Phishing-Benchmarking-Bericht von KnowBe4: Cyber-Sicherheitstrainings zeigen Wirkung

Starke Sicherheitskultur zusammen mit -technologie für die Bekämpfung von Cyber-Bedrohungen unerlässlich

[datensicherheit.de, 06.06.2024] KnowBe4 hat die Ergebnisse des aktuellen Reports – „Phishing-Benchmarking-Bericht 2024“ – veröffentlicht. Bestimmt worden sei der Wert „Phish-prone™ Percentage“ (PPP) eines Unternehmens, um zu ermitteln, wie viele seiner Mitarbeiter wahrscheinlich auf Phishing oder Social-Engineering-Betrug hereinfallen. Der diesjährige Bericht zeigt demnach, dass europäische Arbeitnehmer ohne „Security Awareness Training“ mit 32,6 Prozent einen etwas besseren PPP-Wert aufweisen als der weltweite Durchschnitt mit 34,3 Prozent. „Dies deutet darauf hin, dass europäische Arbeitnehmer etwas weniger auf bösartige Links zu klicken oder betrügerischen Anfragen nachkommen.“ KnowBe4 habe 54 Millionen simulierte Phishing-Tests analysiert, an denen fast zwölf Millionen Benutzer aus 55.675 Organisationen in 19 verschiedenen Branchen teilgenommen hätten. Dabei sei eine PPP-Baseline ermittelt worden, welche die Klickraten bei Phishing-Tests von Mitarbeitern ohne KnowBe4-Security-Awareness-Training angebe. Der diesjährige Bericht gehe auch auf Phishing-Benchmarks aus Nordamerika, Südamerika, Großbritannien sowie Irland, Afrika, Asien, Australien und Neuseeland ein.

Foto: KnowBe4

Dr. Martin J. Krämer: Unternehmen müssen die Bedeutung kontinuierlicher Security-Awareness betonen, um eine starke Sicherheitskultur aufzubauen!

Organisationen in Europa sollten Bemühungen zur Reduzierung des menschlichen Risikos für die Cyber-Sicherheit weiter intensivieren

„Europäische Organisationen, die nach dem ersten Basistest regelmäßige Security-Awareness-Trainings und simulierte Phishing-Tests durchführten, verzeichneten innerhalb von 90 Tagen eine durchschnittliche Reduzierung des PPP auf 20,3 Prozent.“ Nach zwölf Monaten fortlaufender Schulungen und Tests sei der PPP weiter auf 5,5 Prozent gesunken.

Die langfristigen Ergebnisse seien beeindruckend, aber sie lägen immer noch leicht über dem weltweiten Durchschnitt von 18,9 nach 90 Tagen und 4,6 Prozent nach einem Jahr konsequenter Schulung und Tests. Dies zeige, dass Organisationen in Europa ihre Bemühungen zur Reduzierung des menschlichen Risikos für die Cyber-Sicherheit weiter intensivieren müssten.

Reduzierung der Anzahl der Cyber-Sicherheitsverletzungen nachweisbar

Die drastische Reduzierung der Anzahl der Cyber-Sicherheitsverletzungen sowohl nach drei als auch nach zwölf Monaten beweise, dass die Verbesserung der Sicherheitskultur Wirkung zeige. Sie erfordere die Änderung bestehender Gewohnheiten und die Förderung neuer sicherer Verhaltensweisen. KnowBe4 betont: „Wenn Mitarbeiter neue Verhaltensweisen verinnerlichen, werden diese zu Gewohnheiten und entwickeln sich zu Standardpraktiken, die die Organisationskultur prägen und eine Belegschaft schaffen, die Sicherheit instinktiv priorisiert.“

Die wichtigsten Erkenntnisse des KnowBe4-Berichts:

• Europas kleine und mittelständische Unternehmen (KMU) würden am häufigsten Phishing-Angriffe erleiden.
• Die öffentliche Verwaltung sei der am häufigsten angegriffene Sektor, gefolgt von Privatpersonen und dem Gesundheitswesen.
• Ransomware sei und bleibe eine der häufigsten per Phishing übertragenden Cyber-Bedrohungen.
• Die wirtschaftlichen Auswirkungen von Cyber-Angriffen seien enorm.
• Es lasse sich ein deutlicher Anstieg der Informationsmanipulation erkennen.
• Nur 32 bis 35 Prozent der europäischen Organisationen bewerteten ihre Cyber-Risiken mehr als einmal im Jahr.
• Die Bedrohung durch Fehlinformationen bzw. Desinformation für Organisationen, nun noch mittels KI verstärkt, nehme zu.
• Die Formulierung von Phishing und Spear-Phishing, angetrieben durch KI-Tools, zeige eine zunehmende Raffinesse.

Mitarbeiter müssen in die Cyber-Abwehr eines Unternehmens eingebunden werden

„In Europa wächst das Verständnis und die Erkenntnis, dass alle Mitarbeiter in die Cyber-Abwehr eines Unternehmens eingebunden werden müssen, unabhängig von der Größe des Unternehmens”, unterstreicht Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seinem Kommentar.

Dr. Krämer gibt abschließend folgende Empfehlung mit auf den Weg: „Obwohl sich die Ansichten zur Cyber-Sicherheit von einer eher compliance-basierten Aufgabe zu einer strategischen Priorität gewandelt haben, vollzieht sich dieser Wandel nur langsam. Das muss sich ändern!“ Unternehmen müssten die Bedeutung kontinuierlicher Security-Awareness betonen, um eine starke Sicherheitskultur aufzubauen. Diese sei zusammen mit der Technologie für die Bekämpfung von Cyber-Bedrohungen unerlässlich.

Weitere Informationen zum Thema:

KnowBe4
Phishing

KnowBe4
PHISHING BY INDUSTRY BENCHMARKING REPORT / 2024 EDITION

datensicherheit.de, 04.06.2024
Phishing-Angriffe bleiben in Deutschland weiterhin ein großes Problem / Mehrere bekannte Finanzinstitute und selbst die KfW Bank warnen vor gefälschten Webseiten und Phishing-Mails

datensicherheit.de, 28.05.2024
Kaspersky-Umfrage: Bereits 17 Prozent aller Deutschen auf Phishing-Attacken reingefallen / 13 Prozent haben trotz Phishing-Vorfall Zugangsdaten nicht geändert

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO