Wie würden Sie reagieren, wenn Sie wüssten, dass sich Ihre Anwender der Cybersicherheitsrisiken bewusst sind, aber dennoch riskant handeln? Würden Sie Ihre Security-Awareness-Schulungen anpassen? Wie würden Sie Ihre Cybersicherheitsstrategie weiterentwickeln? Und wie würden Sie Ihre Anwender motivieren, der Cybersicherheit hohe Priorität einzuräumen?
Für unseren 10. jährlichen State of the Phish-Bericht haben wir neue Daten zusammengetragen und den Fokus auf neue Bereiche erweitert, um Erkenntnisse zur Situation in acht Ländern in Europa und im Nahen Osten zu gewinnen. Wir hoffen, dass Ihnen diese einzigartigen Einblicke dabei helfen, diese und weitere Fragen zu beantworten.
In diesem Blog-Beitrag gehen wir auf einige Erkenntnisse zum Stand von Phishing, Ransomware sowie dem Verhalten von Anwendern und Angestellten in Europa und dem Nahen Osten ein. Außerdem unterbreiten wir Vorschläge, wie Sie Ihr Informationssicherheitsprogramm ausrichten können, um Risiken zu reduzieren.
Worauf basiert der Bericht?
Der weltweite State of the Phish-Bericht 2024 basiert auf Daten, die wir aus Proofpoint People Protection-Produkten, aus eigenen Untersuchungen sowie aus folgenden Datenquellen gewonnen haben:
- Eine von uns in Auftrag gegebene weltweite Umfrage unter 7.500 berufstätigen Erwachsenen und 1.050 IT-Experten aus 15 Ländern
- 183 Millionen simulierte Phishing-Angriffe, die von Proofpoint-Kunden gesendet wurden
- Mehr als 24 Millionen verdächtige E-Mails, die von den Endnutzern unserer Kunden gemeldet wurden
Welche Erkenntnisse können für Europa und den Nahen Osten gewonnen werden?
Die Länder im EMEA-Raum (Europa und Naher Osten) zeichnen sich durch verschiedenste Sprachen, Kulturen, Beziehungen zwischen Ländern und Regionen sowie Reifegrade bei der Informationssicherheit aus. Einige Unternehmen in dieser Region sind international tätig, während sich andere auf ihr eigenes Land konzentrieren. Durch die gemeinsame EU-Gesetzgebung gibt es bei Unternehmen, die innerhalb dieser Region tätig sind, starke Ähnlichkeiten. Diese Unternehmen haben häufig gemeinsame Ziele in Bezug auf den Schutz der Privatsphäre und die Vermeidung von Kompromittierungen personenbezogener Daten.
Die gute Nachricht ist, dass die diesjährige Untersuchung einen Rückgang bei Unternehmen in Europa und im Nahen Osten gezeigt hat, die mindestens einen erfolgreichen Phishing-Angriff verzeichnet haben. Während der Anteil im Jahr 2022 noch bei 88 % lag, ist er für 2023 auf 75 % gesunken. Die schlechte Nachricht ist jedoch, dass weiterhin 75 % der Unternehmen in dieser Region von mindestens einem erfolgreichen Phishing-Angriff betroffen waren.
Natürlich stellt sich nun die Frage, mit welchen Maßnahmen Unternehmen wie Ihres die Risiken durch Phishing und ähnliche Angriffe reduzieren können. Sehen wir uns das einmal genauer an.
Riskant handelnde Anwender
Die befragten Anwender in Europa und im Nahen Osten gaben zu, dass sie riskant gehandelt haben, indem sie zum Beispiel Kennwörter weitergegeben, unternehmenseigene Geräte für private Zwecke genutzt und auf Nachrichten von Absendern reagiert haben, die sie nicht kennen. In dieser Region war der Anteil der Anwender, die riskantes Verhalten gezeigt haben, größer als der weltweite Durchschnitt.
