State of The Phish™-Bericht 2019 · 2019-08-02 · Unser fünfter, jährlich erscheinender State...

STATE OF THE PHISHBERICHT FÜR 2019

JAHRESBERICHT

proofpoint.com/security-awareness

Security Awareness Training

https://www.proofpoint.com/security-awareness

https://www.proofpoint.com/de/products/phishing-simulation-security-awareness

STATE OF THE PHISH | 2019 2

EINFÜHRUNG DREI INHALTSSCHWERPUNKTE ABSCHNITT 1: DAS AUSMASS DES ENDBENUTZERRISIKOS

ABSCHNITT 2: DER ALLTAG VON IT-SICHERHEITSEXPERTEN

ABSCHNITT 3: SCHULUNGEN ZUR STEIGERUNG

DES SICHERHEITSBEWUSSTSEINS: ERGEBNISSE UND CHANCEN

EINFÜHRUNG

EINFÜHRUNG

Wie sah die Phishing-Landschaft im Jahr 2018 aus? Stieg bei den meisten Endbenutzern das Bewusstsein für Phishing- und andere Social-Engineering-Angriffe? Was tun Unternehmen, um Phishing-Bedrohungen abzuwehren – und wie erfolgreich sind ihre Maßnahmen?

Unser fünfter, jährlich erscheinender State of the Phish-Bericht beantwortet all diese Fragen – und mehr. In diesem Bericht konzentrieren wir uns auf den gleichen Bereich wie die Cyberangreifer: Ihre Mitarbeiter. Die Daten beziehen sich dabei auf Folgendes:

Dutzende Millionen simulierte Phishing-E-Mails

16 BranchenMehr als 7.000 Erkenntnisse

von TechnologienutzernFast 15.000 Umfrageantworten von

IT-Sicherheitsexperten

16

Wir haben die Daten von dutzenden Millionen simulierten Phishing-

E-Mails kompiliert und analysiert, die an Endbenutzer auf der ganzen Welt in Unternehmen aller Größen

gesendet wurden. Die Erkenntnisse basieren auf Phishing-Tests,

die zwischen Oktober 2017 und September 2018 über unsere Cloud-basierte Plattform für

Sicherheitsschulungen erfolgten.

Wir vergleichen Aktivitäten und Ergebnisse von Unternehmen

und ihren Mitarbeitern in 16 Branchen, darunter dem Finanz-

und Gesundheitssektor sowie der Fertigungsindustrie.

In jedem Quartal des Jahres 2018 schickten wir Umfragen an

unsere weltweite Datenbank von IT-Sicherheitsexperten (sowohl

Kunden als auch Nicht-Kunden). Ihre Antworten zeigen, vor welchen Herausforderungen sie stehen und wie sie die Bedrohungslage sowie ihre Maßnahmen zur Abwehr von

Phishing-Angriffe sehen.

Unsere Drittanbieterumfrage unter mehr als 7.000 arbeitstätigen

Erwachsenen (jeweils 1.000 in den USA, Großbritannien, Frankreich,

Deutschland, Italien, Österreich und Japan) konzentrierte sich auf häufig

verwendete Social-Engineering-Begriffe und Angriffsvektoren.

Die Ergebnisse bieten einen weltweiten Blick auf das Sicherheitsbewusstsein

durchschnittlicher Endbenutzer.






IM BERICHT DIESES JAHRES KONZENTRIEREN WIR UNS AUF DREI

KERNBEREICHE DER DATEN UND ANALYSEN:

Das Ausmaß des EndbenutzerrisikosDie Proofpoint-Bedrohungsdaten zeigen, dass sich die Angreifer weiterhin auf Endbenutzer konzentrieren – ein weiteres Argument für einen Cybersicherheitsansatz mit Menschen im Mittelpunkt. Doch was, wenn Unternehmen diesem Modell nicht folgen?

Dieser Abschnitt des Berichts stellt die Ergebnisse unserer Umfrage mit fünf Fragen in sieben Ländern vor, mit denen wir die grundlegenden Cybersicherheitskenntnisse arbeitstätiger Erwachsener auf der ganzen Welt ermitteln möchten. Für jede Frage zeigen wir außerdem weltweite Durchschnittswerte sowie die Aufschlüsselung der Ergebnisse nach Ländern. Wir bieten auch eine Analyse nach Altersgruppen, die untersucht, wie Millennials – ein wichtiger demografischer Faktor für Unternehmen auf der ganzen Welt – im Vergleich mit Baby Boomern und anderen Altersgruppen beim Bewusstsein für Cybersicherheit abschneiden.

Der Alltag von IT-SicherheitsexpertenDieser Teil des Berichts stellt die Ergebnisse unserer vierteljährlichen Umfrage unter IT-Sicherheitsexperten vor. Wir decken eine ganze Reihe wichtiger Themen ab:

• Die unterschiedlichen Arten von Social-Engineering-Angriffen auf Unternehmen

• Die Häufigkeit von Phishing- und Spearphishing-Angriffen• Die Auswirkungen von Phishing auf Unternehmen • Methoden und Tools zur Steigerung des Sicherheitsbewusstseins,

durch die das Risiko der Endbenutzer minimiert wird.• Anwendung von Konsequenzmodellen und Eskalationspfaden

Wir werten die Umfragedaten auch unter regionalen Gesichtspunkten aus und weisen auf interessante Unterschiede zwischen den Teilnehmern aus drei wichtigen Regionen hin: Nordamerika, EMEA und APAC.

DREI INHALTSSCHWERPUNKTE

DREI INHALTSSCHWERPUNKTE Schulungen zur Steigerung des Sicherheitsbewusstseins: Ergebnisse und ChancenDer diesjährige Bericht schließt mit einer umfassenden Analyse der Daten aus unserer Plattform für Sicherheitsschulungen. Mit diesem SaaS-basierten Schulungsverwaltungssystem (Learning Management System, LMS) können unsere Kunden Schulungsprogramme zur Erkennung von Phishing-Versuchen planen, umsetzen und darauf maßgeschneiderte Business Intelligence erhalten. Hier finden Sie folgende Ergebnisse und Analysen:

• Durchschnittliche Fehlerquoten in unterschiedlichen Kampagnentypen• Die Vorlagen und Themen für simulierte Phishing-Angriffe, die von

Programmadministratoren favorisiert werden• Durchschnittliche Fehlerquoten nach Branche und Abteilung• Einfluss von Personalisierung und Reifegrad des Programms auf

die Fehlerquoten• Überblick über häufig angegriffene Ziele in mehreren Branchen• Phishing-Vorlagen, die am häufigsten die Endbenutzer täuschen• Einblicke in von Endbenutzern gemeldete E-Mails

BERICHT ZU BENUTZERRISIKENIn unserem Bericht zu Benutzerrisiken 2018 erfahren Sie mehr über das Cybersicherheitswissen arbeitstätiger Erwachsener auf der ganzen Welt.

BERICHT HERUNTERLADEN

http://www.wombatsecurity.com/user-risk-report






Der Proofpoint-Bericht Der Faktor Mensch 2018 basiert auf Bedrohungsdaten, die durch Analysen von täglich mehr als einer Milliarde E-Mails gewonnen wurden. Eine Sache stellt der Bericht absolut deutlich klar: Cyberangreifer konzentrieren sich zunehmend auf Menschen statt auf die technischen Schutzmaßnahmen. Der Bericht hebt hervor: „Angreifer gehen raffiniert vor, um die natürliche Neugier und Hilfsbereitschaft, die Geiz-ist-geil-Mentalität oder oft genug auch Zeitdruck auszunutzen und ihre Opfer zum Klicken zu verleiten.“

Die Proofpoint-Forscher meldeten Folgendes:

• E-Mails waren der häufigste Angriffsvektor. Die Akteure nutzten Kampagnen im kleinen und großen Maßstab, um Mitarbeiter in allen beruflichen Ebenen und Aufgabenbereichen ins Visier zu nehmen.

• Das Markenimage großer Unternehmen wurde mit verdächtigen, registrierten Domänen angegriffen. Diese überflügelten die defensiv von Marken registrierte Domänen mit einem Verhältnis von 20 zu eins bei Weitem.

• Millionen Benutzer sind Malvertising-Kampagnen ausgesetzt, die gefälschte Browser- und Plug-In-Updates mit gefährlicher Software und Exploit-Kits verteilen.

• Cyberkriminelle nutzen die Verlockungen illegaler Inhalte für ihre Social-Media-basierten Angriffe aus. Etwa 35 Prozent dieser Betrugsversuche lockten die Benutzer mit Video-Streaming und Film-Downloads.

Angesichts dieser Bedrohungslage wollten wir mehr über den Wissensstand der Endbenutzer sowie über die potenziellen Schwachstellen in den Unternehmen erfahren, die keine dezidierten Schulungsprogramme zur Steigerung des Sicherheitsbewusstseins implementiert haben – also keine Tools nutzen, um festzustellen, welche Mitarbeiter sich aktiv an Schulungen beteiligen und im Laufe der Zeit erfahrener werden.

