Wir freuen uns, Ihnen die Veröffentlichung des Beyond the Phish-Berichts für 2019 bekanntgeben zu können. Dieser vierte Jahresbericht konzentriert sich auf die Cybersicherheitskenntnisse der Endnutzer unserer Kunden. Für den diesjährigen Bericht haben wir fast 130 Millionen Antworten auf Cybersicherheitsfragen analysiert. Zudem liefert der Bericht einen Überblick über die Kenntnisse von Mitarbeitern in 14 Kategorien, 16 Branchen und mehr als 20 typischen Klassifizierungen für Unternehmensabteilungen.
Wichtigste Erkenntnisse dieser Untersuchung zu Schulungen zur Steigerung des Sicherheitsbewusstseins:
- Insgesamt wurde jede vierte Frage in den Bereichen „Erkennung von Phishing-Bedrohungen“ und „Schutz der Daten während ihrer Nutzungsdauer“ falsch beantwortet.
- Die Abteilung „Kommunikation“ schnitt am besten ab: 84 Prozent aller Fragen wurden hier von den Endnutzern richtig beantwortet.
- Nach Branche betrachtet erzielten Finanzdienstleister die besten Ergebnisse: 80 Prozent aller Fragen wurden von den Endnutzern richtig beantwortet.
- Die Abteilungen „Kundendienst“, „Instandhaltung“ und „Sicherheit“ schnitten am schlechtesten ab: Durchschnittlich beantworteten 25 Prozent der Endnutzer die gestellten Cybersicherheitsfragen falsch.[1]
- Endnutzer in den Bereichen „Bildungswesen“ und „Transport“ hatten die größten Schwierigkeiten und beantworteten 24 Prozent der Fragen in allen Kategorien falsch.
- Endnutzer in Versicherungsunternehmen zeigten in drei der 14 untersuchten Kategorien die beste Leistung, insbesondere in der Kategorie „Vermeidung von Ransomware-Angriffen“.
- Mitarbeiter im Gastgewerbe schnitten in drei Kategorien am schlechtesten ab, unter anderem beim Thema „Physische Sicherheitsrisiken“, wo sie 22 Prozent der Fragen falsch beantworteten.
Gefahrenpotenzial von Bedrohungen jenseits von Phishing
Phishing bereitet Unternehmen auf der ganzen Welt weiterhin die größten Sorgen. Laut unserem State of the Phish-Bericht 2019 verzeichneten weltweit 83 Prozent aller Unternehmen im Jahr 2018 Phishing-Angriffe. Das unterstreicht die Dringlichkeit entsprechender Schulungen für die Endnutzer.
Dennoch wird das Endnutzerrisiko nicht nur durch E-Mail-basierte Angriffe bestimmt. Beispiele:
- Zu lockere Sicherheitsgewohnheiten in sozialen Netzwerken können wichtige Details preisgeben, die Cyberkriminelle für verschiedene gezielte und glaubwürdige Social-Engineering-Angriffe nutzen können, z. B. für Phishing, Vishing (Voice-Phishing), SMiShing (Phishing per SMS/Textnachricht) und BEC-Kampagnen (Business Email Compromise).
- Sorgloses Verhalten bei der Datenverwaltung und bei physischen Sicherheitsmaßnahmen können Sicherheitsverletzungen und Verlust oder Diebstahl vertraulicher bzw. proprietärer Informationen nach sich ziehen.
- Schlechte Kennwortgewohnheiten können zu kompromittierten Kennwörtern führen und Angreifern den Zugriff auf Unternehmenssysteme und -daten ermöglichen.
- Durch fehlende Aufmerksamkeit können Mitarbeiter zu einer unabsichtlichen Insider-Bedrohung werden.
Viele Unternehmen verlassen sich für die Einschätzung der Endnutzergefährdung und die Schulung sicherer Verhaltensweisen auf simulierte Phishing-Angriffe bzw. unregelmäßige Schulungen. Cyberkriminelle nutzen bei Angriffen auf Endnutzer verschiedenste Taktiken, sodass es nicht mehr ausreicht, sich auf bestimmte Bereiche der Cyber-Hygiene zu konzentrieren. Vielmehr müssen Anwender umfassend darin geschult werden, potenziell kompromittierendes Verhalten am Arbeitsplatz und im privaten Umfeld zu erkennen. Außerdem müssen die Schulungen sichere Verhaltensweisen fördern.
„Unternehmen müssen ihre Schulungsprogramme zur Steigerung des Sicherheitsbewusstseins kontinuierlich und gründlich durchführen, da sich das Verhalten der Endnutzer auf die Gesamtsicherheit des Unternehmens auswirkt. Dieser Jahresbericht verdeutlicht, dass Phishing-Tests allein nicht ausreichen, um die Anfälligkeit von Endnutzern und deren Kenntnisse über Cyberbedrohungen zu bewerten“, betont Amy Baker, Vice President für Security Awareness Training Strategy and Development bei Proofpoint.
„Sie dürfen nicht außer Acht lassen, dass nicht alle Sicherheitszwischenfälle von einem Angriff ausgelöst werden. Viele Probleme sind das Ergebnis unzureichender Sensibilität und schlechter Sicherheitspraktiken. Unsere Untersuchungen zeigen eine deutliche Zunahme bei sicheren Verhaltensweisen, wenn Unternehmen auf einen gut verwalteten, kontinuierlichen Schulungsansatz setzen, der alle Cybersicherheitsthemen abdeckt.“
Bericht herunterladen
Weltweit vertrauen Unternehmen bei der Schulung ihrer Mitarbeiter zu neuesten Cyberbedrohungen und empfohlenen Vorgehensweisen auf Proofpoint. Effektive Schulung und ein personenorientierter Sicherheitsansatz sind unabdingbar, da Cyberkriminelle nicht mehr nur die Infrastruktur, sondern gezielt einzelne Personen angreifen.
Den Beyond the Phish-Bericht für 2019 mit den Vergleichen nach Kategorie, Abteilung und Branche finden Sie hier: Beyond the Phish-Bericht für 2019. Registrieren Sie sich für unser SecureWorld-Webinar „Beyond the Phish“ am 28. August, um weitere Informationen zu den Ergebnissen unserer Untersuchungen zu erhalten. Der Inhalt wird live und on-demand zur Verfügung stehen. Für die Teilnahme erhalten Sie CPE-Punkte.
[1] Die Bezeichnungen für die Abteilungen wurden von den Unternehmen definiert. So kann die Abteilung „Sicherheit“ beispielsweise sowohl physische Sicherheit als auch Cybersicherheit umfassen.