Was bedeutet das in den Ländern, in denen Sie tätig sind? Unsere Umfragedaten zeigen, dass in den Vereinigten Arabischen Emiraten, in Schweden, Italien und Frankreich jeweils mehr als 70 % der Anwender die Sicherheitsvorschriften ihres Unternehmens bewusst unterlaufen. Fakt ist: In den Vereinigten Arabischen Emiraten war der Anteil der Anwender, die riskant handeln, unter allen Ländern in der Umfrage am größten. Als Rechtfertigung für ihr Verhalten nannten Anwender in Europa und im Nahen Osten vor allem Zeiteinsparungen und Bequemlichkeit, wobei britische Anwender häufiger Bequemlichkeit als Zeiteinsparungen nannten.
Unterschiedliche Prioritäten bei Anwendern und Sicherheitsteams
Aber sind Anwender nun der Meinung, dass sie für die Sicherheit verantwortlich sind – oder sehen sie die Hauptverantwortung beim Informationssicherheitsteam ihres Unternehmens? Das Ergebnis ist für die Niederlande und Schweden besorgniserregend: Hier gaben 66 % der Anwender an, dass sie sich nicht sicher sind oder die Verantwortung für die Sicherheit nicht bei ihnen liegt.
Sicherheitsexperten müssen sich vor Augen halten, dass Anwender mehr Wert auf Produktivität und Bequemlichkeit statt auf Sicherheit legen und häufig annehmen, dass ihr Arbeitgeber für ihre Sicherheit verantwortlich ist. Laut unserer Umfrage sind 83 % der IT-Sicherheitsexperten der Meinung, dass die Arbeitnehmer sich ihrer Verantwortung für die Sicherheit bewusst sind.
Multifaktor-Authentifizierung
Multifaktor-Authentifizierung (MFA) gilt häufig als zuverlässige Möglichkeit, die Kompromittierung und Weitergabe von Kennwörtern zu verhindern. In Großbritannien und Frankreich glauben sogar immer noch mehr als 90 % der Sicherheitsexperten, dass MFA vollständigen Schutz vor Kontoübernahmen bietet. Fakt ist jedoch, dass Proofpoint jeden Monat mehr als eine Million Angriffe verzeichnet, die mit EvilProxy, dem Framework zur MFA-Umgehung, gestartet werden. Etwa 30 % der Sicherheitsexperten in den anderen Ländern in Europa und im Nahen Osten sind sich bewusst, dass MFA nicht das erhoffte Allheilmittel ist.
Angriffe per Telefon
TOAD-Angriffe (Telephone-Oriented Attack Delivery) haben in den vergangenen Jahren aus gutem Grund viel Aufmerksamkeit erhalten. Dabei handelt es sich um Phishing-Attacken, bei denen das Opfer mit einem Köder dazu verleitet werden soll, einen Kontakt per Telefon herzustellen. In Europa und im Nahen Osten gab es 2023 mehr TOAD-Angriffe als der weltweite Durchschnitt (70 % verglichen mit 67 %).
Ransomware
In Europa und im Nahen Osten ist die Zahl der Ransomware-Angriffe und erfolgreichen Infektionen im vergangenen Jahr gestiegen. Deutsche Unternehmen meldeten die meisten erfolgreichen Infektionen (85 %).
Laut unseren Umfrageergebnissen für den Bericht haben 2024 etwas mehr als die Hälfte der Unternehmen in dieser Region ein Lösegeld gezahlt. Im Jahr zuvor, 2023, waren es 56 %, während 2022 noch 64 % der Unternehmen zahlten. Die Effektivität der Lösegeldzahlung war sehr unterschiedlich. Das gewünschte Ergebnis wäre hier die Wiederherstellung der betroffenen Systeme und Daten, was allerdings nicht bei allen Unternehmen gelang.
