Proofpoints State of the Phish Report 2022: Bereits 83 Prozent aller Unternehmen Opfer erfolgreicher Phishing-Attacken

Employee at Organization Taking GDPR Overview Training

Proofpoint, Inc., eines der führenden Next-Generation Cybersecurity- und Compliance-Unternehmen, hat heute seinen achten jährlichen „State of the Phish Report “ veröffentlicht. Der Bericht liefert einen detaillierten Überblick über das Thema Phishing und gibt Auskunft über die Anfälligkeit und die Sensibilisierung der Anwender. Dem Bericht zufolge waren die Täter im Jahr 2021 aktiver als im vorherigen Jahr. Die Ergebnisse zeigen zudem, dass mehr als drei Viertel (78 %) aller Unternehmen im Jahr 2021 von Ransomware-Angriffen per E-Mail betroffen waren. Gleichzeitig wurden 77 Prozent der Unternehmen mit BEC-Angriffen (Business Email Compromise, auch Chef-Masche genannt) konfrontiert – ein Anstieg um 18 Prozent im Vergleich zu 2020. Dies belegt einmal mehr, dass sich Cyberkriminelle nach wie vor darauf konzentrieren, Menschen als Schwachstelle auszunutzen, anstatt sich über technische Sicherheitslücken Zugang zu Systemen zu verschaffen.

Der diesjährige „State of the Phish Report“ basiert auf der Auswertung einer von Proofpoint in Auftrag gegebenen Umfrage, bei der 600 Experten aus den Bereichen IT-Sicherheit und Informationssicherheit sowie 3.500 Angestellte in den USA, Australien, Frankreich, Deutschland, Japan, Spanien und Großbritannien befragt wurden. Zudem werden darin die Daten von fast 100 Millionen simulierten Phishing-Angriffen analysiert, die von Proofpoint-Kunden in einen Zeitraum von einem Jahr durchgeführt wurden und deren Mitarbeiter testen sollten. In den Report floss darüber hinaus auch die Analyse von mehr als 15 Millionen E-Mails ein, die mittels der PhishAlarm-Funktion von Benutzern gemeldet wurden.

In dem Bericht finden sich darüber hinaus regionale sowie branchen- und abteilungsspezifische Benchmarking-Daten, die die Notwendigkeit eines personenbezogenen Ansatzes in Sachen Cybersicherheit unterstreichen. Beispiele aus der Praxis veranschaulichen ferner den Wert einer Trainings-Lösung, die der sich verändernden Bedrohungslandschaft Rechnung trägt, mit der Unternehmen nicht nur im Zuge der Pandemie konfrontiert sind.

Wie aus dem State of the Phish Report hervorgeht, hatten Cyberangriffe im Jahr 2021 viel größere Auswirkungen als im Vorjahr: 83 Prozent der Umfrageteilnehmer gaben an, dass ihre Organisation mindestens einen erfolgreichen E-Mail-basierten Phishing-Angriff erlitten hat. Im Jahr zuvor waren lediglich 57 Prozent davon betroffen. Analog dazu gaben mehr als zwei Drittel (68 %) der Unternehmen an, dass sie mit mindestens einer Ransomware-Infektion konfrontiert waren, die auf eine direkte E-Mail-Payload, eine Malware im Rahmen einer mehrstufigen Attacke oder einen anderen Exploit zurückzuführen war. Der Anstieg fällt im Vergleich zum Vorjahr konstant aus, ist jedoch repräsentativ für die Herausforderungen, denen sich Unternehmen angesichts der Zunahme von Ransomware-Angriffen im Jahr 2021 stellen mussten.

„Während das Jahr 2020 gezeigt hat, wie wichtig es ist, flexibel und schnell auf Veränderungen zu reagieren, liefert das vergangene Jahr den Beleg dafür, dass wir uns besser schützen müssen“, sagt Michael Heuer, Vice President DACH bei Proofpoint. „Da E-Mails nach wie vor die bevorzugte Angriffsmethode für Cyberkriminelle sind, ist der Aufbau einer Sicherheitskultur von erheblicher Bedeutung. Angesichts einer sich wandelnden Bedrohungslandschaft sowie der Tatsache, dass das Arbeiten von überall aus zum Alltag geworden ist, müssen Unternehmen dafür Sorge tragen, dass ihre Mitarbeiter sich neue Fähigkeiten in puncto Cybersicherheit aneignen und diese anwenden. Dies gilt sowohl für den Arbeitsplatz im Büro als auch zu Hause.“