Um diese Verbindung ziehen zu können, gaben wir eine Drittanbieterumfrage unter arbeitstätigen Erwachsenen auf der ganzen Welt in Auftrag. Die Teilnehmer waren Arbeitnehmer, die in weltweit tätigen Unternehmen aller Größen angestellt sind: Technologienutzer, die nicht immer solide Kenntnisse über empfohlene Cybersicherheits-maßnahmen haben.

Wir stellten den 7.000 Endbenutzern in sieben Ländern (USA, Großbritannien, Frankreich, Deutschland, Italien, Österreich und Japan) fünf relativ einfache Multiple-Choice-Fragen, die sich auf grundlegende Cybersicherheitskonzepte konzentrierten. Darunter befinden sich wichtige Themen wie Phishing und Ransomware, aber auch weniger häufige Angriffe wie SMiShing (Phishing per SMS- bzw. Textnachrichten) und Vishing (Phishing per Sprachnachrichten).

Wir stellten fest, dass die wenigsten Endbenutzer mit häufig verwendeten IT-Sicherheits-konzepten vertraut sind. Hinzu kommt ein weiterer, noch schwerwiegenderer Faktor: Viele Benutzer gehen davon aus, dass versehentliche Schadsoftware-Downloads automatisch vom IT-Sicherheitsteam entdeckt und behoben werden. Die fehlende Klarheit in Bezug auf die Rolle der IT-Abteilung bei der Angriffsprävention könnte Benutzern ein falsches Sicherheitsgefühl vermitteln und die IT-Sicherheitsteams unnötig belasten.

DAS AUSMASS DES ENDBENUTZERRISIKOS ABSCHNITT 1

ABSCHNITT 1: DAS AUSMASS DES ENDBENUTZERRISIKOS

BERICHT: DER FAKTOR MENSCHErfahren Sie mehr darüber, wie Cyberkriminelle die menschliche

Natur ausnutzen, indem sie den Menschen statt der Technologie angreifen.

BERICHT HERUNTERLADEN

http://www.proofpoint.com/de/human-factor-2018







Fünf FragenWenn es um die Kommunikation der IT-Sicherheitsteams mit Endbenutzern geht, kann ein grundlegendes Missverständnis zu Problemen führen: Wenn die Benutzer die Terminologie nicht sofort verstehen, verlieren sie häufig das Interesse und glauben, dass die Informationen sie nicht betreffen würden. Wenn Mitarbeiter nicht verstehen, was Sie von ihnen wollen, werden sie ihre Cybersicherheitsmaßnahmen nicht verbessern.

Im Folgenden stellen wir die weltweiten Durchschnittswerte für jede Frage sowie den Ländervergleich vor. Gerade multinationale Unternehmen sollten besonderes Augenmerk auf die Stärken und Schwächen in den jeweiligen Regionen legen, da sie mithilfe dieser Informationen die Tests und Schulungen in ihren jeweiligen Niederlassungen entsprechend optimieren können.

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

JapanAustralienItalienDeutschlandFrankreichGroßbritannienUSA

Was ist Phishing?Weltweite Durchschnittswerte

FALSCH

WEISS NICHT

RICHTIG

66 % 17 % 17 %

65 %

72 %

17 %

11 %

65 %

18 %

17 %

64 %

19 %

17 %

70 %

12 % 18

%

15 % 21

%

17 %

62 %64

%

21 %

22 %

13 %

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %


Was ist Ransomware?

FALSCH

WEISS NICHT

RICHTIGWeltweite Durchschnittswerte

45 % 22 % 33 %

56 %

24 %

20 %

60 %

22 %

18 %

40 %

23 %

37 %

31 %

21 %

48 %

36 %

25 %

39 %

58 %

19 % 23

%

36 %

20 %

44 %

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %


Was ist SMiShing?

FALSCH

WEISS NICHT

RICHTIG

23 % 22 % 55 %

Weltweite Durchschnittswerte

17 %

30 %

53 %

18 %

29 %

53 %

39 %

11 %

50 %

26 %

19 %

55 %

28 %

22 %

50 %

17 % 24

%59

%

15 % 18

%

67 %







0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

Was ist Vishing?Weltweite Durchschnittswerte

FALSCH

WEISS NICHT

RICHTIG


18 % 19 % 63 %

20 %

21 %

59 %

18 %

20 %

62 %

15 % 19

%

66 %

13 %

25 %

62 %

24 %

22 %

54 %

20 %

14 %

66 %

12 % 16

%

72 %

0 %

10 %

20 %

30 %

40 %

50 %

60 %

Wahr oder falsch?Wenn Sie versehentlich einen Virus oder eine schädliche Software auf Ihrem Computer installieren, wird Ihr IT-Team von den Überwachungstools informiert, sodass das Problem behoben werden kann.

FALSCH

WEISS NICHT

WAHRWeltweite Durchschnittswerte

32 % 34 % 34 %


35 %

37 %

28 %

25 %

43 %

32 %

35 %

28 %

37 %

32 % 37

%

31 %

30 % 35

%

35 %

31 %

40 %

29 %

37 %

19 %

44 %







Jahresvergleiche Im vergangenen Jahr befragten wir lediglich 3.000 Technologienutzer in drei Ländern: USA, Großbritannien und Deutschland. Der Jahresvergleich zwischen den Teilnehmern aus diesen Ländern zeigt einige positive Ausblicke: In den USA und Großbritannien stieg das Wissen über Ransomware erheblich (wobei es in Deutschland gleich blieb) und das durchschnittliche Wissen über SMiShing verbessert sich in allen drei Ländern. Beim Thema Phishing treten jedoch Unterschiede zutage: In den USA waren Verbesserungen zu sehen, Großbritannien blieb gleich, während bei deutschen Technologienutzern eine erhebliche Verschlechterung zu verzeichnen war.

75 %50 %25 %0 %

Was ist Phishing? Anteil der richtigen Antworten

2018

2017

2018

2017

2018

2017

75 %50 %25 %0 %

2017

2018

2018

2017

2018

2017

Was ist Ransomware?Anteil der richtigen Antworten

Deutschland

Großbritannien

USA

Deutschland

Großbritannien

USA65 %

61 %

73 %

72 %

64 %

71 %

56 %

46 %

55 %

60 %

31 %

31 %

5.2 % EXECUTIVE

20 %RICHTIG

16 %RICHTIG

2018 2017

Was ist SMiShing?Durchschnitt in den USA, Großbritannien und Deutschland

EMPFEHLUNG: SPRECHEN SIE EINE GEMEINSAME SPRACHE – UND SPRECHEN

SIE SIE HÄUFIGIT-Sicherheitsteams sollten sich bemühen, den Mitarbeitern grundlegende Kenntnisse zu vermitteln. Häufig in bestimmten Kreisen verwendete Terminologie ist nicht unbedingt in allen Tätigkeitsbereichen bekannt – selbst wenn diese Begriffe eine große Bedeutung für die allgemeine Sicherheit haben.

Unternehmen müssen auch berücksichtigen, dass das Wissen der Mitarbeiter keine Konstante ist. Das gilt ganz besonders für neue Kompetenzen. Der Grund: Weiterbildung ist keine einmalige Sache und in Cybersicherheitsschulungen vermittelte, neue Konzepte müssen im Laufe der Zeit regelmäßig aufgefrischt werden, damit Bewusstsein zu Verständnis und schließlich zu Verhaltensänderung führt.






Die Millennials-Frage: Sind „Digital Natives“ im Internet sicherer? Viel wurde über die Generation der Millennials und ihre Auswirkungen auf die weltweiten Arbeitsmärkte geschrieben. Obwohl sich ein großer Teil der Diskussionen auf die philosophischen Unterschiede zu den früheren Arbeitnehmergenerationen bezieht, sollten auch die technologischen Auswirkungen dieser stark gerätenutzenden und datengenerierenden Bevölkerungsgruppe auf Arbeitgebernetzwerke und -systeme berücksichtigt werden.

Diese so genannten „Digital Natives“ sind insgesamt deutlich technologiefreundlicher als vorhergehende Generationen. Sie sind mit intelligenten Geräten und Apps aufgewachsen, sodass Technologie in ihren Augen keine Bedrohung darstellt. Leider zeigt sich jedoch, dass Kompetenz im Umgang mit vernetzten Geräten nicht immer mit Cybersicherheitskompetenz einhergeht.


18–21 Jahre

Über 54 Jahre

22–37 Jahre 38–53 Jahre

Was ist Phishing?

FALSCH

WEISS NICHT

RICHTIG

47 %

28 %

25 %

73 %

14 %

13 %

58 %

20 %

22 %68 %

16 %

16 %

Was ist Ransomware?

