Ungeschulte Mitarbeiter sind Gefahr für Unternehmen

Ohne geeignetes, regelmäßiges Sicherheitstraining können Mitarbeiter schnell zum größten Risiko für Unternehmen werden. Das ist eines der Schlüsselergebnisse des aktuellen „Phishing by Industry Benchmarking Report“, den KnowBe4 jetzt veröffentlicht hat.

Die Studie basiert auf der durchschnittlichen Phish-Prone-Percentage (PPP). Dieser mathematische Wert errechnet sich aus der Wahrscheinlichkeit, dass ein Mitarbeiter auf eine Phishing-E-Mail klickt oder auf eine andere Social Media-Betrugsmasche hereinfällt.

Unternehmen, die noch kein Security Awareness-Training durchgeführt hatten, wurden mit einem ersten grundlegenden Phishing-Test geprüft. Die Ergebnisse zeigen hier eine hohe Wahrscheinlichkeit eines erfolgreichen Phishing-Betrugs mit einem durchschnittlichen anfänglichen PPP von 29,6 Prozent. Dieser Wert bedeutet einen Anstieg von 2,6 Prozent gegenüber den Ergebnissen von 2018. Die Tests zeigen die gleichen Resultate über alle Unternehmensbranchen und -Größen hinweg. Daraus lässt sich ableiten, dass jedes Unternehmen ohne computergestütztes Training zur Stärkung der Security Awareness anfällig für Phishing und Social Engineering ist.

„Oft vernachlässigen Unternehmen Security Awareness-Trainings und simulierte Social Engineering-Tests, weil sie sich auf die Implementierung von Sicherheitstechnologien konzentrieren. Sie vergessen dabei auch ihre menschliche Verteidigungsebene aufzubauen“, sagt Stu Sjouwerman, CEO, KnowBe4. „Diese Studie zeigt auf, dass die Mitarbeiter nicht die richtige Form und Anzahl an Cybersicherheitstrainings erhalten, um ihre Unternehmen angemessen zu schützen. Diesen Umstand müssen wir dringend ändern.“

Nach 90 Tagen computergestütztem Training und simulierten Phishing-Tests konnte der durchschnittliche PPP halbiert werden. Er sank bei diesen Unternehmen von knapp 30 auf 15 Prozent. Nach einem kompletten Jahr Security Awareness-Training mit diesen Methoden sinkt dieser Prozentsatz sogar auf nur noch zwei Prozent. Im Ergebnis lässt sich also feststellen, dass innerhalb von zwölf Monaten ausgehend vom Basistest über kontinuierliche Trainings und Phishing-Tests über alle Branchen hinweg eine Steigerungsrate von 92 Prozent erreicht wird.

Die komplette Studie ist unter folgendem Link verfügbar: https://www.knowbe4.de/de/wissen/phishing_benchmark_report_2019_dt

„Oft vernachlässigen Unternehmen Security Awareness-Trainings und simulierte Social Engineering-Tests, weil sie sich auf die Implementierung von Sicherheitstechnologien konzentrieren“, so Stu Sjouwerman, CEO von KnowBe4.

Foto: © KnowBe4/Stu Sjouwerman

Teaserbild: Pixabay