„Es wird schon Keine/r klicken!"
Eine Aussage, die früher oft gehört wurde, aber heute kaum noch von Kunden zu vernehmen ist. Die Bedrohung durch Phishing hat in den letzten Jahren aufgrund der steigenden Anzahl von Zwischenfällen stark zugenommen und die Medienaufmerksamkeit erlangt. In Österreich waren im vergangenen Jahr 51% der befragten Unternehmen Ziel einer Phishing-Attacke [1]. Weltweit wurden im Jahr 2022 rund 4,7 Millionen Phishing-Angriffe dokumentiert, ein Anstieg von etwa 150% seit 2019 [2].
Die Umdenkphase
Dies hat bei unseren Kunden zu einem Umdenken geführt. Die Frage "ob geklickt wird" tritt in den Hintergrund, stattdessen steht die Frage "Wie viele werden klicken?" im Fokus. Öffentlich bekannte Statistiken zu diesem Thema sind rar, da kein Unternehmen zugeben möchte, dass ein Teil seiner MitarbeiterInnen anfällig für Phishing ist. Als erfahrene Pentest-Experten bei condignum sind wir in der Lage, aufgrund unserer umfangreichen Erfahrung eine statistische Aussage zu treffen. Wir haben zahlreiche Phishing-Überprüfungen durchgeführt und können daher die Frage "Wie viele MitarbeiterInnen werden auf den Link klicken?" mit im Durchschnitt "21,06%" beantworten. Wichtig ist jedoch zu betonen, dass diese Zahl keine Garantie für andere Unternehmen darstellt. Die höchste gemessene Klickrate betrug fast 42%, die niedrigste leicht über 1%.
Schnelle Reaktion entscheidend
Nachdem wir die Frage "Wie viele werden klicken?" beantwortet haben, betonen wir gegenüber unseren Kunden, dass schlussendlich die Reaktionsgeschwindigkeit des Unternehmens entscheidend ist. Unsere Erfahrung zeigt: "Mindestens eine Person klickt immer". Die Achtsamkeit der MitarbeiterInnen ist essenziell, aber der Umgang mit dem Worst-Case-Szenario ist entscheidend. Daher geben wir unseren Kunden die Frage "Wie schnell haben wir reagiert?" mit auf den Weg.
Abhängig von der Kampagne und deren Ziel erfassen wir dies in Absprache mit unseren Kunden und dokumentieren dies im Bericht. So möchten wir unseren Kunden dabei helfen, ihre internen Prozesse zu beschleunigen und die Reaktionszeit von der Erstmeldung bis zur ersten Gegenmaßnahme zu optimieren. Dadurch erhalten sie die Möglichkeit zu erkennen, wie schnell sie sind und wecken den Ehrgeiz, etwaiges Optimierungspotential zur Verbesserung der IT-Sicherheit des Unternehmens bestmöglich zu nutzen.
Die Rolle gut geschulter MitarbeiterInnen
Gut geschulte MitarbeiterInnen haben einen wesentlichen Einfluss auf den Erfolg einer Phishing-Kampagne. Wir haben zum Beispiel einen abrupten Stopp der Klickrate und Anmelderate (Eingabe von Login-Informationen) festgestellt, nachdem ein Mitarbeiter alle KollegInnen intern auf mehreren Kanälen gewarnt hatte. Es wird oft gesagt: "Es ist ausreichend, wenn eine Person klickt". Doch wir möchten betonen, dass auch einzelne, gut geschulte MitarbeiterInnen den Erfolg von breit gefächerten Phishing-Angriffen wesentlich beeinflussen können. Voraussetzung ist natürlich, dass Warnungen ernst genommen und angemessen reagiert wird (z.B. durch offizielle Warnungen an die Mitarbeitenden oder Sperren der entsprechenden Phishing-Seiten). Um die Erfolgswahrscheinlichkeit eines Angriffs bestmöglich abschätzen zu können, heben wir in unseren Berichten entsprechende Handlungen und deren potenziellen Einfluss hervor.
Schlussfolgerung
Wie bewusst sind sich Ihre MitarbeiterInnen bezüglich Phishings? Wenn Sie wissen möchten, wie schnell Ihr Unternehmen im Ernstfall reagiert und wie sensibilisiert Ihre MitarbeiterInnen gegenüber der Gefahr von Phishing-Angriffen sind, treten Sie mit uns in Kontakt und vereinbaren Sie einen Termin. Wir laden auch Unternehmen in ähnlichen Tätigkeitsfeldern dazu ein, Teil des Dialogs zu werden und ihre Erfahrungsberichte zu teilen. Stimmt diese Zahl mit Ihren Erfahrungen überein?
[2] https://docs.apwg.org/reports/apwg_trends_report_q4_2022.pdf