Schweizer Benchmark: Jeder Dritte fällt auf gezieltes Phishing herein

Der Berner IT-Dienstleister Cassarius hat bei 30 Unternehmen mit insgesamt rund 10'700 Angestellten einen Test durchgeführt, der zeigen sollte, wie anfällig Unternehmensangestellte auf Phishing-Mails sind. Die Sensibilisierung von Mitarbeitenden im Umgang mit Informationen und Systemen hat in den letzten Jahren stark an Bedeutung zugenommen, so Cassarius. Die tägliche Erfahrung zeige jedoch, dass "aus theoretischem Wissen noch lange kein entsprechendes Handeln hervorgeht."
 
Der Test scheint dies zu bestätigen. Das Lockmittel bestand dabei aus einem E-Mail, das eine Falschmeldung über eine angeblich fehlgeschlagene Softwareaktualisierung enthielt, sowie einen Link, um ein manuelles Update vorzunehmen. Rund 29 Prozent aller Empfänger klickten darauf, und landeten dadurch auf einer Site, auf der sie sich bereits eine Drive-by-Infektion hätten einhandeln können. Auf der Site gab es dann noch eine weitere Falle: Die User wurden dazu aufgefordert, ihre Logindaten anzugeben, um das Update abzuschliessen. Jeder Fünfte, der auf der Site landete, beziehungsweise rund 6 Prozent aller Probanden, tat dies und hätte damit einem Angreifer netterweise auch noch Usernamen und Passwort oder Pin mitgeteilt.
 
So hohe Klickraten erzielen Angreifer aber wohl nur mit gut gemachten und sehr gezielten Phishingmails. Cassarius verwendete beim Test zwei Mailvarianten. Die grosse Mehrheit (9600) erhielt ein Mail, bei dem die Absenderadresse der Domäne des jeweiligen Unternehmens ähnelte. Bei diesen Mails klickte fast ein Drittel der User auf den Link. 1125 Personen erhielten das Mail von einer ungetarnten externen Adresse. Von ihnen klickten rund 8 Prozent auf den Link. (hjm)