40 %34 %

26 %

52 %

30 %

18 %

40 %35 %

25 %

45 %33 %

22 %

18–21 Jahre

Über 54 Jahre


FALSCH

WEISS NICHT

RICHTIG

Wie die Diagramme zeigen, schneiden Millennials bei allen Fragen erheblich schlechter ab als mindestens eine Altersgruppe und Baby Boomer – die wahrscheinlich am wenigsten cyberkompetente Bevölkerungsgruppe in unserer Umfrage – überflügelt alle anderen Gruppen beim grundlegenden Verständnis von Phishing und Ransomware.

Hinweis: Laut Pew Research sind Millennials 22 bis 37 Jahre alt, während Baby Boomer im Jahr 2018 mindestens 54 Jahre alt sind.







What Is Smishing?

18–21 Jahre

Über 54 Jahre


FALSCH

WEISS NICHT

RICHTIG

33 %37 %

30 %

21 %

61 %18 %

25 %

49 %

26 %

22 %

57 %

21 %

Was ist Vishing?

18–21 Jahre

Über 54 Jahre


FALSCH

WEISS NICHT

RICHTIG

27 %

47 %

26 %

15 %

69 % 16 %

21 %

56 %23 %

16 %

64 % 20 %

Anmerkungen zu den Alterslücken• Baby Boomer und Mitglieder der Generation X (Alter 38–53 Jahre) wissen

erheblich besser über Phishing und Ransomware Bescheid, was unserer Meinung nach das Ergebnis der längeren Beschäftigung mit entsprechenden Cybersicherheitsschulungen ist.

• Millennials und noch jüngere Menschen kennen sich am besten mit den zwei relativ aktuellen Bedrohungsvektoren SMiShing und Vishing aus – obwohl weniger als ein Drittel jeder Gruppe richtig antwortete, was keineswegs beeindruckt.

• Die Schlussfolgerung aus diesen Erkenntnissen: Unternehmen sollten nicht davon ausgehen, dass sich jüngere Mitarbeiter besser mit vernetzten Geräten auskennen und daher automatisch ein besseres Verständnis von Cybersicherheitsbedrohungen beziehungsweise empfohlenen Vorgehensweisen haben. Schulungen zur Steigerung des Sicherheitsbewusstseins sind daher eindeutig für alle Altersgruppen notwendig.






Im Vergleich zu den Umfrageteilnehmern aus dem EMEA-Raum erlebten jene aus dem APAC-Raum fünfmal so häufig mehr als 26 SMiShing und Vishing-Angriffe pro Quartal.

DER ALLTAG VON IT‑SICHERHEITS EXPERTEN ABSCHNITT 2


Jedes Jahr befragen wir unsere umfangreiche Datenbank von IT-Sicherheitsexperten – sowohl Kunden als auch Nicht-Kunden – dazu, wie ihre Erfahrungen sind, welche Auswirkungen Phishing- und andere Social-Engineering-Angriffe auf ihre Unternehmen haben und mit welchen Tools sie die Risiken durch ihre Endbenutzer eindämmen. In diesem Jahr erhielten wir auf unsere vierteljährlichen Umfragen fast 15.000 Antworten von Sicherheitsexperten auf der ganzen Welt. Für jede Fragengruppe finden Sie weltweite Durchschnittswerte mit wichtigen Informationen für drei der weltweit wichtigsten Wirtschaftsregionen: Nordamerika, EMEA und APAC.

Wie oft verzeichnen Unternehmen Social-Engineering-Angriffe? Sämtliche IT-Sicherheitsexperten meldeten im Jahr 2018 mehr Social-Engineering-Angriffe. Der überwiegende Teil (96 %) gab an, dass die Rate der Phishing-Angriffe im Verlauf des Jahres zunahm oder konstant blieb. Gleichzeitig stieg der Anteil der Umfrageteilnehmer im Jahr 2018 im Vergleich zum Vorjahr. Die größten Zuwachsraten waren bei Phishing und Spearphishing zu verzeichnen, aber letztendlich traten alle Angriffstypen häufiger auf als noch 2017.

erlebten im Jahr 2018 Vishing (Voice-Phishing) bzw. SMiShing (SMS-/Textnachrichten-Phishing).

gaben an, dass sie Social-Engineering-Angriffe mit infizierten USB-Laufwerken erlebt hatten.

der Umfrageteilnehmer gaben an, dass sie im Jahr 2018 Phishing-Angriffe erlebt hatten.

49 % 4 %83 %Eine Steigerung

gegenüber den 45 % von 2017

Eine Steigerung gegenüber den 3 %

von 2017

Eine Steigerung gegenüber den 76 %

von 2017

der IT-Sicherheitsexperten erlebtenim Jahr 2018 Spearphishing.

der IT-Sicherheitsexperten aus dem APAC-Raum gaben an, dass Phishing-Angriffe im Jahr 2018 zunahmen, während der Anteil in Nordamerika bei 50 % und im EMEA-Raum bei nur 33 % lag.

64 %Eine Steigerung

gegenüber den 53 % von 2017

58 %

1–5

6–15

16–25

Über 26

80 %60 %40 %20 %0 %

Social Engineering jenseits von E-MailsVon den 49 % der Umfrageteilnehmer, die bereits Vishing oder SMiShing erhalten haben, hatten 50 % nur Vishing-Angriffe, 12 % nur SMiShing-Angriffe und 38 % beide Angriffsformen erhalten. Zudem erfolgten diese Angriffe regelmäßig. Unten sehen Sie die Anzahl der Angriffe, die diese Unternehmen durchschnittlich pro Quartal verzeichneten.

66 %

19 %

7 %

8 %






HÄUFIGKEIT DER SPEARPHISHING-ANGRIFFE PRO QUARTALIn 2018 erlebten nicht nur zunehmend mehr IT-Sicherheitsexperten Angriffe via Spearphishing, sondern auch die Gesamthäufigkeit der Angriffe wuchs an. Unten vergleichen wir die durchschnittlichen Zahlen der Angriffe pro Quartal für die Jahre 2017 und 2018.

Welche Auswirkungen hat Phishing auf Unternehmen? Da Angreifer auf unterschiedliche Phishing-Techniken setzen und verschiedene Ziele verfolgen, verzeichnen Unternehmen entsprechend unterschiedliche Auswirkungen von Phishing-Angriffen. Unten vergleichen wir Antworten auf die Frage zu den Auswirkungen von Phishing-Angriffen aus den letzten drei Jahren unserer Umfrage.

Wie Sie sehen können, nahm Anmeldedaten-Kompromittierung seit 2017 um mehr als 70 Prozent zu und überflügelte im Jahr 2018 Malware-Infektionen als häufigste Auswirkung. Das ist insbesondere deshalb von Bedeutung, weil häufig mehrere Dienste mit demselben Kennwort geschützt sind. Hinzu kommt, dass die Zahl der Berichte über Datenverluste auf das Dreifache des Jahres 2016 stieg. Wir glauben, dass die erheblichen Zunahmen in allen drei Kategorien seit 2016 nicht nur auf die wachsende Phishing-Bedrohung hinweisen, sondern auch ein Zeichen für das wachsende Bewusstsein – und die Wachsamkeit – von Unternehmen für die Auswirkungen dieser Angriffe auf das Geschäft sind.


0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

DatenverlustMalware-InfektionenKompromittierte Konten

Festgestellte Phishing-Auswirkungen*

* Mehrere Antworten zulässig

2017

2016

2018

19 %

63 % 18 %65 %

38 %

17 %

49 % 49 %

27 % 24 %

13 %7 %

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

1–5 6–15 16–25 Über 26

2017

2018

Anzahl der Spearphishing-Angriffe pro Quartal

59 %

67 %

27 %21 %

4 % 4 % 10 % 8 %

Regional betrachtet gaben Umfrageteilnehmer in Nordamerika am häufigsten (67 Prozent) an, dass sie im Jahr 2018 Spearphishing-Angriffe erlebt hatten; gleichzeitig war hier jedoch die Wahrscheinlichkeit für die höchste Angriffsrate pro Quartal am geringsten. Befragte im APAC-Raum gaben etwa zweimal so oft wie ihre Kollegen in Nordamerika an, dass sie mehr als 26 Spearphishing-Angriffe pro Quartal erlebten.

Umfrageteilnehmer aus dem APAC-Raum hatten am häufigsten mit Kontenkompromittierung und Datenverlusten zu tun, während Befragte aus dem EMEA-Raum am häufigsten Malware-Infektionen erlebten.






57 %

80 %

Wir befragten die IT-Sicherheitsexperten in unserer Datenbank außerdem, wie sie die Kosten von Phishing in ihren Unternehmen ermitteln. Im Vergleich zum Vorjahr ergab sich ein positiver Trend: 80 Prozent der Umfrageteilnehmer sagten 2018, dass sie ihre Phishing-bezogenen Kosten erfassen, während es 2017 lediglich 77 Prozent waren.

