Research Report

Phishing-Klicks haben sich im Jahr 2024 fast verdreifacht

LinkedInRedditWhatsAppPocket

Netskope veröffentlicht seinen neuesten Research Report. Er zeigt, dass Unternehmensmitarbeiter aufgrund der zunehmenden Verbreitung und Raffinesse von Phishing-Angriffen im Jahr 2024 fast dreimal so viel auf Phishing-Köder geklickt haben wie im Vorjahr.

Die Ergebnisse basieren auf den von Netskope gesammelten Daten von Unternehmen weltweit und werden im Rahmen des jährlichen Cloud & Threat Report von Netskope veröffentlicht. Sie decken die wachsenden Sicherheitsrisiken im Zusammenhang mit der anhaltenden Nutzung von persönlichen Cloud-Apps und der kontinuierlichen Einführung von genAI-Tools am Arbeitsplatz auf. Außerdem verdeutlichen die Ergebnisse die Notwendigkeit der Einführung moderner Datensicherheit, um dieses Risiko proaktiv zu verwalten.

Anzeige

Erfolgsquote bei Phishing-Ködern verdreifacht sich

Trotz der wiederholten Versuche von Unternehmen, das Sicherheitsbewusstsein ihrer Mitarbeiter zu schulen, insbesondere damit sie nicht Opfer von Phishing werden, klickten Unternehmensnutzer im Jahr 2024 fast dreimal so häufig auf Phishing-Köder wie im Jahr 2023. Mehr als acht von 1.000 Anwendern klickten jeden Monat auf einen Phishing-Link. Dies ist ein Anstieg um 190% gegenüber dem Vorjahr, in dem weniger als drei von tausend Unternehmensanwendern Opfer von Phishing-Versuchen wurden.

Wo Angreifer ihre bösartigen Nutzdaten hosten, ist ebenfalls ein Element des Social Engineering. Sie wollen schadhafte Inhalte auf Plattformen hosten, denen die Opfer ein gewisses Vertrauen entgegenbringen. Darunter befinden sich beliebte Cloud-Apps wie GitHub, Microsoft OneDrive und Google Drive. Im Jahr 2024 wurden in 88% der Unternehmen mindestens einmal pro Monat bösartige Inhalte von beliebten Cloud-Apps heruntergeladen.

Das Top-Ziel für Phishing-Kampagnen, auf die Nutzer im Jahr 2024 klickten, waren Cloud-Anwendungen, die mit 27% mehr als ein Viertel aller Phishing-Klicks ausmachten. Unter den Cloud-Apps war Microsoft mit 42% die mit Abstand am häufigsten angegriffene Marke. Vor allem auf Microsoft Live- und Microsoft 365-Anmeldeinformationen hatten es die Angreifer abgesehen.

Anzeige

Persönliche Apps verwischen die Grenzen

Die Ubiquität persönlicher Cloud-Apps im Unternehmen hat eine Umgebung geschaffen, in der Mitarbeiter diese Apps wissentlich oder unwissentlich zur Verarbeitung oder Speicherung sensibler Daten nutzen. Dies führt zu einem Verlust der organisatorischen Kontrolle über die Daten und zu potenziellen Datenverletzungen. Zu den wichtigsten persönlichen Apps, an die Nutzer Daten senden, gehören Cloud-Speicher, Webmail, genAI, soziale Medien und persönliche Kalender-Apps. 

Im Jahr 2024 nutzten 88% aller Angestellten jeden Monat persönliche Cloud-Apps, wobei mehr als einer von vier Nutzern (26%) Daten in persönliche Apps hochgeladen, gepostet oder anderweitig gesendet hat. Sensible Daten, die über persönliche Apps durchsickern, stehen bei den meisten Unternehmen ganz oben auf der Liste. Die häufigste Art von Verstößen gegen die Datenschutzrichtlinien betrifft regulierte Daten (60%), zu denen persönliche, finanzielle oder gesundheitliche Daten gehören, die auf persönliche Apps hochgeladen werden. Zu den anderen Datenarten, die von Richtlinienverstößen betroffen sind, gehören geistiges Eigentum (16%), Quellcode (13%), Passwörter und Schlüssel (11%) sowie verschlüsselte Daten (1%).

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wachstumstrends bei genAI halten an

Im Jahr 2023 erhielt genAI Einzug in die Arbeitswelt. Die wachsende Akzeptanz von genAI-Apps sowohl bei Unternehmen als auch bei Nutzern – sowie das Gesamtvolumen der genAI-Apps im Einsatz – setzte sich bis 2024 fort:

  • Die organisatorische Nutzung stieg von 81% der Unternehmen, die genAI-Apps im Jahr 2023 verwenden, auf 94% im Jahr 2024. ChatGPT ist weiterhin die beliebteste genAI-App und wird in 84% der Unternehmen genutzt.
  • Der Anteil der Mitarbeiter, die genAI-Apps nutzen, verdreifachte sich von 2,6% auf 7,8%. Einzelhandels- und Technologieunternehmen führen alle Branchen mit durchschnittlich mehr als 13 % aller Mitarbeiter an, die monatlich genAI-Apps nutzen.
  • Unternehmen verwenden jetzt durchschnittlich 9,6 genAI-Apps, im Vergleich zu 7,6 vor einem Jahr. Die obersten 25% der Unternehmen nutzen jetzt mindestens 24 genAI-Apps, während die untersten 25% höchstens 4 genAI-Apps verwenden.

