Proofpoint hat seinen achten jährlichen „State of the Phish Report“ veröffentlicht. Der Bericht liefert einen detaillierten Überblick über das Thema Phishing und gibt Auskunft über die Anfälligkeit und die Sensibilisierung der Anwender. [...]
Dem Bericht zufolge waren die Täter im Jahr 2021 aktiver als im vorherigen Jahr. Die Ergebnisse zeigen zudem, dass mehr als drei Viertel (78 Prozent) aller Unternehmen im Jahr 2021 von Ransomware-Angriffen per E-Mail betroffen waren. Gleichzeitig wurden 77 Prozent der Unternehmen mit BEC-Angriffen (Business Email Compromise, auch Chef-Masche genannt) konfrontiert – ein Anstieg um 18 Prozent im Vergleich zu 2020. Dies belegt einmal mehr, dass sich Cyberkriminelle nach wie vor darauf konzentrieren, Menschen als Schwachstelle auszunutzen, anstatt sich über technische Sicherheitslücken Zugang zu Systemen zu verschaffen.
Der diesjährige „State of the Phish Report“ basiert auf der Auswertung einer von Proofpoint in Auftrag gegebenen Umfrage, bei der 600 Experten aus den Bereichen IT-Sicherheit und Informationssicherheit sowie 3.500 Angestellte in den USA, Australien, Frankreich, Deutschland, Japan, Spanien und Großbritannien befragt wurden. Zudem werden darin die Daten von fast 100 Millionen simulierten Phishing-Angriffen analysiert, die von Proofpoint-Kunden in einen Zeitraum von einem Jahr durchgeführt wurden und deren Mitarbeiter testen sollten. In den Report floss darüber hinaus auch die Analyse von mehr als 15 Millionen E-Mails ein, die mittels der PhishAlarm-Funktion von Benutzern gemeldet wurden.
In dem Bericht finden sich darüber hinaus regionale sowie branchen- und abteilungsspezifische Benchmarking-Daten, die die Notwendigkeit eines personenbezogenen Ansatzes in Sachen Cybersicherheit unterstreichen. Beispiele aus der Praxis veranschaulichen ferner den Wert einer Trainings-Lösung, die der sich verändernden Bedrohungslandschaft Rechnung trägt, mit der Unternehmen nicht nur im Zuge der Pandemie konfrontiert sind.
Wie aus dem State of the Phish Report hervorgeht, hatten Cyberangriffe im Jahr 2021 viel größere Auswirkungen als im Vorjahr: 83 Prozent der Umfrageteilnehmer gaben an, dass ihre Organisation mindestens einen erfolgreichen E-Mail-basierten Phishing-Angriff erlitten hat. Im Jahr zuvor waren lediglich 57 Prozent davon betroffen. Analog dazu gaben mehr als zwei Drittel (68 Prozent) der Unternehmen an, dass sie mit mindestens einer Ransomware-Infektion konfrontiert waren, die auf eine direkte E-Mail-Payload, eine Malware im Rahmen einer mehrstufigen Attacke oder einen anderen Exploit zurückzuführen war. Der Anstieg fällt im Vergleich zum Vorjahr konstant aus, ist jedoch repräsentativ für die Herausforderungen, denen sich Unternehmen angesichts der Zunahme von Ransomware-Angriffen im Jahr 2021 stellen mussten.
„Während das Jahr 2020 gezeigt hat, wie wichtig es ist, flexibel und schnell auf Veränderungen zu reagieren, liefert das vergangene Jahr den Beleg dafür, dass wir uns besser schützen müssen“, sagt Michael Heuer, Vice President DACH bei Proofpoint. „Da E-Mails nach wie vor die bevorzugte Angriffsmethode für Cyberkriminelle sind, ist der Aufbau einer Sicherheitskultur von erheblicher Bedeutung. Angesichts einer sich wandelnden Bedrohungslandschaft sowie der Tatsache, dass das Arbeiten von überall aus zum Alltag geworden ist, müssen Unternehmen dafür Sorge tragen, dass ihre Mitarbeiter sich neue Fähigkeiten in puncto Cybersicherheit aneignen und diese anwenden. Dies gilt sowohl für den Arbeitsplatz im Büro als auch zu Hause.“
Der Trend in Richtung hybrider Arbeitsformen hat sich 2021 beschleunigt. 81 Prozent der Unternehmen geben an, dass mehr als die Hälfte ihrer Mitarbeiter wegen der Pandemie ihrer Arbeit im Homeoffice nachgehen (entweder teilweise oder vollständig). Allerdings schulen nur 37 Prozent ihre Mitarbeiter auch hinsichtlich bewährter Praktiken für das Homeoffice. Dieser Wert liefert einen besorgniserregenden Beleg dafür, dass eine große Lücke im Wissen vieler Angestellter klafft, wenn es um bewährte Sicherheitspraktiken für die neue Normalität des Arbeitens geht. So verwundert es auch nicht, dass beispielsweise 97 Prozent der Arbeitnehmer angaben, dass sie zu Hause über ein WLAN-Netzwerk verfügen, allerdings nur 60 Prozent ihr Netzwerk durch ein Passwort schützen – ein gravierender Mangel hinsichtlich fundamentaler Sicherheitsmaßnahmen.