Was tun Unternehmen, um der Phishing-Bedrohung Herr zu werden?Naturgemäß nutzen IT-Sicherheitsteams eine Vielzahl von Tools – einschließlich E-Mail-/Spam-Filter, URL-Veränderung, hochentwickelte Malware-Analysen und Plattformen zur Bedrohungsüberwachung – für ihre tiefengestaffelten Schutzarchitekturen. Doch sie wechseln auch zu einem Modell mit den Menschen im Mittelpunkt, indem sie proaktiv die Anfälligkeit für Phishing aufdecken, das Endbenutzerrisiko ermitteln und regelmäßige Schulungen zur Steigerung des Sicherheitsbewusstseins veranstalten. Wir erlebten in den letzten vier Jahren eine viel größere Konzentration auf Auswertungen und Business Intelligence. Erfreulicherweise erklärten die meisten IT-Sicherheitsexperten, dass sich ihre Bemühungen auszahlen.

Wir boten den Teilnehmern auch die Möglichkeit, andere Auswirkungen von Phishing zu nennen, die sie 2018 erlebt hatten. Obwohl uns einige Antworten neugierig machten (beispielsweise konnte ein Umfrageteilnehmer nicht sagen, was er erlebt hatte, obwohl er die Auswirkung als „signifikant“ bezeichnete), gab es praktisch keine Überraschungen. Die häufigsten separat aufgeführten Antworten über Phishing-Auswirkungen umfassten:

• Finanzielle Verluste, einschließlich betrügerischer Banküberweisungen, Rechtskosten und Geldstrafen

• Compliance-Probleme• Größere Belastungen der IT-Teams• Schäden für die Reputation der IT-Sicherheitsteams • Investitionen in neue Technologien, einschließlich Mehrfaktor-Authentifizierung (MFA)• Verärgerte Kunden und Mitarbeiter nach einer Datenschutzverletzung

der Unternehmen ermitteln ihre Anfälligkeit für Phishing-Angriffe.

31 % mehr als 2014, als wir diese Frage zum ersten Mal stellten

der Teilnehmer gaben an, dass sie ihre Endbenutzer zur Erkennung und Vermeidung von Phishing-Angriffen schulen.

95 %

Die bei den Teilnehmern bevorzugten Tools zur Steigerung des Sicherheitsbewusstseins sind in erster Linie computerbasierte Online-Schulungen (83 %) und simulierte Phishing-Angriffe (75 %).

der Unternehmen ermitteln das Risiko, das einzelne Endbenutzer für die gesamte Sicherheitslage bedeuten.65 %

Die Umfrageteilnehmer ermitteln das Risiko am häufigsten über Ergebnisse bei Schulungen zur Steigerung des Sicherheitsbewusstseins (75 %), Tests des Geschäftsrisikos (72 %), technische Richtlinienverstöße (45 %) sowie administrative Richtlinienverstöße (42 %).

der IT-Sicherheitsexperten gaben an, dass sie den Rückgang bei der Anfälligkeit für Phishing-Angriffe, der sich auf

Schulungen zurückführen lässt, quantifizieren konnten.

Eine Steigerung um 6 % gegenüber 2017


Produktivitätsverlust der Mitarbeiter

Rufschädigung

Nicht zutreffend

Geschäftliche Folgen durch den Verlust proprietärer Informationen

0 % 20 % 40 % 60 % 80 %

Wie berechnen IT-Sicherheitsteams die Kosten von Phishing-Angriffen?*

* Mehrere Antworten zulässig

67 %

54 %

50 %

20 %






Mittelweg zwischen Qualität und QuantitätWir thematisieren schon lange den Bedarf nach regelmäßigen Cybersicherheits-schulungen, da einmal im Jahr stattfindende Programme einfach nicht das Wissen festigen oder das Endbenutzerverhalten ändern können. Viele Aufsichtsräte stimmen dem ebenfalls zu, weshalb wir uns freuen, dass der Großteil der Umfrageteilnehmer auf monatliche oder vierteljährliche Schulungen setzt (obwohl wir uns wünschen, dass deutlich weniger als 22 % bei jährlichen Schulungen bleiben würden).

Doch mehr ist nicht zwingend besser. Es ist wichtig, einen Mittelweg zwischen Qualität und Quantität zu finden und sich darüber Gedanken zu machen, wie das Programm strukturiert werden soll. Wiederholung und Festigung sind wichtige Komponenten des Lernens, doch die Überflutung der Benutzer mit zu vielen Informationen kann zu Irritationen, Verärgerung und letztlich zu Schulungsmüdigkeit führen. Und letztlich sogar dazu, dass Cybersicherheitsschulungen von den Mitarbeitern als Zeitverschwendung betrachtet werden.

3 %

34 %

22 %

41 %

Alle zwei Wochen

Einmal im Monat

Einmal im Quartal

Einmal im Jahr

Tools zur Steigerung des Sicherheitsbewusstseins: Häufigkeit der Nutzung


Die Situation bei Ransomware Dies ist das erste Mal, dass wir unsere Datenbank von IT-Sicherheitsexperten zu Ransomware-Angriffen befragt haben – gerade rechtzeitig, um zu bestätigen, was wir bereits gehört haben: Im Vergleich zu anderen Angriffstypen verzeichnet Ransomware im Jahr 2018 einen Rückgang.

Mit weitem Abstand vor allen anderen gaben Umfrageteil nehmer aus dem EMEA-Raum (21 %) am häufigsten an, dass sie im Jahr 2018 einen Ransomware-Angriff erlebt haben.

der weltweiten Umfrageteilnehmer gaben an, dass sie im Jahr 2018 einen Ransomware-Angriff erlebt haben.10 %

Unternehmen aus dem APAC-Raum setzen am häufigsten auf

jährliche Schulungen sowie auf Schulungsmethoden, bei denen

die Benutzer weniger Gelegenheiten für „Learning by Doing“

haben (z. B. Cybersicherheitsvideos und Präsenzschulungen).

Daher überrascht es nicht, dass diese Umfrageteilnehmer am

seltensten einen Rückgang bei der Phishing-Anfälligkeit ihrer

Endbenutzer feststellen.






Das ist unsere Meinung über Konsequenzmodelle: Diese Entscheidung sollte nicht leichtfertig getroffen werden – und sie sollte in einen kooperativen Prozess eingebunden sein, der Geschäftsführung, Personalabteilung und Rechtsabteilung einbezieht (wobei die letzteren beiden bei eventuellen Entlassungen beziehungsweise Geldstrafen das Sagen haben sollten). Zudem raten wir dringend dazu, Möglichkeiten zur Ermittlung der Effektivität zu finden, damit gewährleistet ist, dass die Konsequenzen für falsches Cybersicherheitsverhalten – die bei Endbenutzern auf Ablehnung stoßen können – das gewünschte positive Ergebnis liefern.

Nicht sicher, wir haben das nicht ausgewertet.

54 % ?

Ja, die Konsequenzen haben einen Unterschied gemacht.

39 % Nein, sie haben keinen Unterschied gemacht.

7 %


SIND DIE KONSEQUENZEN EFFEKTIV?In diesem Jahr stellten wir bei IT-Sicherheitsexperten, die ein Konsequenzmodell einsetzen, eine Anschlussfrage: Machen die Strafen einen Unterschied?

Konsequenzmodelle: Zuckerbrot und PeitscheDie Debatte um Zuckerbrot und Peitsche wird in den letzten Jahren mit größerer Heftigkeit geführt, und Unternehmen nutzen jede Gelegenheit, Endbenutzern die Bedeutung von Cybersicherheit bewusst zu machen. Auf beiden Seiten gibt es leidenschaftliche Unterstützer: Einige glauben an die positive Festigung der Lerninhalte, während andere die Androhung von Strafen für den besten Weg halten.

Daher fragten wir unsere Kontakte unter den IT-Sicherheitsexperten zuerst nach den Konsequenzmodellen aus dem letztjährigen State of the Phish-Bericht. Die Antworten in diesem Jahr zeigen einen allgemeinen Rückgang bei negativen Festigungsansätzen sowie einen stärkeren Verzicht auf Geldstrafen für Wiederholungstäter.

76 % 74 %

66 %

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

FinanzielleStrafen

KündigungEntfernung desZugriffs auf Systeme

Beratung durchden Manager

WeitereSchulungen**

* Mehrere Antworten zulässig ** Antwort erst 2018 möglich

Arten der Konsequenzen, die von Unternehmen durchgesetzt werden*

2017

2018

n. z.

