Schweizer Studie: Phishing-Abwehr auf Basis von Crowd-Sourcing ist erfolgreich

Jelle Wieringa, Security Awareness Advocate bei KnowBe4, beschreibt in seinem Kommentar eine Schweizer Phishing-Studie mit rund 15.000 Teilnehmern, die in einem 15-monatigen Experiment einige interessante Ergebnisse hervorbrachte. Die Studie wurde von Forschern der ETH Zürich in Kooperation mit einem Großunternehmen durchgeführt, das anonym bleiben möchte. [...]

Jelle Wieringa, Security Awareness Advocate bei KnowBe4 (c) KnowBe4
Jelle Wieringa, Security Awareness Advocate bei KnowBe4 (c) KnowBe4

Das untersuchte Unternehmen unterzog seine Mitarbeiter ohne deren Kenntnis einem simulierten Phishing-Programm. Die vier Ziele der Studie waren zu ermitteln:

  1. Welche Mitarbeiter fallen auf Phishing herein?
  2. Wie entwickelt sich die Anfälligkeit im Laufe der Zeit?
  3. Wie wirksam sind eingebettete Schulungen und Warnungen?
  4. Können die Mitarbeiter bei der Erkennung von Phishing etwas tun? 

Im Rahmen des Tests wurde zunächst eine Phishing-Warntaste auf dem E-Mail-Client eingerichtet, mit der die Mitarbeiter verdächtige E-Mails einfach melden konnten, und im nächsten Schritt wurden über ein Jahr lang simulierte Phishing-Tests an die Arbeits-E-Mail-Adressen der Mitarbeiter gesendet. 

Die Ergebnisse weisen darauf hin, dass das Geschlecht in Bezug auf die Phishing-Anfälligkeit keine große Rolle zu spielen scheint und dass knapp ein Viertel (23,91 Prozent) derjenigen, die eine gefährliche Aktion (Aktivierung von Makros, Übermittlung von Anmeldedaten) ausführten, dies mehr als einmal taten. Die Forschungsarbeit zeigte auch, dass ein Mitarbeiter, der einen Phishing-Test nicht bestanden hat und daraufhin die Möglichkeit einer freiwilligen Schulung erhält, sein Sicherheitsverhalten meist nicht verbessern kann. 

Crowd-Sourcing erweist sich als praktikabel

Wie bereits erwähnt, erhielten die Mitarbeiter des getesteten Unternehmens eine „Phish Alert“-Schaltfläche in ihrem E-Mail-Programm, um verdächtige Nachrichten unkompliziert melden zu können. Im Hinblick auf die Wirksamkeit von Crowd-Sourcing bei der Abwehr von Phishing-Angriffen untersuchten die Forscher sowohl die Reaktionszeit als auch die Meldegenauigkeit der Mitarbeiter. Die Meldungen der Nutzer waren zu 68 Prozent richtig, wenn es sich um Phishing handelte, und zu 79 Prozent, wenn auch Spam berücksichtigt wurde. Die aufmerksamsten Nutzer erreichten eine Genauigkeit von über 80 Prozent. Ein wichtiger Punkt hierbei: Die Zeit für die Übermittlung dieser Berichte nach dem Empfang betrug 5 Minuten für 10 Prozent des Gesamtvolumens und eine halbe Stunde für 35 Prozent der Gesamtzahl der Berichte. 

Wendet man diese Zahlen auf ein hypothetisches Unternehmen mit 1.000 Mitarbeitern an, von denen 100 von einer Phishing-Kampagne betroffen sind, so würden die Mitarbeiter zwischen 8 und 25 Meldungen über die E-Mail abgeben – eine davon mit hoher Wahrscheinlichkeit innerhalb von 5 Minuten und eine größere Anzahl innerhalb von 30 Minuten. 

Die Ergebnisse zeigen, dass der Einsatz eines unternehmensweiten Phishing-Erkennungsdienstes die Bedrohung durch Phishing-Angriffe erheblich reduzieren könnte. Es ist auch wichtig zu erwähnen, dass ein solches System keine große operative Arbeitsbelastung mit sich bringen würde, so dass ein Unternehmen, das einen Crowd-Sourced-Phishing-Schutz einführt, nicht viel zusätzlichen Aufwand betreiben müsste. Die Forscher kamen auch zu dem Schluss, dass es keine „Meldemüdigkeit“ gibt, was darauf hindeutet, dass das Crowd-Sourcing von Anti-Phishing-Daten eine praktikable Methode zum Schutz der Mitarbeiter darstellt. 

Security Awareness als Schlüssel zur Verteidigung gegen Phishing-Kampagnen

Die neben Crowd-Sourcing wohl effektivste Maßnahme zur Vorbeugung von Phishing-Angriffen ist, ein umfassendes Security-Awareness-Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ergebnis der Trainings ist eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken bei den Mitarbeitern einer Organisation.

Die Schulung der Benutzer mit interaktivem und ansprechendem On-demand-Material ist notwendig, damit die Botschaft wirklich verinnerlicht wird und nicht nur oberflächlich behandelt und gleich wieder vergessen wird. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.

Anm.: Das PDF der Schweizer Phishing Studie kann hier auf Englisch heruntergeladen werden.

*Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*