Der Trend in Richtung hybrider Arbeitsformen hat sich 2021 beschleunigt. 81 Prozent der Unternehmen geben an, dass mehr als die Hälfte ihrer Mitarbeiter wegen der Pandemie ihrer Arbeit im Homeoffice nachgehen (entweder teilweise oder vollständig). Allerdings schulen nur 37 Prozent ihre Mitarbeiter auch hinsichtlich bewährter Praktiken für das Homeoffice. Dieser Wert liefert einen besorgniserregenden Beleg dafür, dass eine große Lücke im Wissen vieler Angestellter klafft, wenn es um bewährte Sicherheitspraktiken für die neue Normalität des Arbeitens geht. So verwundert es auch nicht, dass beispielsweise 97 Prozent der Arbeitnehmer angaben, dass sie zu Hause über ein WLAN-Netzwerk verfügen, allerdings nur 60 Prozent ihr Netzwerk durch ein Passwort schützen – ein gravierender Mangel hinsichtlich fundamentaler Sicherheitsmaßnahmen.

„Im Vergleich zum Vorjahr erlebten die Umfrageteilnehmer 2021 einen deutlichen Anstieg gezielter Angriffe, doch unsere Analyse zeigt auch, dass das Wissen um wichtige Begriffe aus der Cybersicherheit wie Phishing, Malware, Smishing und Vishing erheblich abgenommen hat“, sagt Heuer. „Dieser Mangel hinsichtlich des Sicherheitsbewusstseins sowie das laxe Verhalten vieler Mitarbeiter bergen ein großes Risiko für Unternehmen und deren Erfolg auf dem Markt. Unser diesjähriger Bericht liefert daher leicht umzusetzende Ratschläge, die darauf abzielen, das Sicherheitsbewusstsein der Nutzer zu steigern, Risiken zu reduzieren und die Mitarbeiter zu schützen.“

Weitere internationale Ergebnisse des diesjährigen State of the Phish Reports:

  • Fast 60 Prozent der Unternehmen, bei denen Systeme mit Ransomware infiziert wurden, zahlten ein Lösegeld. Einige davon (32 %) zahlten weiteres Lösegeld, um wieder Zugang zu Daten und Systemen zu erhalten. 54 Prozent erhielten nach der ersten Zahlung wieder Zugang zu Daten und Systemen, während 4 Prozent auch nach der Zahlung keinen Zugang zu ihren Daten und Systemen erhielten. 10 Prozent weigerten sich, zusätzlichen Lösegeldforderungen nachzukommen und verloren ihre Daten.
  • Viele Arbeitnehmer legen riskante Verhaltensweisen an den Tag und halten sich nicht an bewährte Verfahren in Sachen Cybersicherheit. 42 Prozent der Befragten gaben an, dass sie im Jahr 2021 eine gefährliche Aktion ausgeführt haben, also auf einen bösartigen Link geklickt, Malware heruntergeladen oder ihre persönlichen Daten bzw. Anmeldedaten preisgegeben haben. Und 56 Prozent der Angestellten, die Zugang zu einem vom Arbeitgeber zur Verfügung gestellten Gerät (Laptop, Smartphone, Tablet usw.) haben, erlaubten Freunden und Familienangehörigen, diese Geräte zu nutzen, um beispielsweise Spiele zu spielen, Musik und Filme zu streamen oder online einzukaufen.
  • Das Bewusstsein für die wichtigsten Begriffe aus dem Bereich Cybersecurity ist im Vergleich zum Vorjahr (zum Teil erheblich) gesunken. Nur 53 Prozent der Befragten waren in der Lage, die richtige Definition für den Begriff „Phishing“ in einem Multiple-Choice-Verfahren zuzuordnen. Dies markiert einen Rückgang gegenüber dem Vorjahreswert von 63 Prozent um 10 Prozentpunkte (16 Prozent relativer Rückgang). Nur 63 Prozent lieferten die passende Definition für Malware (gegenüber 65 % im Jahr 2020) und nur 23 Prozent wussten, was mit Smishing gemeint ist (gegenüber 31 % im Jahr 2020). Auch die Definition von Vishing konnten lediglich 24 Prozent korrekt zuordnen (gegenüber 30 % im Jahr 2020).
    Ransomware war der einzige Begriff, der weltweit vermehrt richtig eingeordnet wurde. Hier konnte ein Anstieg der richtigen Antworten von 33 Prozent im Jahr 2020 auf 36 Prozent 2021 verzeichnet werden.
  • Kunden von Proofpoint konnten positive Effekte bei der Sensibilisierung und dem Sicherheitsverhalten ihrer Mitarbeiter erzielen, trotz verstärkter Tests und einer aktiveren Bedrohungssituation. Die durchschnittliche Fehlerquote der Kunden bei Phishing-Simulationen blieb mit 11 Prozent im Vergleich zum Vorjahr konstant, wobei die Zahl der Tests im 12-monatigen Vergleichszeitraum um 50 Prozent gestiegen ist.
  • Mitarbeiter waren in der Lage, verdächtige E-Mails, die ihren Posteingang erreichten, einfacher zu melden. Während des einjährigen Messzeitraums haben die Benutzer ihre Sicherheitsteams auf mehr als 350.000 Credential-Phishing-E-Mails, fast 40.000 E-Mails mit Malware-Payloads und mehr als 20.000 bösartige Spam-E-Mails aufmerksam gemacht.