19 %

76 % 74 %

66 %

26 % 25 %

12 % 11 %2 %

5 %

42 %

der Umfrageteilnehmer gaben an, dass es Konsequenzen hat, wenn Benutzer bei simulierten Phishing-Angriffen weiterhin klicken. Eine Steigerung um 7 % im Jahresvergleich






SCHULUNGEN ZUR STEIGERUNG DES SICHERHEITS BEWUSSTSEINS: ERGEBNISSE UND CHANCEN

ABSCHNITT 3



Unsere Kunden sendeten von Oktober 2017 bis September 2018 dutzende Millionen simulierte Phishing-E-Mails über unsere Plattform für Sicherheitsschulungen. Mit den über dieses SaaS-basierte LMS erfassten Daten erhalten wir wertvolle Erkenntnisse zu den von den Unternehmen eingesetzten Schulungstaktiken. Daraus lassen sich die Fortschritte im Sicherheitsbewusstsein ableiten - sowohl auf allgemeiner Ebene als auch bei der Betrachtung je Branche.

Bei der Betrachtung der Statistikdaten und Analysen sollten Sie berücksichtigen, wie die Endbenutzer in diesen Umgebungen (die aktiv an Phishing-Tests und Schulungen teilnehmen) im Vergleich zu den von uns befragten 7.000 Durchschnittsarbeitstätigen wahrscheinlich abschneiden würden. Überlegen Sie, wie ein stärker auf den Menschen ausgerichteter Cybersicherheitsansatz das Verhalten ändern, eine Kultur der Sicherheit aufbauen und eine stärkere letzte Verteidigungslinie gegen Phishing-Angriffe in Ihrem Unternehmen ermöglichen kann.

EMPFEHLUNG: VERSTÄRKEN SIE DEN FOKUS AUF KOMPROMITTIERUNG

VON ANMELDEDATENLaut Untersuchungen von Proofpoint hat sich die Zahl der Vorfälle mit Anmeldedaten-Phishing vom 2. zum 3. Quartal 2018 vervierfacht – in Anbetracht der schwerwiegenden Folgen erfolgreicher Anmeldedaten-Kompromittierungen ein gefährlicher Trend.1

Bei den Dateneintragskampagnen lag die durchschnittliche Klickrate unserer Kunden tendenziell oberhalb der durchschnittlichen Fehlerquote von 9 Prozent, obwohl nur etwa 5 Prozent der getesteten Benutzer letztlich Anmeldedaten oder andere angefragte Informationen übermittelten. Dennoch ist zu beachten, dass jede Kompromittierung von Anmeldedaten Cyberkriminellen Tür und Tor zu wertvollen Informationen öffnet. In Anbetracht dieser gefährlichen Kombination aus Gelegenheiten und Schwachstellen empfehlen wir, bei Schulungen häufiger Dateneintrag-basierte Phishing-Kampagnen zu verwenden, um die Anfälligkeit der Benutzer für diese Angriffsart zu testen.

Bevorzugte Arten der Phishing-VorlagenWir stellten im Erfassungszeitraum bei allen Arten von simulierten Phishing-Angriffen und in allen Branchen eine durchschnittliche Fehlerquote von 9 Prozent fest. Dieser Wert blieb seit 2017 konstant, was ein guter Hinweis darauf ist, dass die Endbenutzer die erlernten Kenntnisse weiterhin anwenden und in Bezug auf die verschiedenen Phishing-Fallen aufmerksam bleiben.

In unserer Plattform können Administratoren aus Link-basierten, Anhang-basierten und Dateneintrag-basierten Vorlagen wählen, wobei die Empfänger bei letzteren immer um die Zusendung von Anmeldedaten oder anderen vertraulichen Informationen gebeten werden. Die in 69 Prozent der Kampagnen verwendeten, Link-basierten Vorlagen waren mit Abstand die Favoriten des Jahres 2018.

durchschnittliche Fehlerquote bei allen Phishing-Kampagnen und in allen Branchen. Keine Veränderung gegenüber 2017.9 %

5.2 % EXECUTIVE

69 % 17 %

LINK DATENEINTRAG

14 %

ANHANG

Arten der Phishing-Vorlagen: Häufigkeit der Nutzung

der Endbenutzer klickten auf Links, die sie zu Dateneintragsformularen führten.

11 % versendeten tatsächlich die im Phishing-Test angefragten Daten.

4 %

1 Proofpoint: Menschen schützen: Eine Quartalsanalyse personalisierter Cyberangriffe, Herbst 2018.








Die Verwendungshäufigkeit dieser vier Vorlagenthemen blieb im Vergleich zum Vorjahr relativ konstant (obgleich Vorlagen mit unternehmensbezogenen Themen wieder die Spitzenposition gegenüber den verbraucherbezogenen Themen erreichten). Abgesehen von einigen geringen Abweichungen im Jahresvergleich blieben auch die Fehlerquoten relativ konstant. Die gute Nachricht dabei ist: Die meisten Fortschritte unserer Kunden setzen sich seit 2016 kontinuierlich fort.

Bevorzugte Themen bei Phishing-VorlagenAdministratoren können in unserer ThreatSim®-Bibliothek für Phishing-Simulationen aus mehreren hundert verschiedenen Vorlagen wählen und diese anpassen. In den vergangenen Jahren fielen jedoch fast alle Phishing-Kampagnen unserer Kunden in eine der folgenden vier Hauptkategorien: unternehmensbezogen, verbraucherbezogen, kommerziell und Cloud-bezogen.

EMPFEHLUNG: SETZEN SIE HÄUFIGER KAMPAGNEN MIT KOMMERZIELLEN

UND CLOUD-BEZOGENEN THEMEN EINFakt: Die Fluktuationen der Fehlerquoten sind nicht unbedingt ein schlechtes Zeichen. Sie sollten Ihre Endbenutzer immer wieder einmal vor neue Herausforderungen stellen, wenn sich zeigt, dass sie „einfachere“ simulierte Phishing-Angriffe zuverlässiger erkennen und vermeiden. Diese neuen Herausforderungen führen wahrscheinlich zu höheren Fehlerquoten – zumindest in der ersten Zeit nach der Einführung schwierigerer Phishing-Tests.

Es ist auch sehr hilfreich, für die Endbenutzertests eine Vielzahl von Arten und Themen der Vorlagen zu verwenden. Cyberkriminelle sind flexibel und die Bedrohungslandschaft entwickelt sich stetig weiter. Tatsächlich haben Proofpoint-Forscher kürzlich festgestellt, dass Angreifer im 3. Quartal 2018 andere Positionen in Unternehmen angriffen als noch im 2. Quartal.2

Benutzer sehen im Alltag wahrscheinlich verschiedenste Phishing-E-Mails. Unternehmen sollten ihre Mitarbeiter daher regelmäßig testen, idealerweise einmal im Monat. Angreifer verwenden häufig Köder mit kommerziellen oder Cloud-bezogenen Themen, um arglose Benutzer in die Falle zu locken. Daher ist es beunruhigend, dass so viele Unternehmen vor diesen Themen zurückscheuen. Das gilt ganz besonders in Anbetracht der starken und branchenübergreifenden Zunahme der BEC-Angriffe (Business Email Compromise).

E-Mails aus dieser Kategorie wirken wie offizielle Unternehmenskommunikation. Dabei kann es sich um Benachrichtigungen über volle Postfächer, Spam-Quarantäne, Unternehmens-Bonusprogramme, Rechnungen sowie vertrauliche Personaldokumente handeln.

UNTERNEHMENS‑BEZOGENE

E‑MAILS

Bei diesen geschäftsbezogenen E-Mails kann es sich um Nachrichten über den Download von Dokumenten aus Cloud-Speicherdiensten oder Anleitungen zum Aufrufen eines Online-Dateifreigabedienstes zum Erstellen oder Bearbeiten eines Dokuments handeln.

CLOUD‑BEZOGENE

E‑MAILS

Diese geschäftsbezogenen E-Mails beziehen sich nicht auf ein konkretes Unternehmen. Es kann sich beispielsweise um Versandbestätigungen, Rechnungszahlungen sowie Überweisungsanfragen handeln.

KOMMERZIELLE E‑MAILS

Diese E-Mails imitieren Nachrichten, die die Menschen regelmäßig erhalten. Beispiele sind E-Mails zu Vielfliegerkonten, Bonusmeilen, Fotomarkierungen, gesperrten Konten, Fachmärkten, sozialen Netzwerken, Benachrichtigungen zu Geschenkkarten und vieles mehr.

