Kaum ein Unternehmen bleibt von Phishing-Angriffen verschont. Besonders Führungskräfte sind oft Zielpersonen solcher Attacken. Erfahre hier, wie sie damit umgehen und welche Gegenmaßnahmen in ihrem Unternehmen Erfolg gezeigt haben.
In diesem Artikel
- Phishing-Angriffe können folgenschwer ausfallen: Für 23 % der Führungskräfte sind sie ein ernsthafter Grund zur Sorge
- Das Homeoffice als Einfallstor für Phishing-Angriffe
- 56 % der Führungskräfte waren bereits mehrmals Ziel von Phishing-Angriffen
- Phishing-Attacke: Was tun?
- Weitere Maßnahmen zum Schutz vor Phishing-Attacken: Backups, E-Mail-Sicherheit und Co.
- Schutz vor Phishing-Attacken: Die Vorbildfunktion von Führungskräften
Führungskräfte eines Unternehmens erhalten täglich eine Unmenge von E-Mails und anderen Nachrichten und haben gleichzeitig kaum Zeit, sich jeder einzelnen Nachricht ausgiebig zu widmen. Darüber hinaus haben Manager Zugang zu mehr vertraulichen Daten als andere Angestellte. All das macht sie zu idealen Zielpersonen für Phishing-Attacken. Dazu verschärfen Entwicklungen wie Fortschritte im Bereich KI und neue Arbeitsmodelle wie das Homeoffice die Lage zusätzlich und erschweren es Unternehmen, sich an die Änderungen anzupassen und Sicherheitsrisiken zu minimieren.
In unserer neuen Studie widmen wir uns dem Thema Phishing-Attacken näher und bieten Unternehmen zudem praktische Tipps für ihr strategisches IT-Management. Für die Studie wurden insgesamt 441 Personen befragt, davon 351 Arbeitnehmer und 90 Führungskräfte. Im ersten Teil dieser zweiteiligen Serie Teilen untersuchten wir die Ergebnisse der Angestellten (351), die Erfahrungen und das Verhalten der Arbeitnehmer in Bezug auf Phishing-Angriffe am Arbeitsplatz. Dabei fanden wir unter anderem heraus, dass laut der Mitarbeiter 33 % der Unternehmen keine Phishing-Schulungen anbieten, um das Bewusstsein ihrer Angestellten zum Thema Phishing-Angriffe zu stärken.
Im zweiten Teil beschäftigten wir uns mit der Perspektive von Führungskräften zum Thema Phishing und fragten unter anderem, welche Erfahrung sie mit Phishing-Attacken haben, was sie tun, um ihre Mitarbeiter und Unternehmen vor dieser Sicherheitsbedrohung zu schützen ob die Zahl der Phishing-Attacken ihrer Einschätzung nach in den letzten Jahren zugenommen hat, und ob ihr Unternehmen eine Anti-Phishing-Software nutzt. Dafür haben wir Manager befragt, die angaben, mindestens einen Phishing-Angriff erlebt zu haben. Die vollständige Methodik findest du am Ende.
Phishing-Angriffe können folgenschwer ausfallen: Für 23 % der Führungskräfte sind sie ein ernsthafter Grund zur Sorge
Phishing ist eine Art von Cyberangriffen, die mithilfe von E-Mails, Textnachrichten, Anrufen und anderen Kommunikationsformen auf Einzelpersonen abzielen, indem sie sich in der Regel als Absender ausgeben, die dem Empfänger bekannt sind (z. B. Paketlieferungen, öffentliche Einrichtungen usw.). Phishing-Angriffe versuchen, Personen auf betrügerische Weise zu bestimmten Handlungen zu verleiten, etwa dazu, ihre Kontoinformationen, Anmeldedaten oder andere sensible Informationen anzugeben. Oft richten sich Phishing-Angriffe gegen Unternehmen und nutzen die Angestellten als Einfallstor.
Für die Mehrheit der Führungskräfte ist Phishing kein Novum mehr. 81 % erklärten, dass sie den Begriff und das Konzept von bereits kannten, bevor sie unsere Definition gelesen hatten. 19 % kannten zwar das Konzept, aber nicht den Begriff.
Trotz der allgemeinen Bekanntheit von Phishing ist die Führungsebene alarmiert, denn laut 88 % der befragten Manager werden Phishing-Angriffe immer raffinierter und schwerer zu erkennen. Die meisten haben darüber hinaus den Eindruck, dass Phishing sich in den letzten Jahren gehäuft hat: 41 % schätzen die Zunahme von Phishing-Angriffen in den letzten drei Jahren auf zehn bis 20 % ein, und 28 % glauben sogar, dass Phishing um 21 bis 30 % zugenommen hat. Mit dieser Kenntnis ist nachvollziehbar, warum fast ein Viertel (23 %) eingestehen, dass Phishing-Angriffe in ihrem Unternehmen ein ernsthafter Grund zur Sorge sind.