Management des genAI-Datenrisikos

Während sich genAI-Apps im Jahr 2024 immer mehr zu einer festen Größe im Unternehmen entwickelten (94% von ihnen nutzen sie bereits), wurde deutlich, dass sie noch in den Anfängen stecken, wenn es darum geht, Kontrollen für die sichere Aktivierung von genAI einzurichten und die von genAI-Apps ausgehenden Datenrisiken zu mindern:

  • 45% der Unternehmen nutzen DLP, um den Datenfluss in genAI-Apps zu kontrollieren. Die Akzeptanz von DLP für genAI ist in der Branche sehr unterschiedlich, wobei die Telekommunikationsbranche mit 64% den höchsten Wert aufweist.
  • 34% der Unternehmen setzen auf interaktives Benutzer-Coaching in Echtzeit, um Einzelpersonen zu befähigen, angemessene und fundierte Entscheidungen zu treffen.
  • In 73% der Fälle, in denen Benutzer vor einem potenziellen Verstoß gegen das Unternehmensrecht gewarnt werden, entscheiden sie sich aufgrund der bereitgestellten Coaching-Informationen, nicht fortzufahren. 
  • 73% der Unternehmen sperren mindestens eine genAI-App, wobei die Zahl der blockierten genAI-Apps von Jahr zu Jahr konstant bei durchschnittlich 2,4 liegt.
  • Die Anzahl der Apps, die von den obersten 25% aller Organisationen, die genAI-Apps sperren, blockiert werden, hat sich im letzten Jahr von 6,3 Apps auf 14,6 mehr als verdoppelt.

Die wichtigsten Erkenntnisse für Unternehmen

Netskope empfiehlt Unternehmen, die folgenden Schritte zum Schutz ihrer Umgebungen durchzuführen:

  • Benutzer werden aus allen Richtungen mit Phishing-Links bombardiert: E-Mail, soziale Medien, Anzeigen in Suchmaschinenergebnissen und im gesamten Web. Außerdem macht es genAI den Angreifern leichter, überzeugende Phishing-Links zu erstellen. Dies verdeutlicht, dass es nicht ausreicht, sich allein auf Aufklärung zu verlassen, um einen Phishing-Versuch zu erkennen, sondern dass dies mit Investitionen in modernen Datenschutz einhergehen muss.
  • Mitarbeiter werden weiterhin versehentlich (oder absichtlich) Dateien über ihre persönlichen Konten freigeben, geschützte Informationen in ihre persönlichen Backups aufnehmen und persönliche App-Instanzen verwenden, um Daten beim Verlassen des Unternehmens mitzunehmen. Unabhängig von der Absicht müssen Unternehmen den Zugang auf die Apps beschränken, die einem legitimen Geschäftszweck dienen, einen Überprüfungs- und Genehmigungsprozess für neue Apps einrichten und einen kontinuierlichen Überwachungsprozess implementieren, der Sicherheitsexperten alarmiert, wenn Apps missbraucht werden oder kompromittiert wurden.
  • Die Tendenz, dass immer mehr Unternehmen und Mitarbeiter genAI nutzen, wird sich auch 2025 fortsetzen. Es etabliert sich immer mehr am Arbeitsplatz. Gleichzeitig wird die Zahl der genAI-Apps weiter steigen, sodass Kontrollen erforderlich sind, um sicherzustellen, dass nur zugelassene Apps für autorisierte Anwendungsfälle verwendet werden. Unternehmen sollten moderne Datensicherheit nutzen, um die Datenübertragung in zugelassene Apps zu kontrollieren, Benutzer-Coaching in Echtzeit nutzen, um Mitarbeiter in die Lage zu versetzen, fundierte Entscheidungen bei der Nutzung von genAI-Apps zu treffen, und Kontrollen implementieren, die nicht zugelassene Apps blockieren.

„Der gemeinsame Nenner für Organisationen, die daran arbeiten, die Nutzung von Apps im Unternehmen sicher zu gestalten und die Herausforderungen der Bedrohungslandschaft zu entschärfen, ist die Notwendigkeit einer modernen Datensicherheit“, sagt Ray Canzanese, Director of Netskope Threat Labs. „Vorbei sind die Zeiten, in denen Datensicherheit ein nachgelagerter Gedanke war. Sie muss nahtlos in jeden Aspekt der Abläufe eines Unternehmens integriert werden. Von der Abwehr von Phishing über den Schutz persönlicher Apps bis hin zur Verwaltung von genAI – Datensicherheit ist nicht mehr nur ein Schutz am Rande. Sie ist ein dynamischer, proaktiver Rahmen mit Echtzeit-Benutzer-Coaching, DLP und app-spezifischen Kontrollen, um einer sich ständig verändernden Bedrohungslandschaft voraus zu sein.“

(pd/Netskope)


Anzeige

Artikel zu diesem Thema

Untote identifizieren: Schutz vor Zombie-Phishing

Weitere Artikel

Ransomware-Angriff auf Casio traf über 8.000 Menschen
Hackerangriff auf US-Telekommunikation weitreichender als bisher bekannt
Untote identifizieren: Schutz vor Zombie-Phishing
Die größten und skurrilsten Security-Ereignisse 2024
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.