VERBRAUCHER‑BEZOGENE

E‑MAILS

0 %

10 %

20 %

30 %

40 %

50 %

Cloud-bezogen

KommerziellUnternehmens-bezogen

Verbraucher-bezogen

Themen der Phishing-Vorlagen: Häufigkeit der Nutzung, 2018

45 % 44 %

8 %3 %

0 %

5 %

10 %

15 %

20 %

Cloud-bezogenKommerziellUnternehmens-bezogen

Verbraucher-bezogen

2018

20172016

Themen der Phishing-Vorlagen: Durchschnittliche Durchfallraten

11 % 10 % 10 %8 % 9 %

15 %

11 % 12 %

15 %

8 %6 %

19 %

2 Proofpoint: Menschen schützen: Eine Quartalsanalyse personalisierter Cyberangriffe, Herbst 2018.








WELCHE PHISHING-KAMPAGNEN SIND AM „ERFOLGREICHSTEN“? Es ist allgemein bekannt, dass einige Phishing-Tests schwieriger sind als andere. Nach-folgend sind einige der Betreffzeilen von Kampagnen mit mindestens 1.500 Empfängern aufgeführt, die bei Endbenutzern die höchsten Fehlerquoten erzielten:

Vergleich der Fehlerquoten zwischen Branchen und AbteilungenBRANCHENDATENKunden und Nichtkunden stellen sich die gleiche Frage: Wie schneidet unser Unternehmen im Vergleich zu anderen Branchenvertretern ab? In diesem Abschnitt finden Sie Daten zu 16 verschiedenen Branchen, durchschnittliche Fehlerquoten bei allen simulierten Angriffen sowie die Fehlerquoten der drei verschiedenen Kampagnenarten (Link-, Anhang- und Dateneintrag-basiert) und der vier Kampagnenthemen (unternehmensbezogen, verbraucherbezogen, kommerziell und Cloud-bezogen).3

Wenn Sie die Höhen und Tiefen der jeweiligen Kategorien genauer betrachten, sollten Sie bedenken, dass Unternehmen vor allen mit Link-basierten Vorlagen testeten, die unternehmens- oder verbraucherbezogene Themen widerspiegeln. Da viele der höchsten Fehlerquoten von weniger genutzten Kategorien stammen, sollten Unternehmen ihre simulierten Phishing-Kampagnen stärker variieren (sofern sie dies noch nicht bereits tun).

Fertigungsindustrie

Einzelhandel

Regierungseinrichtungen

Technologie

Telekommunikation

Professional Services

Transportwesen

Rüstungsindustrie

Gesundheitswesen

Energieversorgung

Versicherung

Finanzen

Gastgewerbe

0 % 5 % 10 % 15 % 20 %

Bildungswesen

Konsumgüter

Unterhaltung

Durchschnittliche Fehlerquoten nach Branche

16 %

11 %

11 %

11 %

11 %

11 %

11 %

10 %

10 %

10 %

9 %

8 %

8 %

8 %

7 %

6 %

3 Diese 16 Branchen sind für die Mehrheit unserer Kunden repräsentativ, aber nicht für alle. Einige Unternehmen sehen sich selbst als Vertreter weniger verbreiteter Branchen.

• Benachrichtigung über Mautverstoß• [EXTERN]: Ihr nicht beanspruchtes Vermögen• Aktualisierter Fluchtwegplan (erzielte bereits

2017 sehr hohe Fehlerquoten)• Offene Rechnung• Februar 2018: Aktualisiertes Organigramm• Bitte unbedingt beachten (Nachricht mit Bitte

um E-Mail-Kennwortänderung)








Fehlerquoten nach Art der Vorlage

Link Anhang Dateneingabe*

Konsumgüter 10 % 3 %Klickrate: 14 %

Weitergaberate: 4 %

Rüstungsindustrie 13 % 2 %Klickrate: 8 %

Weitergaberate: 4 %

Bildungswesen 13 % 4 %Klickrate: 10 %

Weitergaberate: 4 %

Energieversorgung 9 % 7 %Klickrate: 10 %

Weitergaberate: 3 %

Unterhaltung 14 % 45 %Klickrate: 6 %

Weitergaberate: 2 %

Finanzsektor 9 % 1 %Klickrate: 9 %

Weitergaberate: 3 %

Regierungseinrichtungen 10 % 6 %Klickrate: 10 %

Weitergaberate: 3 %

Gesundheitswesen 8 % 1 %Klickrate: 13 %

Weitergaberate: 6 %

Gastgewerbe 9 % 1 %Klickrate: 11 %

Weitergaberate: 3 %

Versicherungen 9 % 1 %Klickrate: 10 %

Weitergaberate: 3 %

Fertigungsindustrie 11 % 6 %Klickrate: 11 %

Weitergaberate: 4 %

Dienstleistungen 9 % 14 %Klickrate: 16 %

Weitergaberate: 4 %

Einzelhandel 12 % 6 %Klickrate: 11 %

Weitergaberate: 3 %

Technologie 10 % 1 %Klickrate: 15 %

Weitergaberate: 5 %

Telekommunikation 11 % 6 %Klickrate: 11 %

Weitergaberate: 3 %

Transportwesen 9 % <1 %Klickrate: 13 %

Weitergaberate: 5 %

Fehlerquoten nach Thema der Vorlage

Unter-nehmens-bezogen

Verbraucher-bezogen

Kommerziell Cloud-bezogen

Konsumgüter 13 % 10 % 8 % 3 %

Rüstungsindustrie 10 % 30 % n. z.* n. z.

Bildungswesen 12 % 9 % 19 % 11 %

Energieversorgung 13 % 6 % 15 % 7 %

Unterhaltung 10 % 10 % 32 % 10 %

Finanzsektor 9 % 6 % 9 % 5 %

Regierungseinrichtungen 11 % 10 % 11 % 11 %

Gesundheitswesen 10 % 7 % 12 % 8 %

Gastgewerbe 8 % 6 % 3 % n. z.

Versicherungen 8 % 8 % 10 % 5 %

Fertigungsindustrie 11 % 10 % 13 % 9 %

Dienstleistungen 12 % 10 % 9 % 7 %

Einzelhandel 13 % 9 % 13 % 4 %

Technologie 15 % 7 % 9 % 4 %

Telekommunikation 9 % 13 % 9 % 10 %

Transportwesen 10 % 4 % 16 % 6 %* Bei Kampagnen mit Dateneingabe gibt die Klickrate den Anteil der Benutzer an, die auf den Link

im Phishing-Test geklickt haben, während die Weitergaberate den Anteil der Benutzer angibt, die tatsächlich die angeforderten Daten weitergegeben haben.

* „n. z.“ bedeutet, dass die Kunden in dieser Branche keine Kampagnen dieses Typs versendet haben.








ABTEILUNGSDATENIn diesem Jahr untersuchten wir die Fehlerquoten nach Abteilung, indem wir die von unseren Kunden am häufigsten verwendeten Abteilungsklassifizierungen isoliert haben.4 Alle Fehlerquoten basieren auf mindestens 2.500 versendeten E-Mails (wobei einige Abteilungen mehr als 100.000 E-Mails erhielten).

Es ist beunruhigend, dass die Mitarbeiter in einigen der Abteilungen mit den höchsten Fehlerquoten wahrscheinlich Zugriff auf besonders vertrauliche Unternehmens- und Kundendaten haben oder für viele entscheidende geschäftliche Aktivitäten innerhalb des Unternehmens verantwortlich sind. Die Komplexität wird noch deutlicher, wenn man die Raten diese durchschnittlichen Fehlerquoten mit den am häufigsten angegriffenen Abteilungen vergleicht, die Proofpoint im Bericht Menschen schützen vom Herbst 2018 erläutert hat.

EMPFEHLUNG: VERSCHAFFEN SIE SICH EINEN ÜBERBLICK ÜBER

DIE POSITIONENWenn Sie diese verschiedenen Daten untersuchen (und berücksichtigen, dass jedes Unternehmen anders ist), wird deutlich, dass IT-Sicherheitsteams davon profitieren, wenn sie wenn sie wissen welche Mitarbeiter/Abteilungen in ihrem Unternehmen angegriffen werden und wie Cyberkriminelle die jeweiligen Positionen angreifen. Wenn Unternehmen ihre „Besonders häufig angegriffenen Personen“ (Very Attacked People, VAPs) kennen, können sie bestimmte Abteilungen und Personen testen, potenzielle Schwachstellen isolieren und gezielte Aufgaben für Schulungen zur Steigerung des Sicherheitsbewusstseins zur Verfügung stellen, um die Kompetenzen dieser VAPs zu verbessern und die Risiken zu minimieren. (Weitere Informationen dazu, wie sich die VAPs in den einzelnen Branchen unterscheiden, finden Sie auf der

nächsten Seite.)

Produktion/Geschäftsabläufe

Verwaltung

Forschung/Entwicklung/Technik

Buchhaltung/Finanzen

Vertrieb

Marketing/PR

Administrator/Assistenz

Personalabteilung

Beschaffung/Einkauf

Instandhaltung/Interner Support

Kundendienst

Rechtsabteilung

Distribution

0 % 5 % 10 % 15 % 20 % 25 %

Gezielt angegriffene Abteilungen

Quelle: Proofpoint: Menschen schützen: Eine Quartalsanalyse personalisierter Cyberangriffe, Herbst 2018.

