Phishing-Angriffe: Wie gut sind deutsche Unternehmen auf sie vorbereitet? Eine Studie aus Mitarbeitersicht

Phishing-Angriffe können Unternehmen viel Geld kosten, sie rechtlich haftbar machen und rufschädigend wirken. Ob ein Angriff Erfolg hat oder nicht, hängt dabei zum Teil von den Mitarbeitern ab. In dieser Studie untersuchen wir die Erfahrung und das Verhalten von Angestellten bezüglich Phishing-Angriffen am Arbeitsplatz.

Phishing ist einer der häufigsten Cyberangriffe unserer Zeit. Jeden Tag (Artikel in Englisch) werden weltweit rund 3,4 Milliarden Phishing-E-Mails versandt und stellen so eine allgegenwärtige Bedrohung für Unternehmen dar. Neben E-Mail-Phishing, der am weitverbreitetsten Form dieser Art von Betrug, sind Hacker innovativ und lassen sich immer wieder neue Maschen einfallen, um Zielpersonen zu ködern und dazu zu bringen, sensible Informationen preiszugeben. Und obwohl das Bewusstsein für Phishing-Angriffe kontinuierlich zunehmen mag, bereiten längst nicht alle Firmen ihre Angestellten auf potenzielle Angriffe vor und unterschätzen damit deren enormes Schadenspotenzial. 

Für diese neue Studie befragte GetApp insgesamt 441 Personen, davon 351 Arbeitnehmer und 90 Führungskräfte. In diesem ersten von zwei Teilen untersuchen wir nur die Ergebnisse der Angestellten (351), die Erfahrungen und das Verhalten der Arbeitnehmer in Bezug auf Phishing-Angriffe am Arbeitsplatz. Unter anderem geht es dabei um die Inhalte von Phishing-Attacken, das Niveau der unternehmensinternen Schulungen zum Thema und weitere Unternehmensrichtlinien für das IT-Management. Für diesen ersten Studienteil haben wir nur Angestellte befragt, die angaben, mindestens einen Phishing-Angriff erlebt zu haben. Die vollständige Methodik findest du am Ende.

44 % der befragten Angestellten haben schon mehr als einmal einen Phishing-Angriff am Arbeitsplatz erlebt

Wer kennt sie nicht, die E-Mail des nigerianischen Prinzen, der einen Teil seines Vermögens mit dir teilen will und für den Transfer eine Bankverbindung benötigt. Ein weiteres, etwas weniger bekanntes Beispiel, ist dieses: Du empfängst eine E-Mail von einer dir bekannten Person, zum Beispiel dem Geschäftsführer, Personalleiter oder Mitarbeiter der IT-Abteilung des Unternehmens, in dem du arbeitest. In der Nachricht wirst du dringend aufgefordert, Mitarbeiterdaten zu aktualisieren oder eine neue App auf deinem Computer zu installieren.

Beide Beispiele haben eines gemeinsam: Sie sind sogenannte Phishing-Angriffe und stammen von Cyberkriminellen. Interessanterweise ist den meisten (79 %) Befragten der Name und das Konzept bereits bekannt, dagegen kennen 21 % zwar den Ansatz, aber nicht den Begriff. 

Was genau bedeutet „Phishing” also? 

Phishing ist eine häufige Art von Cyberangriffen, die mithilfe von E-Mails, Textnachrichten, Anrufen und anderen Kommunikationsformen auf Einzelpersonen abzielen, indem sie sich in der Regel als Absender ausgeben, die dem Empfänger bekannt sind (z. B. Paketlieferungen, öffentliche Einrichtungen usw.). Phishing-Angriffe versuchen, Personen auf betrügerische Weise zu bestimmten Handlungen zu verleiten, etwa dazu, ihre Kontoinformationen, Anmeldedaten oder andere sensible Informationen anzugeben. Oft richten sich Phishing-Angriffe gegen Unternehmen und nutzen die Angestellten als Einfallstor.

