Phishing E-Mails in Unternehmen: Security-Awareness-Trainings helfen (State of the Phish 2019)

Mit der jährlich erscheinenden Erhebung „State of the Phish“ gibt Proofpoint einen tiefgreifenden Einblick in den aktuellen Stand der Bedrohungslage rund um Phishing sowie zum IT-Sicherheitsbewusstsein und -Verhalten von End-Usern. Die Ergebnisse des aktuellen Reports „State of the Phish 2019“ liegen nun vor. Unsere Einordnung der Studie finden Sie hier.

Analysen und Untersuchungen von IT-Sicherheits-Lösungsanbietern werden von IT-Security-Verantwortlichen in der Regel mit gewisser Skepsis angenommen – erfahrungsgemäß ist die Aussagekraft gering, der Neuigkeitenwert minimal und die Werbelastigkeit hoch. Vom State of the Phish Report unseres Partners Proofpoint lässt sich dies nicht behaupten.

Update: Der State of the Phish Report 2020 ist ab sofort auch auf Deutsch verfügbar. Hier können Sie den [forms ID=41]. (E-Mail-Adresse erforderlich).

Die zu Grunde gelegte Datenbasis ist bei Proofpoint, wie immer, spannend. Weltweit 15.000 IT-Sicherheits-Experten, zusätzlich über 7.000 Berufstätige (davon 1.000 aus Deutschland) und rund zehn Millionen an End-User via E-Mail gesendete simulierte Phishing-Angriffe bilden die Daten-Grundlage für den Bericht. Worum es geht: Was tun Unternehmen, um der wachsenden Herausforderung durch Phishing-Angriffe gerecht zu werden? Und: Wie erfolgreich sind sie damit aktuell?

Damit folgt Proofpoint dem „People-zentrierten“-Ansatz: Weg von Sicherheitstechnologie-Bereitstellung wird der Mensch Mittelpunkt der Cyber-Security-Strategie.

Cyber Security-Awareness ist ein Sprach-Thema

Die Studienergebnisse legen nahe, dass eine grundlegende Problematik im Umgang mit Cyber-Security-Bedrohungen durch Sprachbarrieren entsteht: IT-Sicherheits-Fachleute sprechen nicht in der Sprache, die End-User und Mitarbeiter verstehen. Dadurch entsteht eine ungemein große Quelle für Missverständnisse.

Informationen, Anweisungen und Empfehlungen rund um die IT-Sicherheit sind für End-User nicht verständlich.

Insbesondere multi-nationale Organisationen, die in der Regel davon ausgehen, dass englisch-sprachige Ausführungen für alle Kollegen allgemein verständlich sind, laufen Gefahr, an ihren Mitarbeiter vorbei zu kommunizieren.

Fakt: Bewusstsein für IT-Sicherheit in Deutschland defizitär

Der Stellenwert von IT-Sicherheit in Unternehmen wird immer wieder thematisiert. Bemerkenswertes Ergebnis im Report: Im Ländervergleich wird deutlich, dass sich das Bewusstsein für verschiedene Angriffsformen (Phishing, Ransomware, Smishing) bei Usern weltweit erhöht. Außer in Deutschland.

Die Begrifflichkeiten rund um Cyber-Bedrohungen sind für Mitarbeiter unklar: dies wird zum Hindernis, um Know-How und den richtigen Umgang mit Bedrohungen hierzulande systematisch auszubauen.

Eine weitere überraschende Erkenntnis: Millennials (die als Digital Natives gelten) sind den Kollegen anderer Altersgruppen im Wissen rund um Cyber-Sicherheit nicht voraus. Das Gegenteil ist der Fall. Obwohl im digitalen Zeitalter aufgewachsen – einhergehend mit der Technologie-Nutzung von klein auf – geht dies leider nicht einher mit einem ausgeprägteren Bewusstsein über Cyber-Bedrohungen.

Andere Altersgruppen, wie die Babyboomer, weisen faktisch ausgeprägteres Know-How auf.

Unternehmen sollten nicht fälschlicherweise annehmen, dass jüngere Mitarbeiterinnen und Mitarbeiter in Bezug auf Cyber-Bedrohungen allein auf Grund ihres Alters den sicheren Umgang mit IT-Bedrohungen an den Tag legen.

Entwicklung von Phishing-Angriffen in Unternehmen ist eindeutig

Die Zahl der Befragten, die angeben, Opfer eines Phishing-Angriffs mit verbundenem Datenverlust geworden zu sein, hat sich von 2016 bis 2018 mehr als verdreifacht.

Besonders dramatisch: Die Kompromittierung von Konten ist in diesem Zeitraum um 70% angestiegen, so die eindeutige Rückmeldung der weltweit 15.000 befragten IT-Sicherheits-Experten.

Die damit verbundenen Kosten für Unternehmen sehen die Experten vor allen im Ausfall der Produktivität der Mitarbeiter, dem Business-Impact durch den Verlust von Unternehmensgeheimnissen und -Informationen sowie in der Beschädigung des Images.

Das wichtigste zum Schluss: Phishing – Was tun?

Was nach Phrase klingt, ist Fakt: Mitarbeiter werden zur letzten Verteidigungslinie im täglichen Kampf gegen Cyber-Bedrohungen.

Es gilt, End-User zu befähigen, die richtigen Entscheidungen treffen zu können: Soll dieser Link angeklickt werden? Kann dieser Anhang heruntergeladen werden? Sollte ich auf diese Anfrage nach vertraulichen Informationen reagieren? Diese Momente entscheiden.

Hier kommen clevere Ansätze für andauernde Weiterentwicklung zur IT-Sicherheit ins Spiel: Vorhang auf für intelligente Lösungen zu IT-Security-Awareness-Trainings.

Proofpoint legt dar, dass erfolgreiche Phishing- und Malware-Attacken mit Awareness-Trainings um bis zu 90% reduziert werden. Beleg dafür: Der Großteil der Mitarbeiterinnen und Mitarbeiter identifiziert mögliche Phishing-E-Mails eigenständig.

Allein dadurch kriegen Unternehmen einen wesentlichen Cyber-Angriffsvektor in den Griff. Denn E-Mails sind nach wie vor das größte Einfallstor für Angriffe.

Lernen Sie die Proofpoint Security Awareness Training-Education Plattform kennen

Erfahren Sie mehr über den Lösungsansatz von Proofpoint Security Awareness Training: im kostenlosen Online-Hands-On. Wie funktioniert’s? Melden Sie sich hier zu Ihrem persönlichen Online-Hands-On an. Darauf erhalten Sie einen Link zur interaktiven Web-Oberfläche, die Ihnen ein Kollege aus dem CYQUEO-Team begleitend (im telefonischen Gespräch) gerne vorstellt.