Vertrieb

Sicherheit

Marketing

Akquise

Führungsebene

Wartung

Buchhaltung

Rechtsabteilung

Betriebliche Abläufe

Treasury

Steuerabteilung

Informationstechnologie

Instandhaltung

0 % 5 % 10 % 15 % 20 %

Kommunikation

Einkauf

Kaufmännische Abteilung

Finanzabteilung

Personalabteilung

Entwicklung

Compliance

Geschäftsentwicklung

Kundendienst

Interne Audits

Durchschnittliche Fehlerquoten nach Abteilung

19 %

14 %

13 %

13 %

12 %

12 %

11 %

11 %

11 %

11 %

11 %

10 %

10 %

10 %

9 %

9 %

9 %

9 %

8 %

8 %

7 %

7 %

7 %

4 Diese Zahlen spiegeln nur einen Teil unseres gesamten Datensatzes wieder, da nicht alle Programm-administratoren ihre Endbenutzer nach Abteilung gruppieren und viele Unternehmen für die verschiedenen Abteilungen eigene Terminologie verwenden.








IDENTIFIZIERUNG GEFÄHRDETER MENSCHLICHER ZIELE (UND MINIMIERUNG DES RISIKOPOTENZIALS)Wie bereits auf Seite 19 erläutert, greifen Cyberkriminelle innerhalb verschiedener Unternehmen und Branchen Personen mit unterschiedlichen Positionen und Aufgaben-bereichen an, sodass sich die VAPs je nach Unternehmen und Branche unterscheiden.

Die beiden Beispieldiagramme für VAPs basieren auf anonymisierten Daten der proprietären Datenanalysetechnologie von Proofpoint, mit der hochentwickelte E-Mail-Bedrohungen erkannt, beseitigt und blockiert werden können. Die Diagramme stellen die 20 über einen Zeitraum von drei Monaten am häufigsten angegriffenen Posteingänge in einem Krankenhaus und einem Fertigungsunternehmen dar. Die Abweichungen zwischen diesen beiden Unternehmen zeigen deutlich, wie gut vorbereitet, flexibel und beharrlich die Angreifer sind.

Dabei ist die große Anzahl der von den Angreifern regelmäßig attackierten E-Mail-Aliasen und die wechselnden Positionen hervorzuheben. Auch Drittunternehmen (mit Zugang zu den Systemen und Daten) gelangen häufig in die Liste der VAPs.

EMPFEHLUNG: FINDEN SIE HERAUS, WER IHRE VAPS SINDDank Proofpoint-Bedrohungsanalysen können Unternehmen die Posteingänge identifizieren, die die meisten Angriffe von außen erhalten, und feststellen, mit welchen Methoden Cyberkriminelle die Schutzvorrichtungen attackieren. IT-Sicherheitsteams können erkennen, welche Personen und Orte sich im Fadenkreuz der Angreifer befinden und wie viele Angriffe erfolgreich verlaufen. Dadurch erhalten sie die einmalige Chance, nicht mehr nur bloße Annahmen über Schwachstellen treffen zu müssen. Stattdessen können sie sich auf die Bereiche konzentrieren, bei denen die Gefahr erfolgreicher Angriffe am größten ist.

Für viele Unternehmen sind solche VAP-Diagramme ein Augenöffner. Gleichzeitig vereinfachen sie die Ressourcenzuweisung, da die IT-Sicherheitsteams mit diesen Informationen den richtigen Personen zum richtigen Zeitpunkt schnell die richtige Schulung zuweisen können, damit Wissenslücken geschlossen werden und das Risiko einer Kompromittierung verringert wird.

Krankenpfleger

Allgemeiner Posteingang „Kommunikation“

Reha-Klinik-Mitarbeiter

Vizepräsident für Strategie und Innovation

Leitender Finanzanalyst

Leitender Direktor für globale Partnerschaften

Leiter für Kommunikation

Klinikschwester

Verantwortlicher für Aufnahme in der zugehörigen medizinischen Fakultät

CEO der externen Personalagentur für Pflegepersonal

Präsident und CEO

Gehaltssystem-Analyst

Leiter der Abteilung für Schulungen und Entwicklung

Regionaldirektor

Pflegefachfrau mit Spezialgebiet

Allgemeiner Posteingang „Personalwesen“

Finanzanalyst

Pflegefachfrau mit Spezialgebiet

Mitarbeiter im Hauptbüro

Einstellungsleiter

0 2.0001.000 3.000 4.000 5.000 6.000 7.000

Diagramm zu VAPs am Beispiel Gesundheitswesen

Malware Anmeldedaten-Phishing Keylogger Anmeldedaten-Phishing gegen Unternehmen RAT

Downloader Anmeldedaten-Phishing gegen Verbraucher Bank-Trojaner Dieb Ransomware

Allgemeiner Posteingang „Information“

Allgemeiner Posteingang „Vertrieb“ eines externen Distributors

Zweigstellenleiter einer Unternehmensabteilung

CFO

Posteingang „Vertrieb“ des regionalen Servicezentrums

Regionaler Posteingang „Vertrieb“ einer Unternehmensabteilung




Vertriebsinnendienstmitarbeiter einer Unternehmensabteilung

Mitglied der Unternehmensführung

Manager für Spezialprodukte

Allgemeiner Posteingang „Vertrieb“

Vertriebsmitarbeiter einer Unternehmensabteilung

Leiter einer Niederlassung

Regionaler Posteingang „Vertriebsabwicklung“


Regionaler Kreditbearbeiter

Vertriebsinnendienstmitarbeiter einer Unternehmensabteilung

Unternehmensposteingang „Regionaler Vertrieb“

0 2.0001.000 3.000 4.000 5.000 6.000 7.000

Diagramm zu VAPs am Beispiel Fertigungsindustrie

Malware Anmeldedaten-Phishing Keylogger Anmeldedaten-Phishing gegen Unternehmen

RATAnmeldedaten-Phishing gegen Verbraucher Downloader Dieb

Anmeldedaten-Phishing mit unbekanntem UrsprungBank-Trojaner

* Hinweis: Jede gezielt angegriffene Entität verwendet eine individuelle E-Mail-Adresse. Das Unternehmen ist in mehreren Ländern und Regionen tätig.

Hinweis: Angreifer sendeten verschiedenste E-Mails mit schädlichen Inhalten an diesen allgemeinen Posteingang – in der Hoffnung, die Empfänger zu überraschen.

Hinweis: Ransomware-Angriffe wurden ausschließlich an den Posteingang der Personalabteilung gesendet, die mit größerer Wahrscheinlichkeit legitime Anhänge erhält.








Personalisierte Phishing-TestsWie bereits in diesem Bericht erwähnt, können unsere Kunden flexibel verschiedene Kampagnenarten, Themen und Nachrichten in ihren simulierten Phishing-Angriffen verwenden. Zudem lassen sich die Textfelder in diesen Tests personalisieren, d. h. Vor- und Nachnamen hinzufügen sowie die E-Mail-Adresse des Empfängers innerhalb des Textteils erneut anzeigen.

Wir haben festgestellt, dass alle Formen der Personalisierung zu höheren Fehlerquoten führten als den durchschnittlich 9 %. Das erneute Anzeigen der E-Mail-Adressen innerhalb der Phishing-Tests schien die Glaubwürdigkeit ganz besonders zu steigern und dadurch die Wahrscheinlichkeit von Interaktionen durch die Endbenutzer zu erhöhen.

Einfluss des Programmreifegrades auf die FehlerquoteUnsere Daten zeigen den hervorragenden Trend, dass Unternehmen auf langfristigere Kampagnen zur Stärkung des Sicherheitsbewusstseins setzen: Die durchschnittlichen Fehlerquoten sinken mit größerer Programmdauer kontinuierlich, wobei die größten Fortschritte dann erzielt werden, wenn die Programme mindestens ein Jahr lang laufen. Ein weiterer Vorteil: Je länger das Programm läuft, desto weniger wirkt sich die Personalisierung auf die Fehlerquote aus (obwohl die Auswirkungen bei weniger ausgereiften Programmen groß sind).

Fehlerquoten nach Thema der Vorlage

Durch-schnittliche Fehlerquote

Angepasster Vorname

Angepasster Nachname

Erneut angezeigte

E-Mail-Adresse

<6 Monate 12 % 12 % 15 % 15 %

6–12 Monate 11 % 12 % 15 % 16 %

12–24 Monate 9 % 9 % 12 % 13 %

>24 Monate 8 % 9 % 9 % 9 %

EMPFEHLUNG: BELASSEN SIE ES NICHT BEI E-MAILS E-Mails sind weiterhin der einfachste und häufigste Angriffsvektor, aber Social-Engineering-Taktiken werden auch abseits von E-Mails eingesetzt, um Daten abzugreifen oder Ihr Unternehmen zu infiltrieren. Cyberkriminelle verwenden häufig Pretexting-, Vishing- und SMiShing-Angriffe, um Ihre Schutzmaßnahmen zu überwinden.

