ONE4 IT - News

Aktuelle Meldungen und Informationen

Ist Ihr Unternehmen anfällig für Phishing?

Phishing ist zweifellos eine der größten Cyber-Bedrohungen. Aber wie verletzlich ist ein Unternehmen zum Phishing? Mit dem sogenannten Phish-prone Percentage kann die Anfälligkeit gemessen werden.

Wir erklären genau, was die Phish-prone Percentage ist und wie der Wert für ein Unternehmen ermittelt werden kann.

Hohe Bedrohungslage durch Phishing

Cyber-Bedrohungen sind ein Problem, mit dem Unternehmen Tag für Tag konfrontiert werden. Verschiedene Berichte – einschließlich BSI Lagebericht 2023 und BKA Bundeslagebild 2023 – zeigen, dass die Gefahr eines Cyberangriffs allgegenwärtig ist. Die im Mai 2024 von der KPMG AG veröffentlichte Studie “e-Crime in der Deutschen Wirtschaft 2024” zeigt, dass jedes dritte Unternehmen in Deutschland in den letzten zwei Jahren zum Opfer eines Cyberangriffs geworden ist. Am häufigsten – mit einem Anteil von 53 Prozent – sind die betroffenen Unternehmen Phishing-Kampagnen zum Opfer gefallen.

Das ist nicht wirklich überraschend: Die Zahl der Phishing-Angriffe nimmt stetig zu – und das hat einen guten Grund. Für Cyber-Kriminelle hat es sich als besonders effektiv erwiesen, Menschen als angeblich schwächstes Mitglied in der Cyber-Verteidigungskette anzusprechen. Angriffe zielen daher darauf ab, Mitarbeiter im Rahmen von Phishing-Kampagnen durch anspruchsvolle Social Engineering-Methoden zu täuschen.

Die Frage stellt sich daher für Unternehmen: Wie groß ist das Risiko, Opfer eines Phishing-Angriffs zu werden? Die Phish-prone Percentage gibt eine Antwort auf diese Frage.

Zu sehen sind die Hände einer Frau, die Gmail auf ihrem Laptop nutzt. Fällt sie auf Phishing herein und treibt den Phish-prone Percentage in ihrem Unternehmen in die Höhe? Bild: Pexels/Taryn Elliott

Unzählige E-Mails flüstern täglich mit Mitarbeitern – einige von ihnen sind Phishing-Ansätze. Bild: Pexels/Taryn Elliott

Was ist Phish-prone Percentage (PPP)?

Der englische Begriff Phish-prone Percentage (Abkürzung: PPP) bedeutet in deutscher Sprache etwa “Phishing-anfälliger Prozentsatz”. Dies ist ein wichtiger Indikator dafür, wie empfindliche Mitarbeiter eines Unternehmens für Phishing-Angriffe sind. Um sich zu erinnern: Mit Phishing-Angriffen versuchen Cyberkriminelle, sensible Informationen wie Passwörter oder Bankdaten zu stehlen, indem sie sich als vertrauenswürdige Institution oder als vertrauenswürdiger Kontakt ausgeben. Das PPP misst den Prozentsatz der Mitarbeiter in einem Unternehmen, das in solche betrügerischen E-Mails fallen würde und auf einen Phishing Link klicken würde.

Je höher der Phish-prone-Anteil ist, desto größer ist die Verwundbarkeit und je höher das Risiko erfolgreicher Phishing-Angriffe. Wenn das PPP jedoch niedrig ist, deutet dies darauf hin, dass Mitarbeiter bei der Behandlung von verdächtigen E-Mails vorsichtig sind. Das PPP dient daher als wichtiges Merkmal zur Beurteilung der Notwendigkeit gezielter Trainings- und Sicherheitsübungen.

