Schweizer Studie: Phishing-Abwehr auf Basis von Crowd-Sourcing ist erfolgreich

Jelle Wieringa, Security Awareness Advocate bei KnowBe4, beschreibt in seinem Kommentar eine Schweizer Phishing-Studie mit rund 15.000 Teilnehmern, die in einem 15-monatigen Experiment einige interessante Ergebnisse hervorbrachte. Die Studie wurde von Forschern der ETH Zürich in Kooperation mit einem Großunternehmen durchgeführt, das anonym bleiben möchte. [...]

Jelle Wieringa, Security Awareness Advocate bei KnowBe4 (c) KnowBe4
Jelle Wieringa, Security Awareness Advocate bei KnowBe4 (c) KnowBe4

Das untersuchte Unternehmen unterzog seine Mitarbeiter ohne deren Kenntnis einem simulierten Phishing-Programm. Die vier Ziele der Studie waren zu ermitteln:

  1. Welche Mitarbeiter fallen auf Phishing herein?
  2. Wie entwickelt sich die Anfälligkeit im Laufe der Zeit?
  3. Wie wirksam sind eingebettete Schulungen und Warnungen?
  4. Können die Mitarbeiter bei der Erkennung von Phishing etwas tun? 

Im Rahmen des Tests wurde zunächst eine Phishing-Warntaste auf dem E-Mail-Client eingerichtet, mit der die Mitarbeiter verdächtige E-Mails einfach melden konnten, und im nächsten Schritt wurden über ein Jahr lang simulierte Phishing-Tests an die Arbeits-E-Mail-Adressen der Mitarbeiter gesendet. 

Die Ergebnisse weisen darauf hin, dass das Geschlecht in Bezug auf die Phishing-Anfälligkeit keine große Rolle zu spielen scheint und dass knapp ein Viertel (23,91 Prozent) derjenigen, die eine gefährliche Aktion (Aktivierung von Makros, Übermittlung von Anmeldedaten) ausführten, dies mehr als einmal taten. Die Forschungsarbeit zeigte auch, dass ein Mitarbeiter, der einen Phishing-Test nicht bestanden hat und daraufhin die Möglichkeit einer freiwilligen Schulung erhält, sein Sicherheitsverhalten meist nicht verbessern kann. 

Crowd-Sourcing erweist sich als praktikabel

Wie bereits erwähnt, erhielten die Mitarbeiter des getesteten Unternehmens eine „Phish Alert“-Schaltfläche in ihrem E-Mail-Programm, um verdächtige Nachrichten unkompliziert melden zu können. Im Hinblick auf die Wirksamkeit von Crowd-Sourcing bei der Abwehr von Phishing-Angriffen untersuchten die Forscher sowohl die Reaktionszeit als auch die Meldegenauigkeit der Mitarbeiter. Die Meldungen der Nutzer waren zu 68 Prozent richtig, wenn es sich um Phishing handelte, und zu 79 Prozent, wenn auch Spam berücksichtigt wurde. Die aufmerksamsten Nutzer erreichten eine Genauigkeit von über 80 Prozent. Ein wichtiger Punkt hierbei: Die Zeit für die Übermittlung dieser Berichte nach dem Empfang betrug 5 Minuten für 10 Prozent des Gesamtvolumens und eine halbe Stunde für 35 Prozent der Gesamtzahl der Berichte. 

Wendet man diese Zahlen auf ein hypothetisches Unternehmen mit 1.000 Mitarbeitern an, von denen 100 von einer Phishing-Kampagne betroffen sind, so würden die Mitarbeiter zwischen 8 und 25 Meldungen über die E-Mail abgeben – eine davon mit hoher Wahrscheinlichkeit innerhalb von 5 Minuten und eine größere Anzahl innerhalb von 30 Minuten. 

Die Ergebnisse zeigen, dass der Einsatz eines unternehmensweiten Phishing-Erkennungsdienstes die Bedrohung durch Phishing-Angriffe erheblich reduzieren könnte. Es ist auch wichtig zu erwähnen, dass ein solches System keine große operative Arbeitsbelastung mit sich bringen würde, so dass ein Unternehmen, das einen Crowd-Sourced-Phishing-Schutz einführt, nicht viel zusätzlichen Aufwand betreiben müsste. Die Forscher kamen auch zu dem Schluss, dass es keine „Meldemüdigkeit“ gibt, was darauf hindeutet, dass das Crowd-Sourcing von Anti-Phishing-Daten eine praktikable Methode zum Schutz der Mitarbeiter darstellt. 

Security Awareness als Schlüssel zur Verteidigung gegen Phishing-Kampagnen

Die neben Crowd-Sourcing wohl effektivste Maßnahme zur Vorbeugung von Phishing-Angriffen ist, ein umfassendes Security-Awareness-Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ergebnis der Trainings ist eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken bei den Mitarbeitern einer Organisation.

Die Schulung der Benutzer mit interaktivem und ansprechendem On-demand-Material ist notwendig, damit die Botschaft wirklich verinnerlicht wird und nicht nur oberflächlich behandelt und gleich wieder vergessen wird. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.

Anm.: Das PDF der Schweizer Phishing Studie kann hier auf Englisch heruntergeladen werden.

*Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*