So hat die Mehrheit (56 %) bisher einmal einen Phishing-Angriff am Arbeitsplatz erlebt, und 44 % gaben an, sogar mehr als einmal mit Phishing-Angriffen konfrontiert worden zu sein.

90 % der befragten Angestellten erhalten Phishing-Angriffe per E-Mail

Phishing-Angriff ist nicht gleich Phishing-Angriff. Grundsätzlich muss zwischen verschiedenen Arten von Phishing-Angriffen unterschieden werden. Einige Beispiele für häufig benutzte Phishing-Arten sind:

• E-Mail-Phishing: Ein Betrüger schickt eine E-Mail mit einem Link oder Anhang mit dem Zweck, den Empfänger neugierig zu machen, zu verunsichern oder zu beunruhigen.  
• Spear-Phishing: Ein Hacker recherchiert gezielt zu einer bestimmten Person oder Unternehmen und sendet ihr, bzw. dem Unternehmen dann eine individuell zugeschnittene E-Mail.
• Vishing: Beim Vishing oder auch „Voice Phishing“ handelt es sich um einen Betrugsversuch über das Festnetz- oder Mobiltelefon. Der Angreifer gibt sich als Mitarbeiter einer Behörde aus und versucht, das Opfer zur Herausgabe vertraulicher Daten wie der Sozialversicherungsnummer zu bewegen.
• Smishing: Beim Smishing erfolgt ein Phishing-Versuch per SMS oder Textnachricht. Der Cyberkriminelle fordert die Zielperson z.B. über SMS auf, einen Link anzuklicken, der Schadsoftware (Gartner-Definition von Schadsoftware in Englisch) enthält. 

Die bei weitem am häufigsten von Kriminellen genutzte Methode ist das E-Mail-Phishing: 90 % der teilnehmenden Angestellten gaben an, den Phishing-Angriff per E-Mail erhalten zu haben. Darauf folgen Vishing, also Phishing per Telefonanruf, und Smishing (Phishing-Attacke per SMS). 

Dabei berichten 33 % der Befragten, dass sich der Angreifer bei dem Phishing-Angriff, den sie am Arbeitsplatz erlebt hatten, als Unternehmen ausgab, und 28 % derselben Teilnehmergruppe sagten, dass es beim Angriff um eine vermeintliche Paketlieferung ging.

Software-Tipps für Unternehmen: 

• Bei der oben erwähnten hohen Rate an Phishing-Angriffen per E-Mail kann es sich auszahlen, eineE-Mail-Sicherheitssoftware zu verwenden. Sie kann vor Bedrohungen wie Phishing-Attacken und Datenlecks schützen und beinhaltet in vielen Fällen Funktionen für die Datenverschlüsselung, URL- und Anhangschutz sowie erweiterte Tools zur Bedrohungsminderung. 
• Mit Anti-Spam-Software soll die Zustellung von Spam-Mails oder bösartigen E-Mails verhindert, bzw. eingeschränkt werden. Anti-Spam-Programme filtern und verschieben diese Nachrichten in den Spam-Ordner, aus dem sie sicher gelöscht werden können.

Fast alle an der Umfrage beteiligten Arbeitnehmer (insgesamt 97 %) sind zudem der Meinung, dass Phishing-Angriffe in den letzten drei Jahren zugenommen haben. Die größte Gruppe (37 %) schätzt einen Anstieg zwischen 10 und 20 %, und 14 % denken sogar, dass diese Art von Cyberkriminalität um mehr als 40 % gestiegen ist. Diese Wahrnehmung verdeutlicht das Ausmaß der Bedrohung, die Phishing-Angriffe für Unternehmen darstellen, und dass sie von Sicherheitsmaßnahmen wie Mitarbeiterschulungen oder spezialisierter Software, Prävention und Notfallplänen im Falle einer erfolgreichen Phishing-Attacke profitieren können. 

Im Folgenden sehen wir uns an, wie Mitarbeiter in der Vergangenheit auf einen Phishing-Angriff reagierten und welche Folgen dies für ihr Unternehmen hatte.

