Phishing-Angriffe: Wie gut sind Unternehmen vorbereitet?
Phishing-Angriffe sind in der heutigen digitalen Welt zu einer ernsthaften Bedrohung geworden. Die neue Studie der Such- und Vergleichsplattform für Unternehmenssoftware GetApp untersucht die zunehmende Häufigkeit und die Auswirkungen dieser Angriffe am Arbeitsplatz sowie das Verhalten der Mitarbeiter in dieser Situation. Für diesen ersten Teil der Studie hat GetApp Angestellte in Deutschland befragt, die angaben, mindestens einen Phishing-Angriff erlebt zu haben.
Die wichtigsten Erkenntnisse
- 44 Prozent der befragten Mitarbeiter haben bereits mehrfach Phishing-Angriffe am Arbeitsplatz erlebt.
- Auf die Frage nach der Art der Phishing-Angriffe antworten 90 Prozent der Mitarbeiter, diese per E-Mail erhalten zu haben.
- 60 Prozent der Teilnehmer waren in der Lage, Phishing-Angriffe zu erkennen und entsprechend zu melden.
- Ein Drittel (33 Prozent) der Unternehmen bietet nach Angaben ihrer Mitarbeiter keine Schulungen zur Sensibilisierung für Phishing-Angriffe an.
Was ist Phishing?
Phishing ist eine gängige Form von Cyberangriffen, bei denen Betrüger E-Mails, Textnachrichten und andere Kommunikationsmittel nutzen, um Personen unter Vortäuschung bekannter Absender zu täuschen. Das Ziel von Phishing-Angriffen ist, Personen zur Preisgabe sensibler Informationen wie Kontodaten zu verleiten. Oft sind Unternehmen das Hauptziel solcher Angriffe, wobei Mitarbeiter oft als Einstiegspunkt dienen.
Die Studie von GetApp zeigt, dass 56 Prozent der Befragten bereits einmal am Arbeitsplatz mit einem Phishing-Angriff konfrontiert wurden, und 44 Prozent berichteten sogar von mehreren Vorfällen.
90 Prozent der Mitarbeiter erhalten Phishing-Angriffe per E-Mail
Phishing-Angriffe gibt es in verschiedenen Varianten. Es ist wichtig, zwischen den einzelnen Arten zu unterscheiden. Einige häufig genutzte Beispiele von Phishing-Angriffen sind:
- E-Mail-Phishing: Betrüger verschicken E-Mails mit Links oder Anhängen, um die Neugier der Empfänger zu wecken.
- Spear-Phishing: Hacker recherchieren gezielt Personen oder Unternehmen und senden personalisierte E-Mails.
- Vishing: Betrugsversuche über Telefonanrufe, bei denen der Angreifer sich als Behördenmitarbeiter ausgibt.
- Smishing: Phishing-Versuche per SMS oder Textnachricht, bei denen Cyberkriminelle Opfer dazu auffordern, gefährliche Links zu öffnen.
E-Mail-Phishing ist mit 90 Prozent die am häufigsten genutzte Methode, gefolgt von Vishing (Phishing per Telefonanruf) mit 13 Prozent und Smishing (Phishing per SMS) mit 11 Prozent.
So gaben 33 Prozent der Befragten an, dass sich der Angreifer bei dem Phishing-Angriff, den sie am Arbeitsplatz erlebten, als Unternehmen ausgab, und 28 Prozent derselben Teilnehmergruppe gaben an, dass es sich bei dem Angriff um eine angebliche Paketzustellung handelte.
Praktisch alle Befragten (97 Prozent) sind der Meinung, dass Phishing-Angriffe in den letzten drei Jahren zugenommen haben. Die größte Gruppe der Befragten (37 Prozent) schätzt die Zunahme auf 10 bis 20 Prozent, während 14 Prozent glauben, dass diese Form der Cyberkriminalität um mehr als 40 Prozent zugenommen hat. Dies unterstreicht die erhebliche Bedrohung, die von Phishing-Angriffen für Unternehmen ausgeht, sowie den Nutzen von Sicherheitsmaßnahmen wie Mitarbeitertraining und spezieller Software sowie Präventions- und Notfallplänen für den Fall eines erfolgreichen Phishing-Angriffs.
