Phishing-Mails in Unternehmen: Welche Faktoren begünstigen den Erfolg von Angriffen?

Phishing-Mails gehören zu den beliebtesten Methoden von Cyberkriminellen. Durch diese Angriffsart entstehen jedes Jahr hohe finanzielle Schäden. Doch welche Faktoren erhöhen die Gefahr für Personen, Opfer einer solchen Attacke zu werden? Und welche Auswirkungen haben Schulungen und Warnungen auf die Teilnehmenden? Diesen Fragen sind Forschende der ETH Zürich in einer aktuellen Studie nachgegangen.

Beim Phishing versuchen Kriminelle persönliche Daten oder andere private Informationen von Nutzern abzugreifen. Häufig werden dazu betrügerische E-Mails verwendet, die potenzielle Opfer dazu verleiten sollen, sensible Informationen gegenüber den Kriminellen preiszugeben. In einigen Fällen dienen diese Mails auch dazu, Malware auf dem Gerät des Betroffenen zu installieren. Ein unbedachter Klick auf einen Anhang führt dann zu einer Infektion mit einem Schadprogramm – für Betroffene häufig unbemerkt.

Forschende der ETH Zürich haben im Rahmen einer Studie nun untersucht, welche Gruppen von Mitarbeitenden besonders anfällig für Phishing sind, wie sich die Anfälligkeit im Laufe der Zeit entwickelt, welche Auswirkungen Schulungen und Warnungen auf die Teilnehmenden hat und welche Möglichkeiten es gibt, die Mitarbeitenden in den Prozess der Phishing-Erkennung miteinzubeziehen.

Ablauf und Ergebnisse der Studie

Für die Studie wurden 14.733 Probandinnen und Probanden über einen Untersuchungszeitraum von 15 Monaten Phishing-Mails an ihre Arbeits-E-Mail-Adressen zugeschickt. Dabei wurde eine Schaltfläche im E-Mail-Client integriert, mit der die Teilnehmenden zweifelhafte E-Mails melden konnten.

Während der gesamten Dauer des Experiments ließ sich ein stetiger Anstieg der Meldungen beobachten, der sich nicht verlangsamte. Die Untersuchung zeigt also, dass bei den Teilnehmenden keine Tendenz zur sogenannten „Meldemüdigkeit“ erkennbar war. Stattdessen deuten die Ergebnisse daraufhin, dass die Mitarbeitenden verdächtige E-Mails über lange Zeiträume hinweg aktiv melden können, wenn ihnen das Melden leicht gemacht wird.

Im Rahmen der Studie wurde auch die Reaktionszeit und die Markierungsgenauigkeit analysiert. Demnach wurden im Erfassungszeitraum insgesamt 68% der Phishing-Mails von den Mitarbeitenden als solche richtig gemeldet. Die Ergebnisse der Studie zeigen, dass die Reaktionszeit der Angestellten insgesamt als sehr schnell eingestuft werden kann. Im Durchschnitt trafen etwa 10 % der Meldungen innerhalb von fünf Minuten ein, 20 % innerhalb von 15 Minuten und 30 bis 40 % innerhalb von 30 Minuten. Schnelle Reaktionen bei der Meldung verdächtiger E-Mails sind für Unternehmen von besonderer Relevanz, da alle Mitarbeitenden so vor potenziellen Bedrohungen schneller gewarnt werden können und das Risiko für einen erfolgreichen Angriff gesenkt wird.

Insgesamt klickten 32,1% der Teilnehmenden mindestens einen bösartigen Link oder Anhang an. Das zeigt, dass Mitarbeitende, die immer wieder mit einer solchen Betrugsart konfrontiert werden, letztendlich oftmals auch Opfer davon werden. Die Ausführlichkeit der Warnmeldung hatte dagegen keinen Einfluss auf einen Anstieg ihrer Wirksamkeit.

Ein weiteres Phänomen, das festgestellt wurde, war das der Mehrfachklicker. Mit diesem Begriff werden Personen bezeichnet, die auf mehr als eine Phishing-E-Mail klicken. Mehr als 30 % der Personen, die auf einen Phishing-Angriff hereinfielen, wurden auch Opfer eines weiteren. Das unterstreicht die Wichtigkeit von Schulungen, um das Risiko-Bewusstsein der Mitarbeitenden zu erhöhen.

Welche Faktoren beeinflussen die Anfälligkeit für Phishing?

Während sich das Geschlecht der Teilnehmenden entgegen der Ergebnisse anderer Studien als keine entscheidende Variable herausstellte, stützen die Ergebnisse des Experiments frühere Arbeiten, die gezeigt haben, dass sowohl das Alter als auch die Computerkenntnisse mit der Phishing-Anfälligkeit korrelieren: So zeigen die Untersuchungen, dass vor allem ältere und insbesondere jüngere Mitarbeitende, sowie Personen mit geringeren Computerkenntnissen stärker durch Phishing-Mails gefährdet sind als andere Gruppen. Wie die Ergebnisse illustrieren, ist auch die jüngere Generation der Digital Natives trotz des intensiven und vermeintlich intuitiven Umgangs mit digitalen Technologien nicht besser vor Cyberangriffen geschützt als andere Altersgruppen.

