State-of-the-Phish-Bericht 2020 zur IT-SicherheitEklatante Unwissenheit bei Anwendern

4. März 2020

Wer seine Unternehmens-IT zuverlässig schützen will, verlässt sich üblicherweise insbesondere auf eine starke Firewall, mächtige Antivirensoftware und eine effiziente Rechtevergabe der Nutzerkonten. Doch alle diese technischen Abwehrmaßnahmen gegen Cyber-Kriminelle können nur dann ihre Wirkung entfalten, wenn auch die eigenen Mitarbeiter regelmäßig gegen Angriffe sensibilisiert werden.

Ein gutes Beispiel dafür, wie wichtig das Zusammenspiel von Technik und Mensch ist, sind Phishing-Angriffe. Was nutzten die besten technischen Schutzvorkehrungen, wenn sie vom eigenen Personal versehentlich und aus Unwissenheit ausgehebelt werden? Ein falscher Klick auf einen Link, der auf eine infizierte Website führt, oder eine Antwort auf eine manipulative E-Mail reichen dafür vollkommen aus.

Wie der neueste State-of-the-Phish-Bericht von Proofpoint zeigt, besteht bei vielen Mitarbeitern jedoch genau dafür noch erheblicher Schulungs- und Sensibilisierungsbedarf. Angriffstechniken wie BEC (Business Email Compromise, auch Chef-Masche genannt) setzen auf Social Engineering und nutzen die Unvorsichtigkeit der Mitarbeiter aus. Eine typische Situation ist hier die Vorspiegelung einer falschen Identität. Wenn also eine E-Mail vermeintlich vom eigenen Vorgesetzten oder gar aus der Geschäftsführung kommt, in der um eine Überweisung oder Offenbarung unternehmensinterner vertraulicher Informationen gebeten wird, sollten Mitarbeiter hellhörig werden. Leider werden sie es oft nicht.

Um diese Gefahren überhaupt erkennen zu können, müssen die Mitarbeiter folglich über die verschiedenen Arten der Cyber-Angriffe informiert sein. Oft nutzen Cyber-Kriminelle nämlich die sozialen Medien, um die Beziehungen zwischen den potenziellen Opfern auszukundschaften und zu erfahren, ob, beziehungsweise wann, sie beispielsweise einen Urlaub antreten. Allerdings wissen laut der neuesten Proofpoint-Studie weltweit lediglich 61 Prozent der befragten Arbeitnehmer etwas mit dem Begriff „Phishing“ anzufangen. Ausgerechnet in den sonst technikaffinen Vereinigten Staaten sind es lediglich 49 Prozent, den besten Wert erreichen hier deutsche Angestellte, die mit 66 Prozent richtig lagen.

Wenig Ahnung von Angriffsvarianten

Auch andere Begriffe der IT-Sicherheit bereiten vielen Angestellten Schwierigkeiten. So können nur 31 Prozent der Befragten „Ransomware“ richtig zuordnen. Erstaunlich ist daran die Tatsache, dass in der Vorjahresbefragung immerhin 45 Prozent der Teilnehmer diesen Begriff korrekt verorten konnten. Vermutlich liegt der Rückgang darin begründet, dass Ransomware-Angriffe seit 2018 erheblich zurückgingen und so in der Wahrnehmung weniger präsent sind.

Jedoch treiben die Cyber-Kriminellen auch weiterhin ihr Unwesen – nun aber mit einem Fokus auf zielgerichtetere Kampagnen, die für Unternehmen und einzelne Anwender ein noch größeres Risiko bergen. Auch die in diesem Zusammenhang wichtigen Begriffe „Smishing“, der Phishing-Angriffe über Smartphone-Textnachrichten, beziehungsweise „Vishing“, das Phishing-Angriffe über Telefonanrufe bezeichnet, waren den Befragten kaum ein Begriff. Bei Smishing lagen 30 Prozent richtig und mit Vishing lediglich 25 Prozent.

Absicherung von Smartphones

Dreh- und Angelpunkt von Phishing-Angriffen ist das Medium E-Mail. Jedoch sind es auch noch andere Elemente, die Phishing-Angriffe begünstigen. So nutzen zwar fast alle Umfrageteilnehmer, immerhin 95 Prozent, ein Smartphone und 41 Prozent verwenden diese mobilen Endgeräte sowohl für private als auch berufliche Zwecke.

Allerdings verzichten 10 Prozent der Anwender dabei auf einen Schutz ihrer Smartphones. Im Gegensatz dazu entsperren 24 Prozent das Gerät mit einem vierstelligen Code und 42 Prozent nutzen eine biometrische Authentifizierung, beispielsweise einen Fingerabdrucksensor.

