Illustration: Absmeier, Darkmoon-Art
In einer Untersuchung mit über 80.000 Teilnehmern fiel jeder fünfte Angestellte auf als Personalmitteilung getarnte Phishing-Mails herein.
Laut einer neuen Untersuchung des Cybersicherheitsanbieters F-Secure werden Phishing-Mails, die angeblich aus der Personalabteilung kommen oder Fragen zur Rechnungsstellung enthalten, von den Empfängern am häufigsten angeklickt.
Die Studie »To Click or Not to Click: What we Learned from Phishing 80,000 People«, an der 82.402 Personen teilnahmen, untersucht bei vier verschiedenen Unternehmen, wie Mitarbeiter mit E-Mails umgingen. Simuliert wurde eine von vier häufig verwendeten Phishing-Taktiken.
Die meisten Klicks erzielte eine Mail, die angeblich eine Ankündigung der Personalabteilung zum Thema Urlaub enthielt. 22 Prozent der Empfänger klickten sie an.
Die zweithöchste Klickrate mit 16 Prozent erzielten Mails, in denen der Empfänger um Hilfe bei Fragen zu einer Rechnung gebeten wurde. Diese Phishing-Form wird im Studienbericht unter der Bezeichnung »CEO Fraud« aufgeführt.
Dokumentenfreigaben über Cloudanbieter und Benachrichtigungen über Probleme bei Onlinediensten wurden von 7 Prozent bzw. 6 Prozent der Empfänger angeklickt und waren damit die am wenigsten häufig geklickten E-Mails in der Untersuchung.
Auch technisch versiertes Personal fällt auf Phishing herein
Das bemerkenswerteste Ergebnis der Studie laut Mathew Connor, F-Secure Service Delivery Manager und Hauptautor des Berichts: Personen, die in »technischen« Positionen arbeiten, fallen anscheinend sogar noch häufiger auf Phishing-Versuche herein als der Rest der Bevölkerung – oder zumindest nicht weniger häufig.
»Technisches Personal hat einen privilegierten Zugang zur Infrastruktur eines Unternehmens. Angreifer nehmen diese Personengruppe deswegen unter Umständen besonders aktiv ins Visier. Eine erhöhte oder auch nur durchschnittliche Anfälligkeit für Phishing stellt dann ein Problem dar«, erklärte Connor. »Umfragen im Anschluss an die Studie ergaben, dass sich technische Mitarbeiter früherer Phishing-Versuche stärker bewusst waren als andere. Trotz dieses Bewusstseins klicken sie genauso oft oder sogar häufiger als die restliche Belegschaft auf Phishing-Mails. Das zeigt, dass der Kampf gegen Phishing eine große Herausforderung darstellt und wir hier über eine sehr reale Bedrohung sprechen.«
In den zwei untersuchten Unternehmen mit IT- oder DevOps-Mitarbeitern waren die Klickraten aus diesen Abteilungen bei den Test-E-Mails gleich hoch oder höher als in anderen Abteilungen der Unternehmen: 26 Prozent aus DevOps und 24 Prozent aus der IT-Abteilung im Vergleich zu 25 Prozent in den restlichen Abteilungen bei dem einen Unternehmen und 30 Prozent aus DevOps und 21 Prozent aus der IT-Abteilung im Vergleich zu 11 Prozent in den restlichen Abteilungen bei dem anderen Unternehmen.
Außerdem ergab die Studie, dass diese Abteilungen Phishing-Versuche nicht zuverlässiger melden als andere. In einem Unternehmen belegten IT und DevOps den dritten und sechsten Platz von neun Abteilungen in Bezug auf das Meldungsverhalten. In dem anderen Unternehmen war DevOps die zwölftbeste Abteilung von sechzehn Abteilungen, während die IT-Abteilung sogar an vorletzter Stelle lag.
Die ersten Minuten sind ausschlaggebend
Auch die Bedeutung eines schnellen, benutzerfreundlichen Meldeverfahrens wird in dem Bericht hervorgehoben. In der ersten Minute nach Erhalt der Test-Mails betrug das Verhältnis zwischen Empfängern, die auf die Mail klickten und solchen, die sie als verdächtig meldeten, mehr als 3:1. Nach etwa fünf Minuten glich sich das Verhältnis aus und blieb danach konstant.
Und auch wenn nach und nach immer mehr Empfänger Meldung erstatteten, spielten die unterschiedlichen Meldeverfahren in den einzelnen Unternehmen eine wichtige Rolle. Bei einem Unternehmen konnten die Mitarbeiter verdächtige Mails direkt über einen speziell dafür vorgesehenen Button im E-Mail-Client kennzeichnen. Diese Möglichkeit nutzten dort 47 Prozent der Teilnehmer. Bei zwei anderen Unternehmen gab es diese Funktion nicht: Dort meldeten nur 13 Prozent bzw. 12 Prozent der Teilnehmer die Test-E-Mails. Ein Unternehmen machte keine Angaben zum Anteil der Meldungen.
Laut Riaan Naude, Director of Consulting bei F-Secure, zeigen die in der Studie ermittelten Muster bei den Melde- und Klickraten konkrete Ansätze für Unternehmen auf, ihre Mitarbeiter besser für den Schutz gegen Phishing zu mobilisieren.
»Die Ergebnisse der Studie deuten eindeutig darauf hin, dass schnelle, unkomplizierte Meldeprozesse das Sicherheitspersonal und die anderen Abteilungen in die Lage versetzen, die Widerstandsfähigkeit eines Unternehmens gegen Phishing gemeinsam zu verbessern. Hier müssen Unternehmen ansetzen, damit ein Angriff früher erkannt und verhindert werden kann. Die Sicherheitsteams haben oft nur ein enges Zeitfenster von wenigen Minuten, um einen potenziellen Angriff zu entschärfen«, so Naude.
Weitere Informationen zu Lösungen, die Unternehmen bei der Bewältigung von Phishing und anderen Sicherheitsproblemen unterstützen, finden Sie unter https://www.f-secure.com/business.