Für Anwender ist es bequem, Phishing-E-Mails an ein Abuse-Postfach zu melden, das über eine E-Mail-Adresse wie phishing@IhrUnternehmen.net erreichbar ist. Abuse-Postfächer sind durchaus effektiv, erfordern jedoch häufig Rückfragen der IT-Abteilung bei den Anwendern, um wichtige Details wie E-Mail-Header zu erhalten.
Aus diesem Grund setzen sich zunehmend Add-ins oder Schaltflächen zur Meldung verdächtiger E-Mails durch. Dazu gehört auch Proofpoint PhishAlarm, das sich unkompliziert bedienen lässt und umfangreichere Funktionen als ein Abuse-Postfach bietet.
Abb. 1: Proofpoint PhishAlarm-Schaltfläche zur E-Mail-Meldung.
Für die in diesem Blog-Beitrag – dem zweiten dieser Serie – vorgestellten Kennzahlen haben wir Daten von Millionen Anwendern analysiert, die unsere PhishAlarm-Schaltfläche zur E-Mail-Meldung nutzen.
Proofpoint nutzt die PhishAlarm-Daten aktiv, um unseren Kunden den Vergleich mit anderen Vertretern ihrer Branche zu ermöglichen, einen Überblick über das Anwenderverhalten zu verschaffen und ihre KPIs zu verbessern. Die dank PhishAlarm vereinfachte Meldung von Phishing-E-Mails spart Anwendern sowie IT-Mitarbeitern Zeit und liefert wertvolle Einblicke in die Resilienz der Nutzer sowie die E-Mail-Sicherheit des Unternehmens.
Abb. 2: Die Proofpoint-Warnhinweise in E-Mails enthalten einen Link, über den Anwender die verdächtige Nachricht direkt melden können. Dadurch erhalten Kunden zuverlässigere E-Mail-Meldungen durch ihre Anwender und profitieren zudem von verbesserter E-Mail-Sicherheit.
In der Zukunft werden wir Daten zu unseren E-Mail-Warnhinweisen mit Meldungsoption aufnehmen und zeigen, wie sich dadurch Meldungsrate und Zuverlässigkeit verbessern. Im aktuellen Bericht sind diese Daten jedoch noch nicht enthalten. Die HTML-basierten Warnhinweis-Banner sind kontextabhängig, anpassbar und mit wenig IT-Aufwand implementierbar. Sie unterstützen Ihre Anwender dabei, verdächtige Nachrichten zu erkennen und zu melden.
Fehlerquote und Meldungsrate als Kennzahlen für das Anwenderverhalten
Phishing-Simulationen in Security Awareness-Programmen werden schon lange eingesetzt, um das Anwenderverhalten zu ermitteln. Die Klickrate oder Fehlerquote bei Simulationen allein ist jedoch kein idealer Kennwert für das Verhalten der Nutzer.
Die Fehlerquote wird als Worst-Case-Szenario für den jeweiligen Vorlagentyp definiert:
- Link-basierte Vorlage: Anwender klickt auf den Link
- Anhang-basierte Vorlage: Anwender öffnet den Anhang
- Dateneingaben/Anmeldedaten-basierte Vorlage: Anwender übermittelt Anmeldedaten
Wichtige Erkenntnis: Die Fehlerquote allein kann das Anwenderverhalten nicht zuverlässig abbilden
Die Gründe:
- Unterschiedliche Vorlagen haben sehr unterschiedliche Klickraten.
- Die Fehlerquote verdeutlicht, dass die Anwender falsches Verhalten vermieden haben, aber nicht, dass sie richtiges Verhalten gezeigt haben.
- Diese eine Kennzahl bildet nicht das gesamte Anwenderverhalten ab.
Die Daten aus den Proofpoint-Phishing-Simulationen zeigten sehr unterschiedliche Fehlerquoten bei den verschiedenen Vorlagen. So haben einige weniger anspruchsvolle Vorlagen nur einstellige Fehlerquoten, während andere wie die Netflix-Vorlage in einigen Kampagnen auf bis zu 100 % kommen.
Abb. 3: Simulierte Phishing-Vorlage für Netflix-E-Mails.