Einfallstor WLAN

Auch das eigene Funknetzwerk zuhause kann eine Schwachstelle für Angriffe darstellen, insbesondere deshalb, da mittlerweile viele Arbeitnehmer die Möglichkeit des Home Office in Anspruch nehmen. Doch noch immer schützen nicht alle Arbeitnehmer ihr heimisches Netzwerk in ausreichendem Maß. So verwenden nur 49 Prozent der Befragten ein Kennwort, 31 Prozent haben den Namen des WLAN-Netzwerks personalisiert.

Rund 45 Prozent geben an, hierzu das Standardkennwort geändert zu haben. Wenn es aber um weitergehenden Schutz geht, wird die Mehrheit der Umfrageteilnehmer nachlässig. Nur 19 Prozent haben die Firmware ihres WLAN-Routers überprüft beziehungsweise aktualisiert und 14 Prozent wissen nicht, wie sie WLAN-Sicherheitsmaßnahmen umsetzen können. 11 Prozent finden die Implementierung von WLAN-Sicherheitsmaßnahmen gar als zu zeitaufwändig oder zu unbequem.

Zudem gehen Mitarbeiter oft von falschen Annahmen aus, was einer der Hauptursachen für riskantes Verhalten ist. Die meisten Befragten sehen ihre technischen Schutzmaßnahmen auf einem ausreichenden Stand. So glauben 66 Prozent der Teilnehmer, dass eine aktuelle Virenschutzlösung gegen Zugriffe von Cyberkriminelle ausreicht. Auf ihre IT-Abteilung verlassen sich 51 Prozent insofern, als dass sie annehmen, dass ein etwaiger Befall durch Schadcode automatisch an die IT-Experten gemeldet wird.

Passwörter sicher?

Der nächste heikle Punkt ist die korrekte Verwendung von Passwörtern. Dabei ist ein Problem die Praxis vieler Anwender, immer das gleiche Passwort für die unterschiedlichsten Dienste zu verwenden. Glücklicherweise ist das nicht bei allen Anwendern der Fall. So nutzen 23 Prozent einen Kennwort-Manager, 32 Prozent geben bei jedem Log-in ein individuelles Passwort ein und 29 Prozent wechseln zwischen fünf bis zehn unterschiedlichen Kennwörtern. Leider nutzen 16 Prozent die immer gleichen ein oder zwei Kennwörter für alle Konten.

Ein Beleg für den Trend, dass Cyber-Kriminelle sich immer häufiger auf gezielte und personalisierte Angriffe statt auf Massenkampagnen konzentrieren, ist die Anzahl von Phishing-Angriffen. So verzeichneten mehr als die Hälfte (etwa 60 Prozent) der weltweiten Umfrageteilnehmer 2019 genauso viele oder etwas weniger Phishing-Angriffe als noch 2018. Besonders erfolgreich waren dabei Phishing-Angriffe, die sich gegen amerikanische Unternehmen richteten.

Dort berichten 65 Prozent der Unternehmen von erfolgreichen Phishing-Angriffen gegen ihre Organisation. Auf der anderen Seite der Skala findet sich Japan. Hier berichteten nur 42 Prozent von erfolgreichen Phishing-Angriffen. Deutschland zeigt sich ebenfalls unterdurchschnittlich mit dem zweitgeringsten Wert von 46 Prozent. Die Folgen erfolgreicher Phishing-Angriffe waren Datenverlust, kompromittierte Anmeldedaten beziehungsweise Konten, Ransomware-Infektionen, Befall durch sonstige Malware und finanzielle Verluste, etwa infolge von Überweisungsbetrug.

Aus Erfahrung wird man klug

Einer der Schlüsse, die man aus dieser Befragung ziehen kann, ist, dass Unternehmen noch wesentlich intensivere Sensibilisierungsmaßnahmen als bisher umsetzen müssen. Permanente Mitarbeiterschulungen sind hier nur einer der Bausteine. Zusätzlich sollten IT-Verantwortliche die Anwender selbst herausfordern, indem sie Angriffe von Cyber-Kriminellen simulieren und die Ergebnisse mit ihren Mitarbeitern diskutieren.

Ein Anwender, der in diesen Trainings durch eine simulierte Phishing-Mail getäuscht wird, ist sicher sensibler als einer, der lediglich eine Sicherheits-Präsentation angesehen hat. Für diese „Probeläufe“ gibt es versierte und erfahrene Partner, die IT-Verantwortlichen das nötige Know-how für die Absicherung auch ihrer Mitarbeiter auf den Weg geben können.

Werner Thalmeier ist Vice President EMEA Systems Engineering and Technical Sales bei Proofpoint.

Proofpoint

Lesen Sie auch