Der Cybersecurity-Experte Mimecast hat seinen siebten jährlichen Lagebericht zur globalen E-Mail-Sicherheit veröffentlicht. Auch wenn das Bewusstsein für Cyberrisiken sowohl bei Angestellten, als auch in der Chefetage stetig zunimmt, bleiben immer raffinierter werdende Phishing-Angriffe die größte Bedrohung für Unternehmen in Deutschland.
Und auch Collaboration-Tools sind weiter auf dem Vormarsch – ebenso wie die mit ihnen verbundenen Sicherheitslücken.
Bereits zum siebten Mal in Folge gibt Mimecast, einer der führenden Anbieter im Bereich IT- und E-Mail-Sicherheit, seinen jährlichen Lagebericht zur Email-Sicherheit (State of Email Security, SOES) heraus. In der internationalen Studie wurden 1.700 Fachleuten aus den Bereichen Informationstechnologie und Cybersicherheit aus 13 Ländern befragt. Bei einem genaueren Blick auf die deutschen Zahlen kristallisieren sich drei elementare Bereiche heraus, denen die IT- und Sicherheitsverantwortlichen in Deutschland besonders ihre Aufmerksamkeit widmen: Phishing, Collaboration-Tools und die Sensibilisierung der Mitarbeitenden.
Phishing via E-Mail bleibt der erfolgreichste Angriffsvektor für Cyberkriminelle
Mit der immer weiter zunehmenden E-Mail-Nutzung im Geschäftsalltag beobachteten 3 von 4 deutschen Unternehmen im vergangenen Jahr auch die verstärkte Bedrohung durch E-Mail-basierte Angriffe. Genau diese Zunahme der schieren Anzahl der Attacken beunruhigt die Sicherheitsteams am meisten – noch mehr als die immer raffinierteren Formen der Angriffe sowie unzureichendes Risikobewusstsein der Mitarbeitenden, die auf Platz 2 und 3 der meistgenannten Herausforderungen für das Jahr 2023 landeten. 71 % der Befragten gaben demnach an, negative Auswirkungen auf ihr Geschäft infolge eines E-Mail-basierten Angriffs zu befürchten. 8 % halten dies sogar nicht nur für wahrscheinlich, sondern für unausweichlich.
Phishing bleibt auf Platz 1 der E-Mail-basierten Bedrohungen für deutsche Unternehmen. Die Hälfte der befragten Organisationen musste im letzten Jahr eine moderate bis deutliche Zunahme von Phishing-Mails feststellen, weitere 25 % gaben an, dass die Menge von erhaltenen Phishing-Mails gleich hoch geblieben ist. Eine ungeheuerlich hohe Zahl in Anbetracht dessen, dass lediglich 41 % der Unternehmen bereits über ein aktives Sicherheitssystem verfügen, welches bösartige E-Mails, die bereits in den Posteingängen der Mitarbeitenden gelandet sind, erkennt und entfernt. Immerhin 30 % der Befragten haben momentan ein Projekt zur Implementierung eines solchen Systems laufen, und weitere 23 % planen die Einführung innerhalb der nächsten 12 Monate. Dies sollte für die Unternehmen definitiv eine Sache von größter Dringlichkeit sein: Im letzten Jahr sind 84 % Opfer einer erfolgreichen E-Mail-Attacke mit infizierten Anhängen oder Links geworden, die sich von einer angestellten Person zu weiteren verbreiten konnten.