Insbesondere eine Entwicklung der letzten Jahre hat Hackern einen Vorteil verschafft und begünstigt Phishing-Attacken: Das Homeoffice.
Das Homeoffice als Einfallstor für Phishing-Angriffe
Seit der COVID-19-Pandemie hat die Arbeit im Homeoffice spürbar zugenommen: Dem Statistischen Bundesamts zufolge hat sich die Zahl der von zu Hause Arbeitenden im vergangenen Jahr gegenüber 2019 sogar fast verdoppelt, von 12,9 % in 2019 auf 24,2 % in 2022.
Unsere Ergebnisse gehen selbst über diesen Anstieg noch deutlich hinaus. So berichten 75 % der befragten Führungskräfte, aktuell im Homeoffice zu arbeiten, wobei 57 % mit einem hybriden Modell arbeiten, das heißt, einige Tage remote und einige Tage im Büro. 18 % arbeiten dagegen vollständig im Homeoffice.
Gleichzeitig ist die Zahl der Cyberattacken auf Unternehmen im Allgemeinen in den letzten Jahren gestiegen. Das hat offenbar auch mit der Etablierung der Homeoffice-Arbeit zu tun, wie die an der Studie teilnehmenden Manager bestätigen, denn die Arbeit von Zuhause schafft Sicherheitslücken, die das Risiko von erfolgreichen Internetattacken wie Phishing-Angriffen erhöhen. 87 % der Befragten glauben, dass Phishing-Angriffe für Unternehmen immer stärker zu einer ernsthaften Bedrohung werden, seitdem mehr und mehr Unternehmen remote oder hybrid arbeiten.
56 % der Führungskräfte waren bereits mehrmals Ziel von Phishing-Angriffen
Führungskräfte sind einer größeren Gefahr ausgesetzt, Ziel einer Phishing-Attacke zu werden, als andere Angestellte desselben Unternehmens, denn sie haben einen umfassenderen Zugang zu sensiblen Informationen, auf die Hacker es abgesehen haben. Mit dem Anstieg von Cyberangriffen im Allgemeinen ist es nicht überraschend, dass 56 % der Manager in unserer Studie nicht nur einmal, sondern schon mehrfach Erfahrungen mit Phishing-Angriffen gemacht haben.
Deswegen ist es wichtig, gerade das Management eines Unternehmens für die IT-Sicherheit zu sensibilisieren, um Phishing-Angriffe abzuwehren. Teil davon ist, zu wissen, welche Kanäle Cyberkriminelle nutzen und welche Inhalte sie am häufigsten verwenden. So gaben 91 % der befragten Führungskräfte an, den Phishing-Angriff per E-Mail erhalten zu haben, darauf folgten Phishing-Angriffe per SMS (19 %) und an dritter Stelle per Telefonanruf (17 %). Dabei ging es bei den Angriffen am häufigsten um die Betrugsmasche, dass die Angreifer sich als Bank ausgaben (51 %).
Die Mehrheit der Befragten verhielt sich bei Erhalt eines Phishing-Angriffs korrekt: 66 % erkannten, dass es sich um einen Phishing-Angriff handelte, und meldeten ihn den zuständigen Stellen wie der IT-Abteilung oder dem Sicherheitsteam, und 47 % löschten oder ignorierten die Phishing-Nachricht.
Einige Phishing-Attacken waren jedoch erfolgreich, denn 8 % der Manager gaben zu, auf einen Link in der Phishing-Nachricht geklickt zu haben, und 3 % erklärten, dass sie Informationen über ihr Unternehmen oder arbeitsbezogene Informationen weitergegeben haben.
Eine gelungene Phishing-Attacke auf Manager ist besonders gravierend, weil sie einerseits als Führungsperson eine Vorbildfunktion für ihre Mitarbeiter besitzen, auch in Sachen Datenschutz und Datensicherheit. Andererseits verfügen sie über mehr vertrauliche Daten als der durchschnittliche Angestellte, deren Weitergabe an unbefugte Dritte potenziell großen Schaden anrichten kann. Glücklicherweise gibt es eine Reihe von Initiativen, die Führungskräfte ergreifen können, um sich vor Phishing zu schützen.
Phishing-Attacke: Was tun?
