Warum ist genau jetzt ein guter Zeitpunkt, sich den Faktor Mensch in der IT-Sicherheit (noch) genauer anzuschauen?
Das vergangene Jahr war – nicht zuletzt durch die COVID-19-Pandemie – ein Jahr der Herausforderungen für uns alle. Cyberkriminelle haben diese Situation schamlos ausgenutzt und uns angegriffen, als wir am verletzlichsten waren. Schon kurz nach Ausbruch des Infektionsgeschehens konnten wir Phishing-Kampagnen beobachten, die sich die angespannte Lage zunutze machten. Es wurden Angriffe konzipiert, die mit den Emotionen der Menschen spielten und letztlich ganzeInfrastrukturen lahmlegten. Schnell war klar: Die Angreifenden nutzen diese Krise ohne Skrupel für Social-Hacking-Attacken aus.
Homeoffice macht anfälliger für Cyberangriffe
75 % der befragten IT-Sicherheitsexpertinnen und -experten gehen davon aus,
dass das neue Homeoffice-Setting erfolgreiche Cyberangriffe wahrscheinlicher
macht. Dies zeigt sich auch in den Klickdaten: Unsere Analysen ergeben, dass die
Klickrate auf Phishing-Mails in dezentralen Organisationen (beziehungsweise bei
Remote Work) signifikant höher ist als in zentral aufgestellten Organisationen
(beziehungsweise bei Präsenzarbeit). Dementsprechend plant die Mehrheit der
befragten Entscheiderinnen und Entscheider auch, mit dem Wechsel ins Homeoffice
die Maßnahmen zur Sensibilisierung der Mitarbeitenden zu erhöhen oder
zumindest beizubehalten.
Die Coronakrise als Fest für Cyberkriminelle
Cyberkriminelle nutzen Krisen – wie aktuell durch das Coronavirus – und gesellschaftliche
Instabilität für ihre Zwecke aus und fahren ihr Angriffsvolumen in
solchen Zeiten weiter hoch. Die Auswertungen zeigen einen rapiden Anstieg an
Ransomware-Typen in diesem Jahr, insbesondere während des ersten Lockdowns
im März 2020. Das gleiche gilt für deren Erfolgswahrscheinlichkeit: In der Phase
des ersten Lockdowns war die Klickrate bei Phishing-Mails stark erhöht.
Erfolgreiche Social-Engineering-Maschen durch Coronabezug
Cyberkriminelle haben bereits in den ersten Wochen der Pandemie Coronaspezifische
Inhalte in Phishing-Kampagnen einfließen lassen. Unsere Analysen
zeigen nachweislich, dass dies auch zu einer erhöhten Erfolgswahrscheinlichkeit
führt. Corona-Phishing-Mails oder E-Mails, die die Einführung von Remote-
Tools adressieren, führen unser Ranking der erfolgreichsten Phishing-Mails an.
Während die durchschnittliche Klickrate bei 29 % liegt, zeigen E-Mails mit dem
Wort „Corona“ im Betreff Klickraten bis zu 78,8 %.
Trojaner weiter auf dem Vormarsch
Trojaner sind weiterhin der gefährlichste Malware-Typ – sie machen 55 % der
bekannten Schadsoftware aus. Auch die Gesamtmenge an neuer Malware
erreichte 2020 mit 750 Millionen eine noch nie da gewesene Dimension.
Angriffe ohne Skrupel – KRITIS im Visier
Angriffe auf Organisationen der kritischen Infrastruktur (KRITIS) haben im
vergangenen Jahr laut Bundesregierung um 50 % zugenommen. Dabei ist die
Erfolgsrate simulierter Phishing-Angriffe – und damit auch das Risiko, einem
Cyberangriff zum Opfer zu fallen – zum Beispiel in Krankenhäusern im Vergleich
zum Durchschnitt um 30 % erhöht. Besonders skrupellos: Auch die Herstellungsund
Lieferkette für die Corona-Impfstoffe steht oftmals im Fokus der Attacken.
Digital Natives klicken am häufigsten auf Phishing-Mails
In einer separaten Studie mit 5.000 Teilnehmenden analysierten wir das Klickverhalten
von Bürgerinnen und Bürgern – auch unter Berücksichtigung demografischer
Variablen. Der Mythos des „Digital Natives“ suggeriert, dass jüngere
Nutzende sicherer im Umgang mit IT sind. Die Ergebnisse zeigen jedoch, dass
18- bis 29-Jährige mit einer Klickrate von 38 % häufiger auf Phishing-Mails klicken
als alle anderen Altersgruppen mit durchschnittlich nur 25 %.
Human Risk Review 2021
Eine Analyse der europäischen Cyber-Bedrohungslage.
Im diesem Report findet ihr:
umfangreiche Analysen zur aktuellen europäischen Cyber-Bedrohungslage,
Experten-Interviews zum Faktor Mensch in der IT-Sicherheit und
konkrete Empfehlungen zur Minimierung des Human Risks in Ihrer Organisation
SoSafe – Human Risk Review – 2021
Quelle: Cyber Security Awareness Trainings für Ihr Unternehmen (sosafe.de)