Einer von drei ungeschulten Mitarbeitern klickt auf einen Phishing-Link

KnowBe4, der Anbieter der weltweit größten Plattform für Security Awareness Training und simuliertes Phishing, hat den „Phishing by Industry Benchmark Report 2022“ veröffentlicht. Der zugrunde gelegte Phish-ProneTM Percentage (PPP) misst eine Organisation daran, wie viele ihrer Mitarbeiter wahrscheinlich auf Phishing oder einen Social Engineering-Betrug hereinfallen.

Angesichts von Ransomware-Zahlungen in Höhe von durchschnittlich 580.000 US-Dollar im Jahr 2021 und BEC-Verlusten (Business E-Mail Compromise) in Höhe von 1,8 Milliarden US-Dollar im Jahr 2020 kann ein Cyberangriff verheerende Folgen für ein Unternehmen haben. Die für den Bericht durchgeführten Basistests haben jedoch ergeben, dass ohne Security Awareness-Schulung in allen Branchen weltweit 32,4 Prozent der Mitarbeiter wahrscheinlich auf einen verdächtigen Link klicken oder einer betrügerischen Aufforderung nachkommen würden. In einigen großen Branchen, wie Beratung, Energie- und Versorgungsunternehmen sowie Gesundheitswesen und Pharmazeutik, liegt der Prozentsatz bei über 50 Prozent.

In der europäischen Region waren die Ergebnisse etwas besser: 29,9 Prozent der ungeschulten Mitarbeiter in allen Branchen und Unternehmensgrößen würden wahrscheinlich auf einen verdächtigen Link klicken oder einer betrügerischen Anfrage nachkommen, in größeren Unternehmen (mehr als 1.000 Mitarbeiter) waren es 31,1 Prozent.

KnowBe4 analysierte einen Datensatz von über 9,5 Millionen Nutzern in 30.173 Organisationen mit über 23,4 Millionen simulierten Phishing-Sicherheitstests in 19 verschiedenen Branchen. Der daraus resultierende Basiswert des PPP misst den Prozentsatz der Mitarbeiter in Unternehmen, die keine KnowBe4-Sicherheitsschulung durchgeführt hatten und die während des Tests auf einen simulierten Phishing-E-Mail-Link klickten oder einen infizierten Anhang öffneten. Mehr lernen Sie hier: https://www.knowbe4.de/wissen/phishing-benchmark-report

Mimikama-Tipps

Wie können sich Unternehmen und MitarbeiterInnen schützen?

Viele Angriffe basieren auf dem sogenannten „Social Engineering“. Kriminelle sammeln dabei vor einer Attacke Informationen über ein Unternehmen, den Prozessen und Systemen des Betriebs und über die MitarbeiterInnen. Mit diesen Informationen wird versucht die MitarbeiterInnen so zu täuschen, dass sie vertrauliche Informationen oder Daten preisgeben, Überweisungen tätigen oder den Kriminellen unternehmensinterne Zugriffe gewähren.

Die Stärkung der MitarbeiterInnen in puncto Cybersicherheit ist zentral, um das gesamte Unternehmen zu schützen. Folgende Tipps sollten daher beachtet werden:

• Ist die Quelle vertrauenswürdig? Bevor Sie Aufforderungen, die Sie per Mail, SMS oder telefonisch erhalten, befolgen, sollten Sie sich fragen, von wem diese Aufforderung kommt. Stimmt die Absender-Adresse tatsächlich mit der echten Firmenadresse überein? Kennen Sie die Rufnummer? Wird die Telefonnummer unterdrückt? Wenn ja, ist das nicht etwas ungewöhnlich für den Geschäftsführer?
• Was weiß der Absender über Sie und das Unternehmen? Cyberkriminelle können viele Informationen über Sie oder ein Unternehmen herausfinden, manchmal fehlen aber wichtige Informationen. Auch hier heißt es, einen Moment darüber nachzudenken, ob Sie überhaupt bestimmte Änderungen oder Daten preisgeben dürfen oder ob nicht noch zusätzliche Schritte oder Informationen dafür notwendig sind.
• Macht die Aufforderung Sinn? Ihr Geschäftsführer braucht unbedingt jetzt mehrere Millionen Euro, da ein Deal abgeschlossen wurde? Aber gab es in letzter Zeit überhaupt Verhandlungen für so einen Millionen-Deal? Und würde Ihr Geschäftsführer den Deal nicht auf einem anderen Weg abschließen? Bevor Sie handeln, sollten Sie sich auch über die Sinnhaftigkeit der Aufforderung Gedanken machen. Dass Ihre Bank die Zugriffsdaten per Telefon will, ist zum Beispiel unüblich.
• Nutzen Sie offizielle Wege! Geheime Daten sollten Sie nicht über das Telefon oder über einen Link in einem unseriösen E-Mail eingeben. Loggen Sie sich immer über offizielle Webseiten ein und nutzen Sie zur Überprüfung der Identität zusätzliche Kommunikationswege!
• Lassen Sie sich nicht drängen! Wird betont, wie dringend eine Angelegenheit sei, sollten Sie besonders vorsichtig sein. Mit dieser Methode versuchen die Kriminellen auf ein rasches Handeln zu drängen, ohne dass die Opfer über die Forderung nachdenken können. Erklären Sie, dass Sie mehr Zeit benötigen und mit Ihrem Vorgesetzten darüber reden müssen.

Passend zum Thema: Beim Phishing sind simple „Klassiker“ die Erfolgsgaranten