Wenn die Fehlerquote um Informationen zur Meldungsrate bei Simulationen ergänzt wird, lassen sich Veränderungen beim Anwenderverhalten besser einschätzen. Die Meldungsrate zeigt, dass Nutzer richtig handeln und ihren Beitrag zur Absicherung des Unternehmens leisten. Je höher die Meldungsrate, desto größer ist die Wahrscheinlichkeit, dass Anwender wirklich verdächtige Nachrichten an Ihre IT-Sicherheitsteams melden, damit diese Maßnahmen ergreifen können, noch bevor größerer Schaden entsteht.
Meldungsrate : Fehlerquote = Resilienzfaktor
Wenn Fehlerquote und Meldungsrate kombiniert werden, was ist dann das Ergebnis? Bei Proofpoint ist das der Resilienzfaktor. Abb. 4 zeigt die Formel, anhand derer wir den durchschnittlichen Resilienzfaktor unserer Kunden ermitteln, der bei 1,2 liegt.
Abb. 4: Durchschnittlicher Resilienzfaktor der Proofpoint-Kunden.
Wir konnten beobachten, dass die durchschnittliche Meldungsrate bei Phishing-Simulationen unter unseren Kunden bei 13 % lag. Diese Rate steigt von Jahr zu Jahr, da immer mehr Unternehmen ein Add-in zur Phishing-Meldung implementieren und ihre Anwender entsprechend schulen. Die durchschnittliche Fehlerquote von aktuell 11 % ist gegenüber dem Vorjahr ebenfalls leicht gesunken.
Wie wir bei zahlreichen Proofpoint-Kunden gesehen haben, kann der Resilienzfaktor erheblich steigen. Als Fernziel empfehlen wir einen Resilienzfaktor von 14x bzw. eine durchschnittliche Meldungsrate von 70 % und eine Fehlerquote von höchstens 5 %. Wir empfehlen unseren Kunden die Verwendung beider Kennzahlen, da die Fehlerquote nur begrenzt sinken kann (sie wird praktisch niemals bei 0 liegen). Zudem kann die Fehlerquote bei gezielteren und schwierigeren Simulationen erheblich abweichen.
Hervorragend abschneidende Kunden konnten einen Resilienzfaktor von 14x erreichen, was zeigt, wie effektiv Sicherheitsschulungen das Anwenderverhalten ändern können. Wenn Ihr Resilienzfaktor niedriger liegt, sollten Sie berücksichtigen, dass Zeit und regelmäßige Sicherheitsschulungen notwendig sind, um das Anwenderverhalten zu ändern.
Der Datensatz, anhand dessen wir den durchschnittlichen Resilienzfaktor berechnet haben, zeigt auch, dass Anwender im Durchschnitt nur etwas mehr als 5 Nachrichten im Jahr gemeldet haben. Wir gehen davon aus, dass diese Zahl in den nächsten Jahren erheblich steigen wird, da Unternehmen ihre Schulungsinitiativen ausweiten und Anwender sich immer mehr daran gewöhnen, verdächtige Nachrichten zu melden.
Ein genauer Blick auf die Fehlerquoten und Meldungsraten nach Branche und Vorlagentyp
Im Folgenden stellen wir einen Überblick über die von uns erfassten branchenspezifischen Daten zu Fehlerquoten und Meldungsraten sowie die Resilienzfaktoren vor, die wir mit der oben vorgestellten Formel berechnet haben. Laut unseren Daten gehören Finanzdienstleister bei der Meldungsrate zu den am besten abschneidenden Branchen (20 %). Den insgesamt größten Resilienzfaktor weist jedoch die Rechtsbranche auf (2,1).
Abb. 5: Fehlerquoten und Meldungsraten nach Branche.
Wir konnten auch Unterschiede bei den Fehlerquoten und Meldungsraten nach Vorlagentyp beobachten:
Vorlagentyp |
Durchschnittliche Meldungsrate |
Durchschnittliche Fehlerquote |
Durchschnittlicher Resilienzfaktor |
Anhänge |
18% |
20% |
.9 |
Dateneingaben/Anmeldedaten |
15% |
4% |
3.8 |
Links |
13% |
12% |
1.1 |
Anwender melden am häufigsten Anhang-basierte Vorlagen. Unsere Analysen zeigen jedoch, dass diese Phishing-Simulationen auch die höchste Fehlerquote aufweisen. Simulationen zeigen, dass viele Anwender Anhänge wegen ihrer Daten verlockend finden (z. B. angebliche COVID-19-Infektionsdaten oder Bonuszahlungen für Mitarbeiter). Ein gewisser Anteil der Nutzer ist jedoch vorsichtiger und meldet daher diese Anhang-basierten Bedrohungen.