„Im Vergleich zum Vorjahr erlebten die Umfrageteilnehmer 2021 einen deutlichen Anstieg gezielter Angriffe, doch unsere Analyse zeigt auch, dass das Wissen um wichtige Begriffe aus der Cybersicherheit wie Phishing, Malware, Smishing und Vishing erheblich abgenommen hat“, sagt Heuer. „Dieser Mangel hinsichtlich des Sicherheitsbewusstseins sowie das laxe Verhalten vieler Mitarbeiter bergen ein großes Risiko für Unternehmen und deren Erfolg auf dem Markt. Unser diesjähriger Bericht liefert daher leicht umzusetzende Ratschläge, die darauf abzielen, das Sicherheitsbewusstsein der Nutzer zu steigern, Risiken zu reduzieren und die Mitarbeiter zu schützen.“
Weitere Ergebnisse
- Fast 60 Prozent der Unternehmen, bei denen Systeme mit Ransomware infiziert wurden, zahlten ein Lösegeld. Einige davon (32 Prozent) zahlten weiteres Lösegeld, um wieder Zugang zu Daten und Systemen zu erhalten. 54 Prozent erhielten nach der ersten Zahlung wieder Zugang zu Daten und Systemen, während 4 Prozent auch nach der Zahlung keinen Zugang zu ihren Daten und Systemen erhielten. 10 Prozent weigerten sich, zusätzlichen Lösegeldforderungen nachzukommen und verloren ihre Daten.
- Viele Arbeitnehmer legen riskante Verhaltensweisen an den Tag und halten sich nicht an bewährte Verfahren in Sachen Cybersicherheit. 42 Prozent der Befragten gaben an, dass sie im Jahr 2021 eine gefährliche Aktion ausgeführt haben, also auf einen bösartigen Link geklickt, Malware heruntergeladen oder ihre persönlichen Daten bzw. Anmeldedaten preisgegeben haben. Und 56 Prozent der Angestellten, die Zugang zu einem vom Arbeitgeber zur Verfügung gestellten Gerät (Laptop, Smartphone, Tablet usw.) haben, erlaubten Freunden und Familienangehörigen, diese Geräte zu nutzen, um beispielsweise Spiele zu spielen, Musik und Filme zu streamen oder online einzukaufen.
- Das Bewusstsein für die wichtigsten Begriffe aus dem Bereich Cybersecurity ist im Vergleich zum Vorjahr (zum Teil erheblich) gesunken. Nur 53 Prozent der Befragten waren in der Lage, die richtige Definition für den Begriff „Phishing“ in einem Multiple-Choice-Verfahren zuzuordnen. Dies markiert einen Rückgang gegenüber dem Vorjahreswert von 63 Prozent um 10 Prozentpunkte (16 Prozent relativer Rückgang). Nur 63 Prozent lieferten die passende Definition für Malware (gegenüber 65 Prozent im Jahr 2020) und nur 23 Prozent wussten, was mit Smishing gemeint ist (gegenüber 31 Prozent im Jahr 2020). Auch die Definition von Vishing konnten lediglich 24 Prozent korrekt zuordnen (gegenüber 30 Prozent im Jahr 2020).
- Ransomware war der einzige Begriff, der weltweit vermehrt richtig eingeordnet wurde. Hier konnte ein Anstieg der richtigen Antworten von 33 Prozent im Jahr 2020 auf 36 Prozent 2021 verzeichnet werden.
Be the first to comment