- Auf die Frage, um was es sich bei Ransomware handelt, antworteten nur 26 Prozent der deutschen Arbeitnehmer richtig. Zum Vergleich: Weltweit lag der Durchschnitt bei 33 Prozent.
- Bei der Frage nach der Definition von Vishing schnitten die deutschen Berufstätigen weltweit am schlechtesten ab: Nur 18 Prozent aller hierzulande Befragten beantworteten diese Frage richtig. Im Vergleich dazu war die Wahrscheinlichkeit, dass ihre französischen Kollegen die Frage korrekt beantworteten, mit 54 Prozent dreimal so hoch.
- 28 Prozent der deutschen Unternehmen verlassen sich auf ein- oder zweimalige Schulungen pro Jahr, um das Nutzerverhalten zu verbessern.
- 46 Prozent der deutschen Befragten gaben an, dass ihr Unternehmen Mitarbeiter sanktioniert, die regelmäßig auf (simulierte oder echte) Phishing-Angriffe hereinfallen. Weltweit lag der Durchschnitt hier bei 55 Prozent.
- Unter denjenigen, die ein solches Konsequenz-Modell anwenden, waren die am häufigsten genannten Folgen für „Wiederholungstäter“ – also diejenigen, die wiederholt bei Angriffssimulationen falsch reagierten – ein Beratungsgespräch durch das Security-Team (57 %), Auswirkungen auf die jährliche Leistungsbeurteilung (54 %) und ein Gespräch mit dem Vorgesetzten (52 %). Zudem sagten 72 Prozent, dass ein Konsequenz-Modell zu einer verbesserten Sensibilisierung der Mitarbeiter führte.
Organisationen sind gut damit beraten, proaktiv personen-orientierte Cybersicherheitsstrategien zu entwickeln. In diese sollten nicht nur allgemeine Erkenntnisse zu regionalen und branchen- sowie abteilungsspezifischen Risiken miteinfließen, sie müssen auch individuelle Bedrohungen, hinsichtlich der eigenen Unternehmensstrategie, -ziele und Mitarbeiter berücksichtigen.
Der diesjährige „State of the Phish“ Report analysiert Antworten von mehr als 600 IT-Sicherheitsexperten aus Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien und Japan. Zudem werden darin die Ergebnisse von Umfragen unter 3.500 berufstätigen Erwachsenen aus denselben sieben Ländern detailliert untersucht. Ferner flossen Daten von mehr als 60 Millionen simulierten Phishing-Attacken in den Bericht ein, die von Proofpoint-Kunden über einen Zeitraum von einem Jahr an ihre Mitarbeiter gesendet wurden, zusammen mit etwa 15 Millionen E-Mails, die über den von Nutzern verwendeten PhishAlarm-Button gemeldet wurden.
Der komplette State of the Phish Report 2021, der auch eine nach Ländern aufgeschlüsselte Liste aller Antworten der Befragten enthält, kann hier heruntergeladen werden:
www.proofpoint.com/de