59 % der befragten Arbeitnehmer meldeten die Phishing-Angriffe, mit denen sie konfrontiert waren

Die Mehrheit der befragten Mitarbeiter (60 %) gab an, die Phishing-Attacke an die zuständigen Stellen, z. B. die IT-Abteilung, weiterzuleiten, bzw. sie zu ignorieren oder zu löschen (41 %).

Einen Phishing-Angriff zu erkennen, ist nicht immer einfach, denn die Methoden dürften mit der Zeit immer ausgefeilter und schwierig durchschaubar werden. Allerdings gibt es einige zuverlässige Anhaltspunkte, die darauf hinweisen, dass es sich um einen Betrugsversuch handelt, und auf die Unternehmen ihre Mitarbeiter hinweisen und so Phishing-Attacken vermeiden können:

• Phishing-E-Mails oder -SMS enthalten oft eine generische Ansprache, Grammatik-, Tippfehler oder andere Fehler, die einem Muttersprachler nicht unterlaufen würden. Außerdem sind Drohungen und Fristen, wie etwa „Überweisen Sie bis Freitag 100 €, sonst müssen wir Ihr Konto sperren” häufig Teil einer Phishing-E-Mail. Diese sind einige der auffälligsten verdächtigen Merkmale von Phishing-Nachrichten.
• Die Absenderadresse kann ebenfalls Aufschluss darüber geben, ob es sich um einen Betrugsversuch handelt, denn bekannte Namen sind in Phishing-E-Mails oft falsch geschrieben.
• Bevor man auf Links oder Anhänge in E-Mails klickt, sollte man sich den Inhalt genau durchlesen und überlegen, ob er Sinn macht: Warte ich wirklich auf ein Paket von dieser Website? Würde ein Freund, der angeblich in Schwierigkeiten steckt und Geld braucht, mich wirklich per E-Mail kontaktieren?

Datenleck im Unternehmen als größter Schaden bei einem erfolgreichen Phishing-Angriff

Erfolgreiche Phishing-Angriffe können zu Identitätsdiebstahl, Kreditkartenbetrug, Datenschutzverletzungen oder Ransomware-Attacken führen. Letztere wurden laut unserer Ransomware-Studie in 2022 von 76 % der an der Umfrage teilnehmenden Unternehmen als eher bis sehr kritisch für die Integrität ihres Businesses eingeschätzt. 

Wir fragten die beiden oben erwähnten Gruppen (die 5 %, die schon einmal auf einen Link in einer Phishing-Nachricht geklickt haben, und die 3 %, die unternehmens-, bzw. arbeitsbezogenen Informationen weitergegeben haben), die auf einen Phishing-Versuch hereingefallen waren, wie sich der erfolgreiche Angriff auf ihr Unternehmen ausgewirkt hat. 54 % erklärten, dass es als Konsequenz ein Datenleck im Unternehmen gab. 

Die Schulung der Mitarbeiter in der Erkennung von und im Umgang mit Phishing-Angriffen gehört zu den Maßnahmen, die Unternehmen ergreifen können, um Verluste durch Phishing-Angriffe zu verhindern. Im Folgenden werden auch einige Software-Tools vorgestellt, mit denen Unternehmen die Folgen eines erfolgreichen Phishing-Angriffs minimieren können.

Software-Tipps für Unternehmen: 

Sollte der Fall eintreten, dass alle bestehenden Sicherheitsprotokolle versagt haben und ein Phishing-Angriff Erfolg hatte, können diese Softwarelösungen helfen, das Schlimmste zu verhindern und die Geschäftskontinuität wieder herzustellen: 

