Eine Schweizer Phishing-Studie mit rund 15.000 Teilnehmern in einem 15-monatigen Experiment brachte einige interessante Ergebnisse hervor. Die Studie wurde von Forschern der ETH Zürich in Kooperation mit einem Großunternehmen durchgeführt, das anonym bleiben möchte.
Das Unternehmen unterzog seine Mitarbeiter ohne deren Kenntnis einem simulierten Phishing-Programm. Die vier Ziele der Studie waren zu ermitteln:
- Welche Mitarbeiter fallen auf Phishing herein?
- Wie entwickelt sich die Anfälligkeit im Laufe der Zeit?
- Wie wirksam sind eingebettete Schulungen und Warnungen?
- Können die Mitarbeiter bei der Erkennung von Phishing etwas tun?
Im Rahmen des Tests wurde zunächst eine Phishing-Warntaste auf dem E-Mail-Client eingerichtet, mit der die Mitarbeiter verdächtige E-Mails einfach melden konnten, und im nächsten Schritt wurden über ein Jahr lang simulierte Phishing-Tests an die Arbeits-E-Mail-Adressen der Mitarbeiter gesendet.
Die Ergebnisse weisen darauf hin, dass das Geschlecht in Bezug auf die Phishing-Anfälligkeit keine große Rolle zu spielen scheint und dass knapp ein Viertel (23,91 %) derjenigen, die eine gefährliche Aktion (Aktivierung von Makros, Übermittlung von Anmeldedaten) ausführten, dies mehr als einmal taten. Die Forschungsarbeit zeigte auch, dass ein Mitarbeiter, der einen Phishing-Test nicht bestanden hat und daraufhin die Möglichkeit einer freiwilligen Schulung erhält, sein Sicherheitsverhalten meist nicht verbessern kann.
Crowd-Sourcing erweist sich als praktikabel
Wie bereits erwähnt, erhielten die Mitarbeiter des getesteten Unternehmens eine „Phish Alert“-Schaltfläche in ihrem E-Mail-Programm, um verdächtige Nachrichten unkompliziert melden zu können. Im Hinblick auf die Wirksamkeit von Crowd-Sourcing bei der Abwehr von Phishing-Angriffen untersuchten die Forscher sowohl die Reaktionszeit als auch die Meldegenauigkeit der Mitarbeiter. Die Meldungen der Nutzer waren zu 68 % richtig, wenn es sich um Phishing handelte, und zu 79 %, wenn auch Spam berücksichtigt wurde. Die aufmerksamsten Nutzer erreichten eine Genauigkeit von über 80 %. Ein wichtiger Punkt hierbei: Die Zeit für die Übermittlung dieser Berichte nach dem Empfang betrug 5 Minuten für 10 % des Gesamtvolumens und eine halbe Stunde für 35 % der Gesamtzahl der Berichte.
Wendet man diese Zahlen auf ein hypothetisches Unternehmen mit 1.000 Mitarbeitern an, von denen 100 von einer Phishing-Kampagne betroffen sind, so würden die Mitarbeiter zwischen 8 und 25 Meldungen über die E-Mail abgeben – eine davon mit hoher Wahrscheinlichkeit innerhalb von 5 Minuten und eine größere Anzahl innerhalb von 30 Minuten.
Die Ergebnisse zeigen, dass der Einsatz eines unternehmensweiten Phishing-Erkennungsdienstes die Bedrohung durch Phishing-Angriffe erheblich reduzieren könnte. Es ist auch wichtig zu erwähnen, dass ein solches System keine große operative Arbeitsbelastung mit sich bringen würde, so dass ein Unternehmen, das einen Crowd-Sourced-Phishing-Schutz einführt, nicht viel zusätzlichen Aufwand betreiben müsste. Die Forscher kamen auch zu dem Schluss, dass es keine „Meldemüdigkeit“ gibt, was darauf hindeutet, dass das Crowd-Sourcing von Anti-Phishing-Daten eine praktikable Methode zum Schutz der Mitarbeiter darstellt.
Security-Awareness als Schlüssel zur Verteidigung gegen Phishing-Kampagnen
Die neben Crowd-Sourcing wohl effektivste Maßnahme zur Vorbeugung von Phishing-Angriffen ist, ein umfassendes Security-Awareness-Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ergebnis der Trainings ist eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken bei den Mitarbeitern einer Organisation.
Die Schulung der Benutzer mit interaktivem und ansprechendem On-Demand-Material ist notwendig, damit die Botschaft wirklich verinnerlicht wird und nicht nur oberflächlich behandelt und gleich wieder vergessen wird. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.
Von Jelle Wieringa, Security Awareness Advocate bei KnowBe4