Im Homeoffice sind Mitarbeiter anfälliger für Phishing. Das liegt vor allem daran, dass die Kommunikationswege neu und ungewohnt sind. Auf die Tricks der Angreifer fallen die Mitarbeiter im Büro aber genauso regelmäßig herein. Dagegen helfen vor allem hartnäckige Sicherheitstrainings.
Der Benchmarking-Report 2020 von KnowBe4 untersucht das Phishing-Risiko nach Branchen. Dazu wird dreimal getestet, wie viele Mitarbeiter bei einem Test den Link einer simulierten Phishing-E-Mail anklicken oder einen infizierten E-Mail-Anhang öffnen: einmal vor dem Training, einmal nach 90 Tagen Traininig und schließlich noch einmal nach einem Jahr. Der entsprechende Prozentsatz liegt demzufolge bei einer untrainierten Belegschaft bei 37,9 %. Mit anderen Worten:
„Im Schnitt stellt jeder 3. Mitarbeiter ein Sicherheitsrisiko dar.“
Im Gesamtdurchschnitt lässt sich diese Quote aber nach 90 Tagen Training auf 14,1 % senken, nach einem Jahr Sicherheitsschulung liegt sie dann nur mehr bei 4,7 %. Dagegen sind die Zahlen, die der State-of-the-Phish-Report 2020 von Proofpoint vorlegt, nicht ganz so plakativ. Das liegt vor allem daran, dass der 48 Seiten starke Bericht die Bedrohungslage sehr viel differenzierter betrachtet und dabei auch die Angriffsvektoren Social Media, SMS (Smishing) und Telefon (Vishing) sowie USB-Sticks berücksichtigt. Hier liegt die durchschnittliche Fehlerquote bei 9 % bzw. 12 %, je nach Betrachtungsweise (aggregierte Anwender bzw. Unternehmen). Auch hier steht aber die Erkenntnis im Fokus: Zu praktisch jedem erfolgreichen Angriff, egal ob zwecks Datendiebstahl oder Erpressung, tragen Mitarbeiter bei, in den Abteilungen ebenso wie auf der Chefetage.
Wie sehr die Phishing-Versuche dabei auf die Klick-Gewohnheiten der Anwender vertrauen können, hat zuletzt Linus Neumann auf dem 36C3 eindrucksvoll gezeigt („Hirne hacken“). Entsprechend einfach lauten auch die Betreffzeilen der „erfolgreichsten“ Phishing-Mails: von „Armbanduhr verloren“ über „Vertragsangebot“ bis zum Dauerbrenner „Aktualisierter Gebäudeevakuierungsplan“.
Verschärft hat sich die Situation, seit die Workloads mehr und mehr in (Hybride) Clouds umziehen, denn mit den nötigen Zugängen und Schnittstellen sind neue neuralgische Punkte entstanden. Für den 27. Mai hat Proofpoint darum bei Heise Business Services einen Live-Webcast angesetzt, in dem Markus Pauly erklärt, wie personenorientierte Sicherheits- und Compliance-Lösungen für Cloud-Infrastrukturen funktionieren. Der Premium-Webcast ist kostenfrei, es genügt eine Anmeldung über Heise, Beginn ist um 11 Uhr. Während der Live-Sendung wird Markus Pauly auch Zuschauerfragen beantworten.