Die folgenden Deutschland-spezifischen Ergebnisse der Studie zeigen, wie sehr sich Cybersecurity-Praktiken und -Verhaltensweisen je nach Region unterscheiden:

  • E-Mail-basierte Angriffe dominieren die Bedrohungslandschaft in Deutschland im Jahr 2021: 85 Prozent der Umfrageteilnehmer in Deutschland gaben an, dass ihr Unternehmen im vergangenen Jahr mit umfangreichen Phishing-Angriffen konfrontiert war. Darüber hinaus hatten 80 Prozent mindestens einem E-Mail-basierten Ransomware-Angriff und 75 Prozent einen oder mehrere BEC-Angriffe zu verzeichnen.
  • Die Cyberkriminellen waren 2021 nicht nur aktiver, sondern auch erfolgreicher: 80 Prozent der Umfrageteilnehmer in Deutschland gaben an, dass ihre Organisation mindestens einen erfolgreichen Phishing-Angriff erlitten hat.
  • 54 Prozent der deutschen Unternehmen waren von mindestens einer Ransomware-Infektion betroffen, die auf eine direkte E-Mail-Payload, eine Malware eines mehrstufigen Angriffs oder einen anderen Exploit zurückzuführen war. Dabei entschlossen sich 65 Prozent zur Zahlung mindestens einer Lösegeldforderung. Um dies weiter aufzuschlüsseln: 54 Prozent zahlten ein Lösegeld und erhielten danach wieder Zugang, 37 Prozent zahlten ein erstes Lösegeld sowie ein oder mehrere weitere Lösegelder und erhielten sodann Zugang zu Daten und Systemen. Und 9 Prozent zahlten ein erstes Lösegeld, weigerten sich jedoch, mehr zu zahlen und erhielten in der Folge keinen Zugang zu ihren Daten.
  • Das Wissen um die wichtigsten Sicherheitsbegriffe ist bei deutschen Angestellten im Vergleich zum Vorjahr (zum Teil erheblich) gesunken. Nur 26 Prozent der deutschen Arbeitnehmer waren in der Lage, die Definition von Ransomware in einem Multiple-Choice-Verfahren richtig zuzuordnen, was unter dem weltweiten Durchschnitt von 36 Prozent liegt. Bei der korrekten Zuordnung weiterer wichtiger Begriffe schnitten deutsche Arbeitnehmer wie folgt ab: Phishing (54%), Malware (56%), Smishing (25%).
  • Eine falsche Verhaltensweise im Falle echter oder simulierter Phishing-Angriffe zieht für Mitarbeiter in 42 Prozent der deutschen Unternehmen Konsequenzen nach sich, und weitere 19 Prozent erwägen oder planen diesen Ansatz zu verfolgen.

Der vollständige „State of the Phish Report 2022“ inklusive einer umfassenden Liste der weltweiten und regionalen Ergebnisse, kann hier heruntergeladen werden: https://www.proofpoint.com/de/resources/threat-reports/state-of-phish 

Weitere Informationen zu bewährten Verfahren und Schulungen in Sachen Cybersicherheit finden Sie unter: https://www.proofpoint.com/de/product-family/security-awareness-training  

Über Proofpoint
Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.

Weitere Informationen finden Sie unter www.proofpoint.com/de.

Mehr zu Proofpoint unter: Twitter| LinkedIn | Facebook| YouTube

Proofpoint ist ein eingetragenes Warenzeichen von Proofpoint, Inc. in den USA und / oder anderen Ländern. Alle anderen hier erwähnten Marken sind das Eigentum ihrer jeweiligen Inhaber.