Aus den Forschungsergebnissen lässt sich daher ableiten, dass nicht nur ein erhöhter Schulungsbedarf für Personen mit geringen Computerkenntnissen, sondern auch allgemein für jüngere und ältere Mitarbeitende besteht.

Einen Unterschied gab es auch zwischen denjenigen Probandinnen und Probanden, die keinen PC für ihre tägliche Arbeit verwenden, und denjenigen, die auf spezielle Software für ihre Tätigkeiten angewiesen sind. Letztere waren anfälliger für Phishing-Mails.

Wie Phishing-Mails erkannt werden können

Wie die Ergebnisse der Studie zeigen, stellen Phishing-Mails nach wie vor eine enorme Herausforderung für die digitale Sicherheit von Unternehmen dar, die im Fall eines erfolgreichen Angriffs massive Schäden verursachen können. Daher ist es wichtig, dass Sie die Anzeichen einer solchen Betrugs-Mail kennen.Misstrauisch werden sollten Sie insbesondere bei einer E-Mail, auf die eines der folgenden Merkmale zutrifft:

  • In der Mail wird eine unpersönliche Anrede verwendet, ohne Ihren Namen zu nennen, wie etwa: "Sehr geehrter Kunde …".
  • In der Mail wird von einem dringenden Handlungsbedarf gesprochen, wie beispielsweise: "Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren …“.
  • In der Mail werden Drohungen verwendet, zum Beispiel: „Wenn Sie das nicht tun, müssen wir Ihr Konto leider sperren …".
  • In der Mail werden Sie aufgefordert, vertrauliche Daten wie die PIN für Ihren Online-Bankzugang oder eine Kreditkartennummer einzugeben.
  • In der Mail sind Links oder Formulare enthalten.
  • Der Text der Mail ist in schlechtem Deutsch oder in einer Fremdsprache verfasst. 
  • Der Text der Mail enthält kyrillische Buchstaben, falsch aufgelöste oder gänzlich fehlende Umlaute – zum Beispiel a oder "ea" statt ä.

Doch Vorsicht: Anders als in der Vergangenheit weisen viele Phishing-Mails heute keinerlei sprachliche Mängel mehr auf. Deshalb sollten Sie auch bei gut formuliertem Text weiterhin wachsam sein. Ein erster und wichtiger Hinweis auf einen E-Mail-Phishing-Versuch kann der Absender sein. Auch wenn dieser auf den ersten Blick vertrauenswürdig erscheint, verbirgt sich in diesem Fall oft eine ganz andere E-Mail-Adresse hinter dem Absender-Namen. Ob dies bei einer E-Mail der Fall ist, können Sie in Ihrem Programm damit überprüfen, indem Sie mit dem Cursor Ihrer Maus über die Absenderzeile fahren, ohne darauf zu klicken. Dort sehen Sie, ob in der Absenderzeile eine andere Adresse eingebettet ist. Befindet sich in der verdächtigen E-Mail zudem ein Link oder Button, der auf eine vermeintlich vertrauenswürdige Webseite verweist, kann der tatsächlich verknüpfte Link auf dieselbe Weise überprüft werden. Achten Sie hierbei auch auf Links die dem Original ähnlich sehen wie z. B. payp.al anstatt paypal.com oder durch gezielt eingesetzte Rechtschreibfehler, wodurch aus amazon.com schnell arnazon.com wird.

Generell ist es im Kontext von E-Mails, deren Herkunft nicht eindeutig oder fragwürdig ist, wichtig, ein gesundes Misstrauen an den Tag zu legen. Es gibt aber auch Möglichkeiten, wie Sie sich vorbeugend gegen Phishing-Angriffe schützen können. Firewall- sowie Virenschutz-Software-Lösungen verfügen über Mechanismen bzw. Maßnahmen, um aktuelle Virensignaturen zu erkennen, entsprechend davor zu warnen und zu schützen. Bei Verwendung solcher Software-Lösungen ist es von großer Bedeutung diese – in Bezug auf Updates – auf dem aktuellen Stand zu halten, damit der Schutz auch gegen neue Angriffsvektoren effektiv ist. Dasselbe gilt für das genutzte Mail-Programm.

Der Faktor Mensch bleibt die wichtigste Ressource gegen Angriffe

Die wichtigste Ressource, über die Sie als Schutz gegen eine erfolgreiche Phishing-Attacke verfügen, sind Sie selbst, Ihre Mitarbeitenden sowie Ihre Kolleginnen und Kollegen. Daher sollten Sie regelmäßig Angebote zur Weiterbildung und Trainings in Anspruch nehmen. Einen Überblick über unsere kommenden Veranstaltungen finden Sie hier.

Sie wollen über unser Angebot auf dem Laufenden bleiben? Dann abonnieren Sie doch unseren Newsletter.