Die beste Verteidigung gegen eine Phishing-Attacke ist eine gute Prävention, damit es erst gar nicht zu einer Sicherheitsverletzung kommt. Zwei Maßnahmen, die Führungskräfte zum Schutz vor Phishing-Attacken ergreifen können, sind Phishing-Schulungen für sich selbst und ihre Teammitglieder sowie der Einsatz von Anti-Phishing-Software.
Phishing-Schulungen für Mitarbeiter zahlen sich aus: Unternehmen verzeichnen Rückgang erfolgreicher Phishing-Attacken
In Phishing-Schulungen werden die Mitarbeiter darin geschult, mögliche Phishing-Versuche zu erkennen und zu melden. So können sie sich und das Unternehmen vor Cyberkriminellen, Hackern und anderen bösartigen Akteuren schützen, die den Geschäftsablauf des Unternehmens stören oder Daten oder Geld von ihm stehlen wollen. Da sich erfolgreiche Phishing-Angriffe häufig auf menschliches Versagen zurückführen lassen, ist es sinnvoll, dort zuerst anzusetzen, denn in vielen Fällen kann das Risiko von Phishing durch das Schließen von Wissenslücken bei Mitarbeitern reduziert werden.
72 % der Unternehmen sehen offenbar einen Mehrwert in Phishing-Schulungen für ihre Mitarbeiter, denn sie haben bereits entsprechende Trainings durchgeführt. Davon gaben 85 % an, dass sie einen Rückgang der erfolgreichen Phishing-Angriffe festgestellt haben, seitdem sie Schulungen dazu durchführen. Die Erfolgsquote entsprechender Programme spricht für sich.
Die Art und Weise, wie eine Phishing-Schulung durchgeführt wird, trägt ebenfalls zu ihrem Erfolg oder Misserfolg bei. Die drei am häufigsten eingesetzten Methoden waren:
- Videos, die erklären, was Phishing-Angriffe sind und wie man sie vermeiden kann (59 %)
- Schriftliche Materialien, die erklären, welche Richtlinien es im Unternehmen zum Umgang mit diesen Angriffen gibt (54 %)
- Vorträge, die erklären, was Phishing-Angriffe sind und wie man sie vermeiden kann (51 %)
Weniger beliebt waren dagegen:
- Informelle Ratschläge durch das Management (34 %)
- Ein formalisiertes Programm (z. B. kontinuierliches Lernen über Phishing-Angriffe) (17 %)
- Simulierte Phishing-Kampagnen (17 %)
- Mit Schulungsplattformen können Unternehmen Phishing-Trainings für ihre Mitarbeiter zugeschnitten auf interne Bedürfnisse erstellen und automatisieren.
- Phishing-Simulationen: Selbst erstellte Tests können dazu beitragen, Wissenslücken aufzudecken und so das Bewusstsein für Phishing-Attacken zu schärfen.
- Interne Workshops und Webinare eignen sich dafür, das Bewusstsein für das eigene Online-Verhalten und Risiken bezüglich Phishing sowohl auf der Führungsebene als auch beim Rest der Belegschaft zu schärfen.
Hohe Erfolgsquote beim Einsatz von Anti-Phishing-Software
Anti-Phishing-Software ist eine Software oder Kombination aus Softwarelösungen, die bösartige eingehende Nachrichten von Akteuren erkennt, die sich als vertrauenswürdige Institution oder Person ausgeben oder versuchen, durch Social Engineering Vertrauen zu erlangen. So können Abhilfemaßnahmen gegen den Angriff getroffen werden und Nutzer können Blockierungs- und Zulassungslisten zur Filterung von Nachrichten erstellen.
Neben der Mitarbeiterschulung gehören Softwareprogramme zu den wirksamsten Lösungen in der Prävention und Abwehr von Phishing-Attacken. Drei Viertel (76 %) der Unternehmen verfügen nach Aussage der befragten Führungskräfte bereits über eine Anti-Phishing-Software. Davon berichteten 57 %, dass ihre Software regelmäßig und 40 %, dass ihre Software von Zeit zu Zeit Phishing-Angriffe verhindert.
Darüber hinaus stehen Unternehmen noch eine Reihe weiterer Möglichkeiten zur Verfügung, um sich gegen Phishing-Attacken zu schützen. Darum geht es im nächsten Abschnitt.
Weitere Maßnahmen zum Schutz vor Phishing-Attacken: Backups, E-Mail-Sicherheit und Co.