Berechnungsmethode der Phish-prone Percentage

Die Berechnung des Phish-prone-Anteils erfolgt durch simulierte Phishing-Tests, bei denen gefälschte Phishing-E-Mails an Mitarbeiter gesendet werden. Hier eine Übersicht, wie die Berechnung des PPP grob ist:

Simulierte Phishing Kampagne:
Eine Reihe von Phishing-E-Mails werden an die Mitarbeiter eines Unternehmens gesendet. Die E-Mails sind entworfen, um echte Phishing-Angriffe nachzuahmen.
Die Interaktionen verfolgen:
Es wird nachverfolgt, wie die Mitarbeiter auf diese E-Mails reagieren. Aktionen wie Öffnen der E-Mail, Klicken auf den Link und Eingabe von Informationen werden aufgezeichnet.
Berechnung des PPP:
Das PPP wird berechnet, indem die Anzahl der Mitarbeiter, die auf den Phishing-Link geklickt haben oder anderweitig auf die Mail reagiert haben durch die Gesamtzahl der Mitarbeiter, die die Mail erhalten haben, geteilt wird. Das Ergebnis wird dann mit 100 multipliziert, um den Prozentsatz zu erhalten. Wichtig: Die Berechnung beinhaltet die Anzahl aller Fehler, die gemacht wurden – und es ist durchaus denkbar, dass ein einzelner Benutzer mehrere Fehler macht.

Das klingt vielleicht etwas zu theoretisch. Ein Beispiel hilft zu illustrieren: Wenn 100 Personen simulierte Phishing-E-Mails erhalten und 52 von ihnen auf den in der E-Mail enthaltenen Link klicken, beträgt die PPP 52 Prozent. Wenn 8 dieser 52 Personen Daten auf der im Link gespeicherten Landingpage eingeben, wird die PPP für diese Kampagne auf 60 Prozent ansteigen.

Zu sehen ist ein Frau mit kritischem Blick am Laptop. Vielleicht hat sie eine Phishing-Mail erkannt und trägt zu einem niedrigen Phish-prone Percentage bei. Bild: Pexels/Ron Lach

Eine verdächtige E-Mail? Grundsätzlich ist es wichtig, die eingehenden E-Mails kritisch zu überprüfen. Bild: Pexels/Ron Lach

Ist meine Firma anfällig für Phishing?

Es ist dann natürlich auch wichtig, den ermittelten Wert klassifizieren zu können. Im Allgemeinen gilt die folgende Einstufung in die Bewertung:

Niedriger PPP:
Ein PPP unter 10 Prozent wird im Allgemeinen als niedrig angesehen. Das bedeutet, dass weniger als 10 Prozent der Mitarbeiter gegen Phishing-Angriffe verletzlich sind, was eine gute Sicherheitskultur und effektive Trainingsprogramme nahelegt.
Mittlerer PPP:
Ein PPP zwischen 10 und 20 Prozent gilt als moderat. Es gibt noch Verbesserungspotenziale, und es sollte in Ausbildung und Sensibilisierung investiert werden.
Hoher PPP:
Ein PPP von mehr als 20 Prozent wird als hoch angesehen. Ein solcher Wert deutet darauf hin, dass ein wesentlicher Teil des Personals für Phishing-Angriffe anfällig ist, was ein enormes Sicherheitsrisiko ist. In diesem Fall sind dringende Maßnahmen erforderlich, um die Sicherheit der Arbeitnehmer zu verbessern.

Einige andere Faktoren, wie die Branche und die Größe des Unternehmens, können in die Bewertung einbezogen werden. Da kleine und mittelständische Unternehmen jedoch genauso im Visier von Cyber-Kriminellen sind wie Großkonzerne, ist das Bewusstsein für Cyber-Risiken und die Sensibilisierung grundsätzlich unverzichtbar.