SMiShing sollte besondere Sorgen bereiten, da intelligente Geräte im großen Umfang eingesetzt werden und zunehmend BYOD-Richtlinien zum Einsatz kommen. In unserem Bericht zu Benutzerrisiken 2018 stellten wir fest, dass mehr als 90 % der 6.000 befragten arbeitstätigen Erwachsenen ein Smartphone besitzen und 39 % diese Geräte sowohl für berufliche als auch für private Aktivitäten nutzen.

Simulierte SMiShing-Kampagnen werden von unseren Kunden nicht häufig eingesetzt – die Zahlen liegen bei Zehntausenden, was sehr wenig ist verglichen mit den Dutzenden Millionen versendeten E-Mail-Phishing-Tests. Doch die durchschnittlichen Fehlerquoten dieser Wissenstests sind mit denen für Phishing vergleichbar: In unserem Erfassungszeitraum klickten 7 % der Benutzer auf Links, die sie per Textnachricht erhalten hatten.

Da die Zahl der Vishing- und SMiShing-Angriffe steigt (und viele Unternehmen pro Quartal mit mehr als 25 Angriffen dieser Art zu tun haben), sollten Sie prüfen, wie anfällig Ihr Unternehmen für diese Bedrohungen ist und wie Sie Ihre Benutzer zur Ihre Benutzer darin schulen, diese Gefahren zu erkennen und zu vermeiden.

EMPFEHLUNG: BEHALTEN SIE DIE FREQUENZ BEI, SELBST WENN DIE

PROGRAMME AUSREIFENWir stellten bei unserer Analyse der Reifegraddaten einen Problembereich fest: Sobald Programme zwei Jahre laufen, neigen Unternehmen dazu, weniger Phishing-Tests zu versenden. Die Intensität der Aktivitäten geht recht stark zurück, wenn die Programme mehr als 24 Monate als sind - verglichen mit Programmen, die 12 bis 24 Monate alt sind (die die höchste Kampagnenfrequenz haben).

Diejenigen, die die Zahl der Phishing-Tests reduzieren, wenn die Programme ausgereifter sind, verzeichnen wahrscheinlich gleichbleibende oder fallende Fehlerquoten. Die Bedrohungssituation verändert sich jedoch kontinuierlich und jede Woche (wenn nicht gar jeden Tag) gibt es neue Betrugstaktiken auf. Statt also beim Erreichen einer „akzeptablen“ Fehlerquote die Bemühungen zurückzufahren, sollten Sie die Endbenutzer mit weiteren, noch schwierigeren Tests herausfordern, damit sie wachsam bleiben und mitdenken. Berücksichtigen Sie dabei neue Bedrohungen und arbeiten Sie diese in Ihre Kampagnen ein – ganz gleich, wie lange Sie Ihre Endbenutzer bereits testen.

Angepasster Vorname10 %

Angepasster Nachname11 %

Erneut angezeigte E-Mail-Adresse13 %

DURCHSCHNITTLICHE FEHLERQUOTEN BEI PERSONALISIERTEN FELDERN








Ein Blick auf die E-Mail-Meldungen der EndbenutzerWir glauben fest daran, dass E-Mail-Meldungen Ihrer Endbenutzer zu den besten Kennzahlen für die Effektivität der Schulungen zur Steigerung des Sicherheitsbewusstseins gehören. Eine Zunahme der Meldungen weist darauf hin, dass die Mitarbeiter aufmerksamer sind und die erhaltenen E-Mails genauer ansehen. Durch die Meldungen erhalten Unternehmen zudem die Möglichkeit, von der gesteigerten Aufmerksamkeit zu profitieren und schädliche Nachrichten, die den Peripherieschutz überwinden konnten, schnell zu erkennen und zu beseitigen.

verdächtige E-Mails.5,5 Millionen

Eine Steigerung um 180 % im Vorjahresvergleich

Endbenutzer meldeten im Erfassungszeitraum fast

der von Endbenutzern gemeldeten E-Mails wurden als potenzielle Phishing-

Nachrichten klassifiziert.

59 %

EMPFEHLUNG: VEREINFACHEN SIE MELDUNGEN UND BEHEBUNGENUm die Vorteile der gesteigerten Aufmerksamkeit für Phishing nutzen zu können, sollten Unternehmen ihren Endbenutzern das Melden verdächtiger Nachrichten und die Reaktion der verantwortlichen Teams vereinfachen.

Ein E-Mail-Client-Add-in (z. B. unsere PhishAlarm®-Schaltfläche) gibt Benutzern eine schnelle, einfache Möglichkeit zum Weiterleiten von Nachrichten an die entsprechenden Posteingänge (mit intakten Headern). Zudem filtern automatisierte Analysen der gemeldeten Nachrichten (z. B. Analysen durch PhishAlarm Analyzer) in der Whitelist gelistete E-Mail-Adressen, Systembenachrichtigungen und simulierte Phishing-Angriffe, damit sich IT-Sicherheitsteams auf die E-Mails konzentrieren können, bei denen es sich mit großer Wahrscheinlichkeit um Phishing-Versuche handelt.

Um die Abläufe noch weiter zu optimieren, empfehlen wir die Implementierung einer Lösung wie CLEAR. Closed-Loop Email Analysis and Response integriert E-Mail-Meldungen und -Behebungen und verkürzt so den Zeitraum bis zur Neutralisierung einer aktiven Bedrohung verkürzt von Tagen auf Minuten. Sobald gemeldete Nachrichten mithilfe mehrerer Intelligence- und Reputationssysteme analysiert wurden, können schädliche E-Mails mit einem einzigen Mausklick gelöscht oder isoliert werden.

Fazit: Fokus auf die Kämpfe und den KriegSie kennen wahrscheinlich den Spruch: „Sie haben die Schlacht gewonnen, aber den Krieg verloren.“ Unternehmen müssen jedoch jeden Tag Schlachten gewinnen, damit sie eine Chance bekommen, den Krieg gegen Cyberkriminalität zu gewinnen.

Ob Sie es wollen oder nicht: Endbenutzer spielen bei diesen Schlachten eine wichtige Rolle. Wenn Phishing-Angriffe Ihren Netzwerk-Peripherie-Schutz überwinden, sind Menschen Ihre letzte Verteidigungslinie. Endbenutzer sollten nicht sollten gewappnet sein, wenn sie vor wichtigen Entscheidungen stehen: Soll ich diesen Link anklicken … diesen Anhang herunterladen … auf diese Bitte um vertrauliche Informationen reagieren? Diese Momente sind entscheidend.

Schulungen zur Steigerung des Sicherheitsbewusstseins bieten eine Gelegenheit für Unternehmen, in diesen Momenten präsent zu sein. Effektive Schulungen und erlernte Kompetenzen können zur „Stimme im Hinterkopf“ Ihrer Endbenutzer werden und sie zu den richtigen Entscheidungen führen.

0119-001SATproofpoint.com/security-awarenessSecurity Awareness Training

INFORMATIONEN ZU PROOFPOINTProofpoint, Inc. (NASDAQ: PFPT) ist ein Cybersicherheitsunternehmen der nächsten Generation, das Unternehmen dabei unterstützt, die Arbeitsabläufe ihrer Mitarbeiter vor hochentwickelten

Bedrohungen und Compliance-Risiken zu schützen. Dank Proofpoint können Cybersicherheitsexperten ihre Benutzer vor raffinierten und zielgerichteten Angriffen (per E-Mail, Mobilgeräte-

Apps und Social Media) schützen, wichtige Informationen absichern und ihre Sicherheitsteams mit den notwendigen Bedrohungsdaten sowie Tools ausstatten, um bei Zwischenfällen

schnell zu reagieren. Führende Unternehmen aller Größen, darunter mehr als 50 Prozent der Fortune 100, nutzen Proofpoint-Lösungen. Diese wurden für moderne IT-Umgebungen

mit Mobilgeräten und Social Media konzipiert und nutzen die Möglichkeiten der Cloud sowie eine Big-Data-Analyseplattform zur Abwehr aktueller raffinierter Bedrohungen.

© Proofpoint, Inc. Proofpoint ist eine Marke von Proofpoint, Inc. in den USA und anderen Ländern. Alle weiteren hier genannten Marken sind Eigentum ihrer jeweiligen Besitzer.

https://www.proofpoint.com/security-awareness

https://www.proofpoint.com/de/products/phishing-simulation-security-awareness

Date post:	30-Jul-2020
Category:	Documents
Upload:	others
View:	1 times
Download:	0 times

State of The Phish™-Bericht 2019 · 2019-08-02 · Unser fünfter, jährlich erscheinender State...

Documents