Wir stellten auch fest, dass der Resilienzfaktor für Dateneingaben/Anmeldedaten-Phishing-Simulationen deutlich höher war als bei den beiden anderen Vorlagentypen. (Zu beachten ist, dass bei den Dateneingaben/Anmeldedaten-basierten Vorlagen ein zusätzlicher Schritt notwendig ist: Um auf den Phishing-Simulationstest hereinzufallen, müssen die Anwender auf den Link klicken und ihre Anmeldedaten eingeben.)
Verteilung der Meldungsrate
Die Meldungsrate hängt vom Sicherheitsbewusstsein in Ihrem Unternehmen sowie davon ab, wie lange die Anwender bereits ein Add-in oder eine Schaltfläche für E-Mail-Meldungen nutzen. Sie sollten sich also nicht entmutigen lassen, wenn Ihre Nutzer nach wenigen Monaten seit der Einführung des Tools noch keine Höchstleistungen zeigen. Die Änderung des Anwenderverhaltens und Einführung einer Sicherheitskultur in Ihrem Unternehmen kostet Zeit und Mühe.
Abb. 6: Y-Achse: Anzahl der Kunden, X-Achse: Phishing-Meldungsrate. Dieses Diagramm zeigt, dass die Mehrzahl der Kunden nur geringe Meldungsraten aufweist, da die Meldungs-Add-ins von den Anwendern nur wenig genutzt werden. Unternehmen können das jedoch ändern.
Viele Unternehmen weisen nur geringe Meldungsraten auf, was durchaus normal ist.
Durchschnittliche Meldungsrate bei Simulationen nach Perzentil:
Perzentil |
Anteil der Anwender, die Simulationen melden |
25% |
1.4% |
50% |
8.5% |
75% |
19.9% |
Durchschnitt |
13% |
Beste Leistung |
83.6% |
Bei geringen Meldungsraten haben wir häufig Folgendes festgestellt:
- Unternehmen implementieren die Add-ins für E-Mail-Meldungen gerade erst.
- Anwender haben mehrere Möglichkeiten zur Meldung von Nachrichten (z. B. eine Abuse-Postfach-Adresse).
- In Anwenderschulungen wird nicht darauf hingewiesen, wie sie mit dem Add-in verdächtige E-Mails melden können.
- Anwender löschen oder ignorieren Nachrichten, die für sie unerwartet eingegangen sind.
Die richtige Wissensvermittlung kann Ihrem Unternehmen enorm helfen, die Meldungsrate zu verbessern, beispielsweise indem Sie E-Mails bei der Kommunikation für Sicherheitsbewusstsein ansprechen, die Add-in-Nutzung während Security Awareness-Schulungen erklären und Ihren Anwendern Rückmeldungen geben, wenn diese simulierte Phishing-Nachrichten melden. Auf diese Weise können Sie Ihr Unternehmen zu einem Top-Performer machen.
Benchmark-Vergleich mit Ihren Branchenkollegen
Im neuen, erweiterten CISO-Dashboard von Proofpoint sehen Sie, wie Ihr Unternehmen bei der Meldung von Phishing-Simulationen abschneidet (nach Perzentil). Sie erhalten in Echtzeit Kontextinformationen dazu, wie Sie im Vergleich mit Branchenkollegen und anderen Proofpoint-Kunden abschneiden, sowie weitere wichtige Security Awareness-Kennzahlen, die Sie problemlos an Ihren CISO (Chief Information Security Officer) und weitere Verantwortliche weitergeben können.
Abb. 7: Phishing-Berichte mit Bewertungen und Zusammenfassungen.
Ein ehrlicher Blick: Was melden die Anwender sonst noch?
Wenn ein Anwender eine Phishing-Simulation meldet, ist das ein Gewinn für Ihr Unternehmen – schließlich ist das auch das Ziel der Übung. Doch was geschieht, wenn Ihre Nutzer mit echten Phishing-Nachrichten zu tun bekommen?
In unserem nächsten Blog-Beitrag untersuchen wir, wie effektiv Anwender echte schädliche Nachrichten melden und damit ihr Unternehmen unterstützen, seine Sicherheitslage zu verbessern.