Bei niederländischen Unternehmen wurde am seltensten ein positives Ergebnis erreicht: Während weltweit betrachtet nur 16 % nicht wieder Zugriff auf die eigenen Daten erlangen konnten, galt dies in den Niederlanden für 40 % der Unternehmen. Wir haben auch eine Veränderung beim Erfolg von Lösegeldzahlungen im Jahresvergleich festgestellt. Beispielsweise lag die Erfolgsquote bei spanischen Unternehmen für die Wiedererlangung der Daten im Jahr 2022 noch bei 50 % – 2023 fiel sie auf nur 21 %.
Die Frage, ob das Lösegeld an Cyberkriminelle gezahlt werden soll, wird häufig in einem Plan über die Reaktion und Resilienz bei Cybersicherheitsvorfällen beantwortet und gilt als geschäftliche Entscheidung. Unsere Untersuchungen zeigen jedoch, dass die potenziellen Folgen im EMEA-Raum noch deutlich größer sein können. So kann die Zahlung des Lösegelds zum Beispiel zu wiederholten Ransomware-Angriffen führen.
Business Email Compromise (BEC)
BEC-Angriffe (Business Email Compromise) gehören seit etlichen Jahren zu den kostspieligsten Bedrohungen für Unternehmen auf der ganzen Welt. Die negativen finanziellen Auswirkungen eines erfolgreichen BEC-Angriffs werden in der Cybersicherheits-Community intensiv kommuniziert. Angesichts der zahlreichen Sprachen in Europa und im Nahen Osten ist die Zunahme solcher Attacken in nicht englischsprachigen Ländern besorgniserregend. Dies könnte eine Folge der zunehmenden Nutzung von KI-Tools wie ChatGPT sein, mit denen sich überzeugende E-Mail-Köder verfassen lassen.
Security-Awareness-Schulungen und Programme zur Veränderung von Verhaltensweisen
In der gesamten Region verwenden 95 % der Unternehmen bereits Bedrohungsdaten zur Optimierung ihrer Security-Awareness-Schulungsprogramme. Dennoch könnte scheinbar noch mehr getan werden, um die Schulungsthemen an die realen Probleme anzupassen. Betrachten wir zum Beispiel die Unterschiede zwischen realen Bedrohungsrisiken und die Einbeziehung entsprechender Kenntnisse in Security-Awareness-Programmen. 78 % der deutschen Unternehmen verzeichnen TOAD-Angriffe, doch nur 21 % thematisieren sie bei Schulungen. Das ist eine der größten Differenzen zwischen täglichen Angriffen und Schulungsthemen. Außerdem beobachten wir, dass weniger Unternehmen grundlegende Themen wie bewährte Methoden bei Kennwörtern und Social Engineering in ihren Schulungen einschließen.
Strafzahlungen und Rufschädigung
Die detaillierte Betrachtung der Länder in Europa und im Nahen Osten zeichnet ein düsteres Bild der negativen Folgen, die in allen acht von uns untersuchten Ländern in dieser Region enorm zugenommen haben. Es gibt zahlreiche Berichte über Geldstrafen und Rufschädigungen. Unternehmen in Deutschland, Frankreich und den Vereinigten Arabischen Emiraten stachen bei der Zunahme negativer Konsequenzen besonders hervor. Verlassen Sie sich nicht darauf, dass Ihre Cyberversicherung alle Kosten abdeckt. Der größte französische Versicherer hat angekündigt, dass Ransomware-Angriffe zukünftig nicht mehr abgedeckt sein werden. Ein Ausblick auf die Zukunft?
Weitere Informationen
Sehen Sie sich unsere vollständige Zusammenfassung des State of the Phish-Berichts 2024 für Europa und den Nahen Osten an, um Empfehlungen für die Anpassung Ihres Cybersicherheitsprogramms zu erhalten.
Webinar ansehen
Nehmen Sie an unserem exklusiven On-Demand-Webinar teil, bei dem wir detailliert über die Erkenntnisse für 2024 und die Bedrohungslandschaft sprechen.