• Backup-Software: Wurde mithilfe eines Phishing-Versuchs eine Schadsoftware wie Ransomware eingeschleust, sind Backups die letzte Verteidigungslinie zwischen dem Hacker und der Handlungsfähigkeit des Unternehmens. Sobald die Originaldateien verschlüsselt und unzugänglich sind, macht sich ein Unternehmen eher erpressbar, als wenn es auf Backups zurückgreifen kann. Regelmäßige Backups können verhindern, dass eine Organisation sich angreifbar macht.
• Disaster Recovery: Mit Notfallwiederherstellungssoftware können Unternehmen die Geschäftskontinuität sicherstellen und bei unvorhergesehenen Ereignissen auf Datensicherungen und Wiederherstellungsprozesse zurückgreifen.
• Business Continuity Management Software (BCM): Diese Programme helfen Unternehmen dabei, Bedrohungen zu erkennen und die Wiederherstellung von Informationsressourcen zu planen. Sie schützen wichtige Organisationsdaten im Falle eines Ausfalls und helfen bei der Wiederherstellung der Systemfunktion und des Datenzugriffs.

31 % der Passwort-Updates erfolgen wegen persönlicher Initiative der befragten Mitarbeiter 

Arbeitgeber sollten neben der Schulung von Mitarbeitern in der Erkennung von Phishing-Angriffen ein weiteres Netz für die IT-Sicherheit spannen, etwa mit einer überlegten Passwortverwaltung. 

Die meisten befragten Angestellten (insgesamt 90 %) berichten, regelmäßig und wenigstens einmal im Jahr ihre arbeitsbezogenen Passwörter zu ändern. Die größte Gruppe (38 %) gab an, ihre Passwörter seltener als einmal pro Monat, aber öfter als alle sechs Monate zu aktualisieren. Demgegenüber updaten 7 % ihre Passwörter weniger als einmal im Jahr, und 4 % nie. 

Von denjenigen Mitarbeitern, die ihre Passwörter regelmäßig, aber wenigstens einmal im Jahr aktualisieren, tut dies überraschenderweise nur knapp die Hälfte (49 %) aufgrund von Unternehmensrichtlinien. Ein signifikanter Teil der Passwortänderungen lässt sich nämlich nicht auf die Initiative des Unternehmens zurückführen, sondern auf den Antrieb des Mitarbeiters: 31 % derselben Gruppe von Befragten gaben als Grund an, dass es ihnen persönlich wichtig ist. Das heißt, dass mehr als ein Drittel der Unternehmen (zählt man die Angestellten mit, die ihr Passwort nie erneuern) augenscheinlich über keinen Leitfaden für diesen grundlegenden Bestandteil der IT-Sicherheit verfügt und sich damit unnötig verletzlich für Hackerangriffe macht.

Software-Tipps für Unternehmen:

• IT-Abteilungen haben in der Regel andere Aufgaben, als die Angestellten ständig daran zu erinnern, ihre Passwörter regelmäßig zu erneuern. Software zur Self-Service-Kennwortzurücksetzung (SSPR) hilft Unternehmen, sicherzustellen, dass Mitarbeiter sich an die Unternehmensrichtlinien für Passwortanforderungen halten.
• Sensible Daten wie Passwörter oder Kontoinformationen sollten außerdem nie über E-Mail oder Telefon geteilt werden. Bei der vertraulichen Verwaltung sowie Weitergabe von Passwörtern helfen Passwort-Manager, in denen Kennwörter in einem digitalen Tresor gesichert, zurückgesetzt, entsperrt und zwischen verschiedenen Geräten und Systemen synchronisiert werden können.

Eine zentrale Maßnahme für die Vermeidung von Verlusten durch Phishing-Angriffe ist das Training der Mitarbeiter in der Erkennung und im Umgang mit Phishing-Angriffen. Ob Arbeitgeber solche Seminare anbieten, was sie beinhalten und wie ihre  Belegschaft berichtet, dass es ihre Sicherheitsbemühungen beeinflusst hat, erfährst du jetzt.

Der Schlüssel zur Phishing-Prävention: Awareness-Schulungen für Mitarbeiter

In Phishing-Schulungen werden die Mitarbeiter darin trainiert, mögliche Phishing-Versuche zu erkennen und zu melden, womit sie sich und das Unternehmen vor Cyberkriminellen, Hackern und anderen bösartigen Akteuren schützen.