Wie die Befragten reagieren, wenn Phishing auftritt
- Die Mehrheit der Mitarbeiter (60 Prozent) reagierte angemessen auf Phishing-Angriffe, indem sie diese den zuständigen Stellen wie der IT-Abteilung meldeten oder die Nachricht ignorierten. Ein kleiner Prozentsatz (5 Prozent) gab jedoch an, auf Phishing-Links geklickt zu haben und 3 Prozent hatten unternehmensrelevante Informationen auf Websites, Formularen, per Nachricht oder Anruf preisgegeben.
- Phishing-Angriffe sind schwer zu erkennen, da die Taktiken immer raffinierter werden. Es gibt jedoch eindeutige Anzeichen von Betrug, auf die Unternehmen ihre Mitarbeiter hinweisen können, um Phishing-Angriffe zu verhindern:
- Phishing-E-Mails oder -SMS enthalten oft eine generische Anrede, Grammatik-, Tipp- oder andere Fehler, die einem Muttersprachler nicht passieren würden. Zudem sind sie oft mit Drohungen und Fristen versehen.
Die E-Mail-Adresse des Absenders kann auch darüber Auskunft geben, ob es sich um einen Betrugsversuch handelt, da bekannte Namen in Phishing-E-Mails oft falsch geschrieben sind.
Bevor auf Links oder Anhänge in E-Mails geklickt wird, sollte der Inhalt sorgfältig geprüft und überlegt werden, ob er Sinn macht: Erwarte ich wirklich ein Paket von dieser Website? Würde mich ein Freund, der angeblich in Schwierigkeiten steckt und Geld braucht, wirklich per E-Mail kontaktieren?
Der Schlüssel zur Prävention von Phishing
- Die Schulung der Mitarbeiter zur Erkennung und Bewältigung von Phishing-Angriffen ist eine entscheidende Maßnahme zur Verhinderung von Verlusten. Besorgniserregend ist jedoch, dass ein Drittel (33 Prozent) der Unternehmen ihren Mitarbeitern zufolge keine Schulungen zur Sensibilisierung für Phishing-Angriffe anbietet, während 6 Prozent sich nicht sicher sind, ob ihr Unternehmen solche Schulungen durchführt.
- Davon wünschen sich 73 Prozent Schulungen von ihren Arbeitgebern, um sich sicherer zu fühlen und Phishing-Angriffe besser erkennen und melden zu können. Dies verdeutlicht den Bedarf der Mitarbeiter an Schulungen durch ihre Arbeitgeber.
- Im Gegensatz dazu berichteten 61 Prozent der Befragten, dass sie bereits Schulungen zu Phishing von ihren Unternehmen erhalten haben, wobei 49 Prozent dieser Gruppe angaben, dass das Training in Form von Videos angeboten wird, die erklären, was Phishing-Angriffe sind und wie man sich davor schützen kann.
- Die Mehrheit derselben Gruppe (62 Prozent) erklärte, dass die Schulungen zur Phishing-Sicherheit ihnen geholfen haben, Phishing-Versuche besser zu erkennen, zu vermeiden und zu melden. Nur 5 Prozent fanden das Training nicht hilfreich, da sie bereits wussten, wie man Phishing-Versuche erkennt.
Phishing-Angriffe: Wie weiter vorgehen?
Phishing ist eine weit verbreitete und allgegenwärtige Bedrohung für Unternehmen – unabhängig von ihrer Größe. Die Ergebnisse der GetApp-Studie unterstreichen die Notwendigkeit, Phishing-Angriffe ernst zu nehmen und sowohl Mitarbeiter als auch Unternehmen besser auf die Prävention vorzubereiten.
Doch welche ersten Schritte kann ein Unternehmen gegen Phishing unternehmen? Neben der Sensibilisierung der Mitarbeiter für ihr persönliches Online-Verhalten und der gezielten Schulung in Bezug auf Phishing-Angriffe kann Software im digitalen Zeitalter ein unverzichtbares und hilfreiches Mittel für Unternehmen jeder Größe sein, um sich gegen Cyberkriminalität zu schützen.
Methodik: Um die Daten für diesen Bericht zu erheben, führte GetApp von Juli bis August 2023 eine Online-Umfrage mit insgesamt 351 Angestellten aus Deutschland durch. Die Teilnehmer wurden anhand der folgenden Kriterien ausgewählt: In Voll- oder Teilzeit angestellt, tätig in einem Unternehmen mit mehr als einem Mitarbeiter, Wohnsitz in Deutschland, zwischen 18 und 65 Jahre alt, mit dem Begriff “Phishing-Angriffe” vertraut.