Krankenwagen in Blaulichtfahrt

Phishing-Studie: Erfolgsraten sind hoch und Verteidigungsstrategien teilweise nutzlos

Haben Sie sich jemals gefragt, wie effektiv Ihre Anti-Phishing-Maßnahmen wirklich sind? Eine neue, großangelegte Studie an über 7.000 Email-Accounts einer deutschen Universitätsklinik liefert überraschende Antworten. Die Forscher Jan Tolsdorf, David Langer und Luigi Lo Iacono haben darin nicht nur untersucht, wer am ehesten auf Phishing hereinfällt, sondern auch, welche Arten von Phishing-Mail besonders effektiv sind und welche von 11 gängige Maßnahmen tatsächlich Schutz bieten.

Die Ergebnisse zeigen: Manche Maßnahmen sind fast wirkungslos, während andere das Risiko drastisch senken.

Nur wenige Mails nötig

Die Studie räumt mit dem Mythos auf, dass man als Angreifer tausende E-Mails senden muss, um erfolgreich zu sein.

  • Hohes Risiko in kurzer Zeit: Schon innerhalb der ersten 12 Stunden interagierten 6,5 % der Empfänger mit dem gefälschten Login-Feld. Folglich braucht es nur etwa 69 Phishing-Mails, damit mit 99% Wahrscheinlichkeit mindestens ein Mitarbeiter seine Daten preisgibt.
  • Die „Zweite Welle“: Phishing-Mails sind nicht nur im Moment des Empfangs gefährlich. Die Gefahr besteht etwa drei Tage lang, wobei es am nächsten Arbeitstag oft zu einer „zweiten Welle“ an Klicks kommt. Danach sinkt die Wahrscheinlichkeit deutlich.

Unterschiedliche Anfälligkeit der Berufsgruppen

Zudem wurde untersucht ob sich die Klick- und Loginraten zwischen den verschiedenen Berufsgruppen in einem Krankenhaus unterscheiden.

Wie zu erwarten war, scheint das Risiko nicht gleich verteilt zu sein. Insbesondere Pflegepersonal und Funktionsdienste zeigten mit 29% eine statistisch signifikant höhere Anfälligkeit für Phishing als Ärzte, IT-Personal oder die Verwaltung. Dahingegen interagierten Mitglieder der IT und Verwaltung mit 23,3% am wenigsten mit dem Login-Feld, gefolgt von Mitgliedern der „Andere“ Sammelgruppe (Reinigung, Küche, etc.) mit 24,2% und Ärzten mit 25,8%.

Erfolgsmerkmale von Phishing Mails

Außerdem fanden die Forscher heraus, dass bestimmte Merkmale Phishing-Mails im Durchschnitt erfolgreicher machen, obwohl auch hier teilweise starke Unterschiede zwischen den Berufsgruppen erkennbar sind:

  1. Timing: E-Mails am Morgen sind gefährlicher als am Nachmittag.
  2. Thema: E-Mails, welche sich auf die Lohnzahlung beziehen zeigen eine deutlich höhere Erfolgsrate als jene, welche sich auf den E-Mail Account beziehen.
  3. Druckmittel: Szenarien, die einen Verlust androhen (z. B. „Lohn wird einbehalten“), funktionieren besser als Belohnungen.
  4. Formatierung: Überraschenderweise führten simple Text-Mails zu mehr gefährlichen Login-Versuchen als aufwendig gestaltete HTML-Mails. Mitarbeiter halten schlichte Text-Mails oft fälschlicherweise für legitime, interne Kommunikation.

Effektivität von Schutzmaßnahmen

Im zweiten Teil der Studie wurden 11 technische Interventionen getestet, die ohne große Infrastrukturänderungen (In-Situ) möglich sind.

Am effektivsten erwiesen sich Maßnahmen, die auf technischer Erkennung basieren und klare Warnungen aussprechen:

  • Warnbanner: Auffällige Warnbanner, welche Nutzer explizit vor der E-Mail warnen, zeigten mit 80% – 83% eine signifikante Verminderung der Interaktionen mit dem Login-Feld. Wird zusätzlich die Absenderzeile selbst durch eine Warnung ersetzt fällt die Interaktionsrate sogar um 94%.
  • Spam-Filter: Auch die automatische Erkennung durch einen Spam-Filter und die anschließende Verschiebung in den Spamordner reduzierte die Interaktionsrate signifikant um 90%.
  • Ausbremsen: Maßnahmen, die den Nutzer ausbremsen, zeigten zwar Wirkung, jedoch eine vergleichsweise geringe. Das Deaktivieren von Links (erzwingt manuelles Kopieren) reduzierte Logins um 61%, eine extra Warnseiten vor der Loginmaske immerhin noch um 44%.

Viele Unternehmen setzen stattdessen jedoch auf das einfache Markieren externer E-Mails oder das Deaktivieren von Anzeigenamen. Die Studie zeigt jedoch:

  • Extern-Tags: Das bloße Markieren im Betreff oder Absender-Feld (z. B. „[EXTERN]“) hatte mit einer 17% – 24%-igen Reduktion keinen oder nur einen inkonsistenten Effekt. Mitarbeiter gewöhnen sich zu schnell daran oder verstehen die Bedeutung nicht.
  • Deaktivierung Anzeigename: Das Entfernen des Anzeigenamens, wodurch immer die E-Mail-Adresse angezeigt wird, hatte mit einer 18%-igen Reduktion kaum Auswirkungen.

Handlungsempfehlungen für Ihre IT-Sicherheit

Einfache Maßnahmen wie externe Tags reichen heutzutage nicht mehr aus. Orientieren Sie sich deshalb an evidenzbasierten Strategien um Ihre Organisation besser zu schützen:

  1. Schnelle Reaktion: Da das Risiko in den ersten 12 bis 24 Stunden am höchsten ist, müssen Maßnahmen aggressiv und schnell greifen. Nur wenige E-Mails reichen aus um ihr Netzwerk zu kompromittieren.
  2. Deutliche Warnbanner: Nutzen Sie auffällige, farbige Warnbanner im E-Mail-Körper, insbesondere wenn technische Checks (wie SPF/DKIM) fehlschlagen oder der Absender nicht verifiziert werden kann.
  3. Automatisierte Spam Filter: Nehmen Sie ihren Mitarbeitern automatisierbare Sicherheitsentscheidungen wenn möglich ab und bauen Sie Hürden in die Umgehung von Maßnahmen ein. Achten Sie trotzdem darauf, die Akzeptanz dieser Maßnahmen nicht durch zu viele Fehlalarme zu gefährden.
  4. Zielgruppenspezifische Schulungen: Behandeln Sie Ihre Belegschaft nicht als homogene Masse. Pflegekräfte benötigen andere Schulungen und Schutzmaßnahmen als Verwaltungsangestellte. Plain-Text-Mails sollten in Schulungen explizit als Bedrohung thematisiert werden.

getaggt in:

Jonas Hanfland