Collaboration-Tools erleichtern die Zusammenarbeit unter Kolleg:innen – und stellen IT-Teams vor neue Herausforderungen
Collaboration-Tools wie MS Teams, Google Workspace oder Slack stellen eine immer größer werdende Bedrohung für Unternehmen dar. Sie sind auch nach dem Ende der Pandemiemaßnahmen aus dem täglichen Geschäftsalltag nicht mehr wegzudenken. Zwei Drittel der deutschen Unternehmen gaben in der aktuellen Befragung an, dass die Zahl der Angriffe über Collaboration-Tools in den letzten 12 Monaten gestiegen oder mindestens gleich hoch geblieben ist. 68 % mussten feststellen, dass die native Sicherheitsstruktur solcher Tools nicht die Anforderungen ihrer Unternehmen erfüllt. 60 % befinden außerdem, dass ihre eigene Cyberabwehr bei der Nutzung von Collaboration-Tools nicht stark genug ist. Auch die Anzahl der verschiedenen Plattformen erschwert es den Sicherheitsteams, den Überblick zu behalten. Fast die Hälfte der neu heruntergeladenen Tools sei nicht von der IT-Abteilung genehmigt worden. Angriffe im Zusammenhang mit Collaboration-Tools werden damit von Minute zu Minute wahrscheinlicher. Ein Drittel der Befragten ist im letzten Jahr bereits Opfer eines erfolgreichen Angriffs über eine solche Plattform geworden – und 67 % rechnen mit negativen Folgen in Zusammenhang mit einer Collaboration-Tool-Attacke im Jahr 2023.
Sensibilisierungstrainings als effektive Maßnahme für mehr Risikobewusstsein
Noch immer sind die meisten Cyber-Vorfälle auf menschliche Fehler zurückzuführen. Unternehmen in Deutschland rechnen auch weiterhin mit einer ernstzunehmenden Bedrohung durch unvorsichtige Mitarbeitende – sei es durch unabsichtliche Datenlecks (81 %), bei der privaten Nutzung von E-Mails (79 %) oder durch schlechtes Passwort-Management (78 %). Um diesen Risiken entgegenzuwirken, bieten mittlerweile nahezu alle befragten Unternehmen eine oder mehrere Formen von Sensibilisierungstraining für besseres Cybersecurity-Bewusstsein der Angestellten an. Deutsche Organisationen setzen dabei vor allem auf Gruppenseminare mit den IT-Teams, Online-Tests und automatische Prompts beim Anklicken eines Links, die den User darüber informieren, ob die jeweilige Seite als sicher eingestuft ist. Bei der Regelmäßigkeit der Sicherheitsunterweisungen besteht jedoch noch Luft nach oben: Nur 16 % der deutschen Unternehmen schulen ihre Mitarbeitenden fortlaufend. Der Großteil (45 %) verlangt solche Weiterbildungen nur einmal im Monat, 23 % einmal im Quartal, und die übrigen Befragten noch seltener.
Fazit
Auch das Jahr 2023 wird kein einfaches für die IT- und Sicherheitsteams deutscher Unternehmen werden. Während Phishing-E-Mails der Angriffsvektor Nummer eins bleiben, müssen sie ihre Aufmerksamkeit vermehrt auch Collaboration-Tools widmen, deren schiere Anzahl und vermehrte Nutzung die Verantwortlichen vor zusätzliche Herausforderungen stellt. Cybersecurity-Trainings für alle Mitarbeitenden sind mittlerweile glücklicherweise zur Regel geworden – bei der Häufigkeit solcher Schulungen sollten deutsche Unternehmen jedoch nicht länger mit gezogener Handbremse fahren. Letztlich kann auch die beste Sicherheitsarchitektur nur bedingt vor menschlichen Fehlern schützen. Unternehmen sollten daher auf ein mehrschichtiges Abwehrsystem zum Schutz ihrer Daten setzen, um der immer weiterwachsenden Bedrohungslandschaft zuversichtlich entgegentreten zu können. Immerhin ist das Bewusstsein für die aktuelle Risikolage weitestgehend auch bis in die Chefetage vorgedrungen; jetzt müssen den Worten auch Taten – und ausreichendes Budget zur Umsetzung der geplanten Maßnahmen – folgen.
Über den Bericht:
Der Lagebericht zur Email-Sicherheit („State of Email Security“, SOES) 2023 wurde im Auftrag von Mimecast von Vanson Bourne zwischen Oktober und November 2022 durchgeführt. An der Befragung nahmen 1.700 Fachleuten aus den Bereichen Informationstechnologie und Cybersicherheit aus den USA, Kanada, dem Vereinigten Königreich, Frankreich, Deutschland, den Niederlanden, Schweden, Dänemark, Saudi-Arabien, den Vereinigten Arabischen Emiraten, Südafrika, Singapur und Australien teil.
Der vollständige Bericht (globale Ergebnisse) steht hier zum Download bereit.
www.mimecast.com