Viele erfolgreiche Phishing-Attacken lassen sich auf das Unwissen der Mitarbeiter aufgrund mangelnder oder fehlender Schulung zurückführen. Da ist besorgniserregend, dass ein Drittel (33 %) der Unternehmen nach Aussage ihrer Mitarbeiter keine Schulungen anbietet, die das Bewusstsein der Angestellten zum Thema Phishing-Angriffe stärken.

73 % dieser Gruppe von Befragten würden sich sicherer fühlen, wenn sie lernen würden, Phishing-Angriffe zu erkennen und zu melden, und wünschen sich eine Phishing-Sicherheitsschulung von ihrem Unternehmen. Es ist also eindeutig, dass sowohl die Unsicherheit von Mitarbeitern bezüglich des Erkennens von Phishing-Attacken als auch ihr Bedarf nach Unterweisung durch ihren Arbeitgeber groß ist. 

Dagegen berichten 61 % der Befragten, dass sie Phishing-Schulungen von ihrem Unternehmen erhalten. Davon erklären 49 %, dass das Training mithilfe von Videos durchgeführt wird, die erklären, was Phishing-Angriffe sind und wie man sie vermeiden kann. 

Die Mehrheit (62 %) dieser Teilnehmergruppe gab an, dass die von ihrem Unternehmen durchgeführte Phishing-Sicherheitsschulung geholfen hat, da sie gelernt haben, wie sie Phishing-Versuche erkennen, vermeiden und melden können. Nur 5 % fanden das Training nicht hilfreich, da sie bereits wussten, wie sie Phishing-Versuche erkennen und melden können. 

Software-Tipps für Unternehmen:

• Unternehmen können mehr Bewusstsein für Phishing-Angriffe und andere Methoden von Cyberkriminellen bei ihren Mitarbeitern schaffen, indem sie regelmäßig Sicherheitsschulungen durchführen. Mithilfe von Simulationen und anderen praktischen Übungen können die Angestellten darin unterwiesen werden, sensible Daten zu sichern und auf Cyberbedrohungen wie Phishing, Ransomware, Identitätsdiebstahl und mehr zu reagieren.
• Schulungsplattformen eignen sich ebenfalls für Weiterbildungen und Trainings. Schulungsplattformen lassen sich in der Regel an die Bedürfnisse einzelner Unternehmen anpassen und beinhaltet Funktionen wie Kursanmeldungen und -tests, Zertifizierungsverfolgung, Konferenzen, Kompetenzverfolgung und Berichterstattung.
  Extra-Tipp: Erhöhe die Erfolgsrate deiner Schulungen, indem du Gamifizierungselemente wie Punkte, Abzeichen oder Bestenlisten einbaust. Studien zeigen (Artikel in Englisch), dass Lernende engagierter sind und besser abschneiden, wenn Inhalte spielerisch vermittelt werden.  
  

Phishing-Angriffe: Nächste Schritte

Phishing ist eine weit verbreitete und allgegenwärtige Bedrohung für Unternehmen aller Größen. Was sind die ersten Schritte, die ein Unternehmen gegen Phishing unternehmen kann? Neben der Steigerung des Bewusstseins für das persönliche Online-Verhalten ihrer Mitarbeiter sowie deren gezielter Weiterbildung in Sachen Phishing-Angriffe kann sich Software im digitalen Zeitalter als unerlässlich und als ein großartiger Helfer für Unternehmen jeglicher Größe in der Verteidigung gegen Cyberkriminalität erweisen.

Wie oben veranschaulicht, gibt es eine Fülle von Softwarelösungen für jedes denkbare Detail innerhalb der IT-Sicherheit. Die größte Herausforderung ist nun, die richtige Software für dein Unternehmen zu finden. Dabei hilft dir unsere kostenlose Excel-Vorlage mit Software-Auswahlkriterien weiter.