BYOD-Risiken so hoch wie nie: Mobile Phishing nimmt zu

Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen mindestens einem Angriff per Mobile Phishing pro Quartal ausgesetzt

[datensicherheit.de, 28.03.2023] Gestohlene Zugangsdaten von Mitarbeitern sind offensichtlich eine der effektivsten Möglichkeiten für Angreifer, die Infrastruktur eines Unternehmens zu infiltrieren: Sobald sie die Anmeldeinformationen eines der Konten in der Hand haben, ist es für sie viel einfacher, die Sicherheitsmaßnahmen zu umgehen und Zugang zu sensiblen Daten zu erhalten. Da stellt sich die Frage, wie die Angreifer an diese Anmeldedaten kommen – die Antwort lautet demnach in vielen Fällen Mobile Phishing. Eine weltweite Studie von Lookout hat nach eigenen Angaben ergeben, dass die Zahl der Mobile-Phishing-Angriffe im Jahr 2022 so hoch war wie nie zuvor: „Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen war mindestens einem Angriff pro Quartal ausgesetzt.“ Auch im ersten Quartal 2023 sei dieser Trend ungebrochen.

Foto: Lookout

Sascha Spangenberg: Gerade der Schutz vor mobilen Phishing-Bedrohungen muss dabei Priorität haben, wenn hybrides Arbeiten Realität ist!

Jedes mobile Gerät anfällig für Phishing-Versuche

Sascha Spangenberg, „Global MSSP Solutions Architect bei Lookout“, erläutert hierzu: „Hybride Arbeitsumgebungen und Bring-your-own-device (BYOD)-Richtlinien könnten zwei Gründe für den Anstieg sein. Die Unternehmen mussten akzeptieren, dass immer häufiger persönliche Mobilgeräte für berufliche Zwecke zum Einsatz kommen.“

Es gelte jedoch zu bedenken, dass jedes mobile Gerät – ob privat oder unternehmenseigen, verwaltet oder nicht verwaltet, „iOS“ oder „Android“ – anfällig für Phishing-Versuche sei.

BYOD hat Phishing-Landschaft verändert

Smartphones und Tablets hätten es für Mitarbeiter einfacher gemacht, von überall aus produktiv zu sein – „aber sie haben auch neue Herausforderungen für IT- und Sicherheitsteams mit sich gebracht“. BYOD-Richtlinien bedeuteten, dass mehr Menschen als je zuvor ihre privaten Geräte für die Arbeit nutzten.

„Dies bedeutet, dass die Risiken, denen sie bei der Nutzung dieser Geräte aus persönlichen Gründen begegnen, auch Risiken für das Unternehmen darstellen“, warnt Spangenberg. IT- und Sicherheitsteams hätten außerdem einen deutlich geringeren Einblick in diese Geräte als in die unternehmenseigenen Geräte – „was bedeutet, dass es schwieriger ist, diese erhöhten Risiken zu kontrollieren“.

Über 50% der privaten Geräte mindestens einmal pro Quartal mobilem Phishing-Angriff ausgesetzt

Diese Faktoren führten dazu, dass Angreifer nun gezielt die privaten Geräte der Benutzer angriffen, um in Unternehmensumgebungen einzudringen. Ein Mitarbeiter könne über private Kanäle wie Soziale Medien, „WhatsApp“ oder E-Mail Opfer eines Social-Engineering-Angriffs werden. „Sobald dies der Fall ist, können Angreifer Zugang zu den Netzwerken oder Daten seines Arbeitgebers erhalten“, so Spangenberg.

Dies sei zudem kein einmaliges Ereignis – so zeigten Daten von Lookout, dass im Jahr 2022 mehr als 50 Prozent der privaten Geräte mindestens einmal pro Quartal einer Art von mobilem Phishing-Angriff ausgesetzt gewesen seien.

Phishing-Betrug: Millionenbeträge stehen auf dem Spiel

„Daten sind nicht das Einzige, was Unternehmen riskieren, wenn Mitarbeiter auf einen Phishing-Betrug hereinfallen“, stellt Spangenberg klar. Lookout schätzt, „dass die maximalen finanziellen Auswirkungen eines erfolgreichen Phishing-Angriffs für Unternehmen mit 5.000 Mitarbeitern auf fast vier Millionen US-Dollar gestiegen sind“. Stark regulierte Branchen wie Versicherungen, Banken und das Rechtswesen gälten als die lukrativsten Märkte und seien aufgrund der großen Menge an sensiblen Daten in ihrem Besitz besonders anfällig für Angriffe.

„Diese hohen Kosten fallen in eine Zeit, in der die Zahl der Phishing-Angriffe so hoch ist wie nie zuvor.“ Im Vergleich zu 2020 sei die Zahl der Phishing-Angriffe auf Unternehmensgeräten jetzt um zehn Prozent und auf privaten Geräten um 20 Prozent höher. Außerdem klickten die Menschen häufiger auf Phishing-Links als noch im Jahr 2020, „was bedeuten könnte, dass die Angreifer immer besser darin werden, authentisch aussehende Nachrichten zu erstellen“. Spangenberg betont: „Da mehr Risiken und mehr Geld auf dem Spiel stehen als je zuvor, müssen Unternehmen ihre Sicherheitsstrategien anpassen, um ihre Daten zu schützen.“

Wie Daten gegen mobile Phishing-Bedrohungen geschützt werden können

Die Mobile-Phishing-Landschaft sei tückischer als je zuvor, vor allem, da das standortunabhängige Arbeiten zunehme. IT- und Sicherheitsteams müssten Strategien anwenden, welche es ihnen ermöglichten, die von Phishing-Angriffen ausgehenden Datenrisiken auf allen Mitarbeitergeräten zu visualisieren, zu erkennen und zu minimieren. Dies gelte unabhängig davon, ob es sich um unternehmenseigene oder private Geräte handelt. Mit der richtigen Strategie, basierend auf dem Zero-Trust-Prinzip und SASE (Secure Access Service Edge), sei es möglich, die hybride Arbeitswelt sicher zu gestalten.

„Eine geräteinterne und KI-gestützte Phishing-Erkennung über eine ,cloud’-basierte Sicherheitsplattform ermöglicht es, Angriffe dort zu stoppen, wo sie beginnen. Eine entsprechende Sicherheitslösung hindert Benutzer daran, sich sowohl auf Unternehmens- als auch Privatgeräten mit Phishing-Websites zu verbinden“, erklärt Spangenberg. Er führt abschließend hierzu aus: „Eine solche Lösung erkennt und blockiert Phishing-Angriffe über jede beliebige mobile App und hindert Mitarbeiter daran, Zugangsdaten preiszugeben oder bösartige Software herunterzuladen.“ Gerade der Schutz vor mobilen Phishing-Bedrohungen müsse beim hybriden Arbeiten Priorität haben.

Weitere Informationen zum Thema:

Lookout
The Global State of Mobile Phishing Report