Wie Unternehmen ihre PPP verbessern

Es ist notwendig, Maßnahmen zu ergreifen, um die Anfälligkeit für Phishing-Angriffe zu reduzieren und die Sicherheit zu erhöhen. Hier sind unsere Tipps, wie Unternehmen ihre PPP verbessern können:

Schulen Sie Ihre Mitarbeiter!
Mitarbeiter sollten regelmäßig in den Grundlagen der Cyber-Sicherheit und vor allem in der Erkennung von Phishing-E-Mails ausgebildet werden. Diese Schulungen sollten praktisch und interaktiv sein, um das Bewusstsein zu wecken und die Lernenden zu stärken.
Führen Sie simulierte Phishing-Tests!
Durch regelmäßig simulierte Phishing-Angriffe können Unternehmen testen, wie gut ihre Mitarbeiter auf Phishing-Ansätze reagieren. Diese Tests helfen kontinuierlich, Schwachstellen zu identifizieren und gezielte Schulungsmaßnahmen abzuleiten.
Erfahren Sie mehr über (aktuelle) Bedrohungen!
Interne Kampagnen, wie Poster, Newsletter oder E-Mail-Erinnerungen, können das Bewusstsein für Phishing-Erfahrungen ständig präsentieren. Diese sollten regelmäßig aktualisiert werden, um neue Bedrohungen zu alarmieren.
Legen Sie klare Richtlinien fest!
Unternehmen sollten klare Richtlinien für die Behandlung von verdächtigen E-Mails und die Berichterstattung von Phishing-Anfragen haben. Diese Verfahren müssen den Mitarbeitern bekannt und leicht zugänglich sein.
Setzen Sie effiziente Technologien ein!
Mit E-Mail-Filtern und Anti-Phishing-Software können viele Phishing-E-Mails bereits im Voraus blockieren. Diese Technologien sollten regelmäßig aktualisiert werden, um auf dem neuesten Stand zu bleiben. Eine Firewall ist auch wichtig für die Verteidigung von Cyber-Bedrohungen.
Nicht nur meckern, sondern loben!
Mitarbeiter, die Phishing-E-Mails erfolgreich identifizieren und melden, sollten anerkannt und belohnt werden. Dies fördert eine positive Sicherheitskultur und motiviert andere, wachsam zu sein.

Durch die Kombination dieser Maßnahmen können Unternehmen ihre PPP effektiv reduzieren, die Sicherheitsfähigkeit ihrer Mitarbeiter stärken und das Risiko erfolgreicher Phishing-Angriffe deutlich reduzieren. Brauchen Sie Unterstützung bei der Umsetzung unserer Tipps?

IT-Dienstleister schärfen Sicherheitsbewusstsein

Ein entscheidender Schritt zur Verbesserung des Sicherheitsbewusstseins in Unternehmen ist die Zusammenarbeit mit professionellen IT-Dienstleistern. Wir als one4 IT bieten spezialisierte Schulungs- und Beratungsleistungen, die auf die neuesten Bedrohungen und Best Practices zugeschnitten sind. Dazu gehören regelmäßig aktualisierte Trainingsprogramme, die die Erkennung von Phishing-Techniken und anderen Cyber-Bedrohungen fördern, sowie die Implementierung simulierter Phishing-Angriffe, die potenzielle Schwachstellen identifizieren.

Wir unterstützen auch, technologische Lösungen für die Cyber-Abwehr zu implementieren, einschließlich fortschrittlicher E-Mail-Filter und Anti-Phishing-Software. Mit unseren Managed Services überwachen wir die umgesetzten Maßnahmen und aktualisieren die implementierten Technologien, damit sie neu entdeckten Bedrohungen standhalten können.

Möchten Sie mehr darüber erfahren, wie Sie gemeinsam mit uns eine robuste Sicherheitskultur schaffen und das Risiko von Cyberangriffen reduzieren? Dann kontaktieren Sie uns und lassen Sie sich beraten.

Weitere Informationen:
KPMG, it-daily, KnowBe4, KnowBe4, IT-BUSINESS
Für eine bessere Lesbarkeit verwenden wir die männliche Form im Text. Allerdings sind alle Geschlechter und Geschlechtsidentität immer gemeint.

Lesen Sie den Originalartikel auf IT-SERVICE.network

← Vorheriger Beitrag: Kaspersky-Verbot - Was Sie jetzt über die Verwendung der Antiviren-Software wissen müssen Nächster Beitrag: Anzeichen von Ransomware sicher erkennen →

← Vorheriger Beitrag Nächster Beitrag →