Mit Phishing verfolgen Angreifer letztendlich ein Ziel: Datendiebstahl. Dieses Ziel können sie doch über verschiedene Wege erreichen. Eine Methode soll Opfer dazu bewegen, freiwillig sensible Daten herauszugeben, indem der Hacker beispielsweise eine falsche Identität (z.B. eine Bank oder Regierungsbehörde) vorgaukelt. Eine andere Betrugsmasche lockt den Nutzer durch Manipulation eines DNS-Servers auf bösartige Webseiten, sodass die vom Benutzer eingegebene, korrekte Internetadresse in eine falsche IP-Adresse umgewandelt wird. So landet das Opfer auf einer Fake-Webseite und gibt unbedarft seine Daten preis. Ebenfalls beliebt unter Cyberkriminellen ist, eine Schadsoftware wie etwa Ransomware auf dem Computer eines Mitarbeiters einzuschleusen, wenn er auf einen Link in der Phishing-Nachricht klickt.
Wurde das Firmennetzwerk mit Ransomware infiltriert, werden entweder einzelne Dateien oder das ganze Betriebssystem gesperrt und ein Lösegeld für die Freigabe gefordert. Das kann verheerende Folgen haben. In unserer Ransomware-Studie 2022 fanden wir heraus, dass 76 % der Unternehmen einen Ransomware-Angriff als kritisch für die Integrität ihres Businesses einschätzen.
Als letzte Verteidigungslinie gegen Ransomware, um sich nicht erpressbar zu machen, gelten Backups. Mit Backups versuchen Firmen, Daten wiederherzustellen, die durch einen Ransomware-Angriff unbrauchbar gemacht wurden, und so der Zahlung eines Lösegelds zu entgehen.
Damit sind Backups von essentieller Bedeutung für Unternehmen. So gaben 51 % der Führungskräfte an, dass regelmäßige Backups und Notfallpläne, um die Auswirkungen möglicher Angriffe abzuschwächen, zu den wichtigsten Schritten gehören, um eine sichere Arbeitsumgebung zu schaffen. Die Mehrheit (51 %) der Befragten erklärten auch, dass ihr Unternehmen seine Daten öfter als alle drei Monate sichert.
Neben Backups spielen noch zahlreiche andere Faktoren eine Rolle in der Abwehr von Phishing-Attacken. Zu nennen sind beispielsweise aktuelle Passwortrichtlinien oder das regelmäßige Update der Unternehmenssoftware. Die drei wichtigsten Maßnahmen für die Gewährleistung der Datensicherheit im Unternehmen sind laut der befragten Manager jedoch diese:
- Cybersicherheitssoftware (Antivirus, VPN usw.) regelmäßig aktualisieren (62 %)
- Antivirus-Tools und Verschlüsselungen nutzen (61 %)
- E-Mail-Sicherheitsrichtlinien befolgen (61 %)
Schutz vor Phishing-Attacken: Die Vorbildfunktion von Führungskräften
Phishing ist ein Thema für Unternehmen jeglicher Größe. Manager sollten sich dabei nicht auf ihre Mitarbeiter verlassen, sondern selbst mit gutem Beispiel vorangehen, denn sie haben einen enormen Effekt auf die Sicherheitskultur in ihrer Organisation.
Eine solide Strategie für die IT-Sicherheit findet dabei auf zwei Ebenen statt: Zum Einen sollten Führungskräfte sich selbst und ihre Mitarbeiter regelmäßigen Schulungen zum Thema Phishing-Attacken unterziehen, und zum Anderen klare Sicherheitsrichtlinien (z.B. für Passwörter) formulieren sowie passende Softwarelösungen auswählen, die auf die Bedürfnisse des Unternehmens zugeschnitten sind. Bei der Auswahl der richtigen Software kann dich unsere kostenlose Excel-Vorlage mit Software-Auswahlkriterien unterstützen.
Methodologie
Um die Daten für diese Studie zu erheben, hat GetApp von Juli bis August 2023 eine Online-Umfrage durchgeführt. Als Teilnehmer wurden insgesamt 441 Teilnehmer zum Thema Phishing-Angriffe befragt, von denen 351 Arbeitnehmer und 90 Führungskräfte sind. Für diesen zweiten Teil der Studie haben wir die Antworten der Führungskräfte analysiert. Teilnahmebedingungen waren, dass die Befragten zumindest manchmal einen Computer oder Laptop für ihre täglichen Arbeitsaufgaben verwenden und selbst schon mindestens einmal einen Phishing-Angriff am Arbeitsplatz erlebt haben. Weitere Auswahlkriterien für die Teilnahme waren:
- In Voll- oder Teilzeit angestellt
- Tätig in einem Unternehmen mit mehr als einem Mitarbeiter
- Sie sind mit dem Begriff „Phishing-Angriffe" vertraut.
- Wohnsitz in Deutschland
- Zwischen 18 und 65 Jahre alt