Proofpoint State of the Phish 2020: Was Sie zu Phishing in Unternehmen wissen müssen

Mitarbeiter gefährden die IT-Sicherheit in Unternehmen. Was verbirgt sich hinter dieser Aussage? Security-Awareness und Sensibilisierung für IT-Sicherheit, das klingt immer etwas theoretisch. Proofpoint liefert mit dem neuen Report State of the Phish 2020 (Deutsch, PDF) einen genaueren Überblick. Die wichtigsten Ergebnisse der Proofpoint-Studie hier für Sie zusammengefasst.

Lange wurde der Risikofaktor Mitarbeiter in den Bemühungen zur IT-Sicherheit in Unternehmen unterschätzt. Unser Cyber-Security-PartnerProofpoint ändert hier den Blickwinkel. Proofpoint rückt den Mitarbeiter, den Menschen, ins Zentrum der IT-Sicherheitsstrategie.

Fest steht: Das Bedrohungsbewusstsein und die Aufklärung des Einzelnen entscheiden mehr denn je über erfolgreiche IT-Sicherheit.

Mit der internationalen Studie „State of the Phish“ analysiert Proofpoint bereits das sechste Jahr in Folge detailliert das Bewusstsein der Anwender für die Gefahren durch Phishing-Angriffe in Unternehmen. Damit bietet der Report für Entscheider interessante Insights zur gegenwärtigen Bedrohungslage durch Phishing.

State of the Phish: Datengrundlage und Hintergrund

Auch im „State of the Phish 2020“ ist die Datengrundlage wieder stark: Tausende Angestellte sowie über 600 IT-Sicherheitsexperten, auch aus Deutschland, sind für den Report ausführlich befragt worden.

Darüber hinaus analyisiert Proofpoint für den Report 50 Millionen simulierte Phishing-Angriffe und über 9 Millionen von Endnutzern gemeldete verdächtige E-Mails.

Der Report bietet somit einen tiefen Einblick in die Praxis zur tatsächlichen Bedrohungslage durch Phishing. Was bei derartigen Studien nicht immer der Fall ist: Die Bedrohungslage für Unternehmen in Deutschland wird hier im Speziellen betrachtet.

Problem: Private Aktivität auf unternehmenseigenen Geräten

Unternehmen geben ihren Mitarbeitern neben Endgeräten in der Regel verbindliche Richtlinien für die zulässige Nutzung mit an die Hand.

Aber wie werden diese wirklich befolgt?

Der Report bestätigt: Weitläufig nutzen Mitarbeiter ihre Geräte für private Aktivitäten. Private E-Mails abrufen und beantworten, Webseiten und soziale Netzwerke ansurfen, streamen etc. …

50% der Befragten lassen sogar zu, dass Freunde und Familie die vom Arbeitgeber bereitgestellten Geräte nutzen.

Gleichzeitig gehen Arbeitnehmer fälschlicherweise davon aus, dass sie mit den technischen Schutzmaßnahmen auf ihren Geräten absolut sicher sind.

Jetzt den Proofpoint Bericht Herunterladen

Mit dem Senden stimmen Sie unserer Datenschutzvereinbarung zu.

Deepdive: Welche Cyberangriffe treffen auf Unternehmen in Deutschland?

Unternehmen in Deutschland sehen die Ausfallzeiten für Endnutzer und den Aufwand für die Behebung der Störung durch die IT-Sicherheitsteams als wesentliche Kostentreiber im Zusammenhang mit Phishing-Angriffen.

Im internationalen Vergleich fällt dennoch auf: Die tatsächlichen Kosten von Phishing-Angriffen werden vor allem in Deutschland gar nicht erhoben.

Aufgeschlüsselt nach Ländern ermöglicht der State of the Phish 2020 den detaillierten Blick auf Cyber-Angriffe in Deutschland:

  • Business-E-Mail-Compromise (BEC), also maßgeschneiderte zielgerichtete Betrugsversuche, bei denen via Social Engineering betrügerische Handlungen angeleitet werden, haben im Jahr 2019 in Deutschland 90% der befragten Unternehmen verzeichnen müssen.
  • 48% der Unternehmen haben in 2019 den Verlust von Daten nach einem Phishing-Angriff erleiden müssen.
  • Von ebenso vielen Unternehmen (50%) wurden in Folge von Phishing Zugangsinformationen (Anmeldedaten für Konten) kompromittiert.
  • Weitere 50% haben Infektionen der IT-Systeme mit Ransomware (Erpressungstrojanern) hinnehmen müssen.
  • Besonders heikel: 26% der Unternehmen haben sogar konkrete finanzielle Verluste/Überweisungsbetrug verzeichnet, ja sogar Lösegeldzahlungen, geleistet.

International gesehen sind die Angriffsszenarien weiterhin durchaus unterschiedlich.

Beispiel: Vorfälle mit USB-Sticks. Während in Großbritannien und Australien etwa die Hälfte der Unternehmen angibt, hier keine Angriffe zu verzeichnen, geben deutsche Unternehmen zu 95% an, Vorfälle mit manipulierten USB-Sticks in 2019 erfasst zu haben.

Schulungen zur Erkennung und Vermeidung von Phishing-Angriffen

Der State of the Phish Report 2020 zeigt im internationalen Vergleich ganz deutlich: Hierzulande werden zu wenig unternehmensweite Schulungen durchgeführt.

Der prozentuale Anteil der Unternehmen, die Schulungen durchführen, liegt in den USA (86%) und Japan (86%) deutlich vor Deutschland (65%).

Deutschland hinkt bei IT-Sicherheitsschulungen in Unternehmen sogar dem weltweiten Durchschnitt hinterher.

Die Hälfte der Unternehmen in Deutschland (51%) gibt an, in einem Kalenderjahr nur 1-2 Stunden Zeit für Schulungen zur Verbesserung des Sicherheitsbewusstseins zu investieren.

Im internationalen Vergleich räumen Unternehmen in den USA, Japan, Frankreich, Großbritannien (u.a.) hier häufiger mehr Zeit ein.

Auch die Methoden, die zur Steigerung des Bewusstseins für Cybersicherheit genutzt werden, sind international vielseitiger als in Deutschland: von simulierten Phishing-, Voice-Phishing („Vishing“)- und SMS-Phishing („Smishing“)-Angriffen über simulierte Angriffe mit manipulierten USB-Sticks über Poster und Videos – weltweit realisieren Unternehmen facettenreichere Maßnahme als die Organisationen in Deutschland.

Lernen Sie auch Proofpoint Security Awareness Training kennen, den Marktführer für wirkungsvolle IT-Security-Trainings.

Die interaktive Oberfläche können Sie selbst ausprobieren: im kostenlosen Online-Hands-On.