IT-Sicherheit: gründlich geschult und trotzdem geklickt

Viele Angriffe auf Unternehmensnetze erfolgen per Phishing. Über einen Link in einer Mail werden Mitarbeiter auf eine gefälschte Website gelotst, damit sie dort Zugangsdaten eingeben. Wie groß das Problem ist, merkt man daran, dass Google in diesem Jahr jede Woche zwischen 35.000 und 60.000 Phishing-Sites entdeckte. Das FBI meldete für 2019 1300 Phishing-Anzeigen täglich und Milliardenschäden. Viele Unternehmen schulen deshalb ihre Mitarbeiter, damit sie solche Phishing-Mails erkennen.

Das scheint allerdings nur begrenzten Erfolg zu haben, so ein Ergebnis des Gone Phishing Tournament 2020, das Terranova Security mit Unterstützung von Microsoft durchgeführt hat. Dabei werden Mitarbeiter von Unternehmen, Behörden und anderen Organisationen rund um die Welt mit simulierten Phishing-Mails konfrontiert. Das schockierende Ergebnis: Trotz Awareness-Schulungen klicken fast 20% auf den Link in einer Phishing-Mail. Zwei Drittel dieser Personen gaben anschließend sogar Zugangsdaten und Passwörter auf der Phishing-Website ein. Die höchsten Klickraten wurden bei Behörden beobachtet (28,4%). Als am wenigsten anfällig erwiesen sich die Finanzbranche (14,2%) und Schulen und Universitäten (11,3%).

Gegenüber dem Gone Fishing Tournament 2019 hat sich der Anteil der Klicker fast verdoppelt: Die Rate stieg von 11,2% auf 19,8%. Und während letztes Jahr lediglich 1,8% aller Getesteten Credentials auf der Phishing-Website hinterließen, waren es dieses Mal 13,4%. Allerdings waren Phishing-Mail und -Website dieses Jahr sorgfältiger gestaltet als in früheren Jahren und der Angriff daher schwerer zu erkennen. Laut Terranova spiegelt das die Veränderungen bei realen Phishings-Mails wider, die ebenfalls immer "besser" werden, personalisiert sind und nicht mehr an plumpen Rechtschreibfehlern zu erkennen sind.

(odi)