[datensicherheit.de, 22.07.2025] Laut einer aktuellen KnowBe4-Untersuchung erzielen gefälschte interne E-Mails in Phishing-Simulationen die meisten Klicks. Der „KnowBe4 Q2 Phishing Simulation Roundup Report 2025“ unterstreicht demnach die anhaltende Anfälligkeit von Mitarbeitern für bösartige E-Mails, welche vertraut wirken – unabhängig davon, ob sie angeblich von der Personalabteilung, der IT-Abteilung oder von großen Marken stammen.

Abbildung: KnowBe4

Erkenntnisse aus dem „KnowBe4 Q2 Phishing Simulation Roundup Report 2025“ im Überblick

Bekannte Markennamen in E-Mail-Betreffzeilen als Köder

KnowBe4 hat seinen „Simulated Phishing Roundup“ Report für das zweite Quartal 2025 veröffentlicht: „Der Bericht zeigt einen anhaltenden Trend zur Anfälligkeit von Mitarbeitern für Social-Engineering-Techniken, die Vertrautheit und Vertrauen ausnutzen.“

• Dies zeige sich in den vorherrschenden Interaktionen mit internen Kommunikationskanälen und bekannten Marken, die 98 Prozent der wichtigsten E-Mail-Betreffzeilen ausmachten. Alle Daten für diesen Bericht entstammen der „KnowBe4 HRM+ Plattform“ und seien zwischen dem 1. April und dem 30. Juni 2025 erhoben worden.

Die Trends bei Phishing-Simulationen seien weitgehend konsistent mit dem ersten Quartal 2025 geblieben.

Die wichtigsten Ergebnisse des „Roundup“-Reports laut KnowBe4:

• Interne Themen dominieren
  Interne Themen machten 98,4 Prozent der zehn am häufigsten angeklickten E-Mail-Vorlagen aus.
  Davon entfielen 42,5 Prozent der Phishing-Fehler auf den Bereich Personalwesen und 21,5 Prozent auf den Bereich IT.
• Markenbezogene Landingpages
  71,9 Prozent der Interaktionen mit bösartigen Landingpages beträfen markenbezogene Inhalte.
  „Microsoft“ sei mit 26,7 Prozent am häufigsten vertreten gewesen – gefolgt von „LinkedIn“, „X“, „Okta“ und „Amazon“.
• Am häufigsten angeklickte Hyperlinks
  80,6 Prozent der 20 am häufigsten angeklickten Links stammten aus Simulationen mit internen Themen.
  68,2 Prozent davon hätten Domain-Spoofing-Techniken (d.h. verschleiern der eigenen oder vortäuschen einer fremden Identität) verwendet.
• Interaktionen mit Anhängen
  Die Klicks auf PDF-Anhänge seien im Vergleich zum ersten Quartal um 8,1 Prozent gestiegen.
  PDF-Dateien machten 61,1 Prozent der 20 häufigsten Anhänge aus, gefolgt von HTML-Dateien (20,9%) und „Word“-Dokumenten (18,0%).

Phishing-E-Mails von scheinbar seriösen Absendern wecken immer weniger Misstrauen beim Empfänger

„Eine der wichtigsten Erkenntnisse aus der zusammengefassten Analyse der Phishing-Simulationen im zweiten Quartal ist die entscheidende Rolle, die Vertrauen in der Cybersicherheit spielt“, kommentiert Erich Kron, Cybersicherheitsexperte bei KnowBe4. Er erläutert: „Ob es sich um Vertrauen in die interne Kommunikation, bekannte Marken oder sogar bekannte Personen handelt – Phishing-E-Mails, die scheinbar von seriösen Absendern stammen, wecken immer weniger Misstrauen beim Empfänger.“

• Sie sähen dies immer wieder in realen Szenarien, in denen Angreifer ausgefeilte Social-Engineering-Taktiken einsetzten, um diesen grundlegenden menschlichen Instinkt auszunutzen und es den Mitarbeitern zu erschweren, legitime von bösartigen E-Mails zu unterscheiden.

Kron betont zum Abschluss: „Die Ergebnisse des zweiten Quartals unterstreichen die Notwendigkeit für Unternehmen, ihre menschlichen Abwehrmechanismen durch einen mehrschichtigen Ansatz zu stärken, der sich auf das Management des ,Human Risks’ konzentriert.“ Dazu gehöre die Befähigung der Mitarbeiter, durch eine Kombination aus relevanten, zeitnahen und anpassungsfähigen Sicherheitsschulungen sowie durch intelligente Erkennungstechnologie die Bedrohungen in Echtzeit identifizieren und abwehren zu können.

Weitere Informationen zum Thema:

KnowBe4
About Us / KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day.

KnowBe4, Juni 2025
Taking The Bait / Top-clicked Phishing Tests From April – June 2025

datensicherheit.de, 17.06.2025
Phishing nach wie vor die häufigste Form der Internet-Kriminalität in den USA / Cybersecurity-Experten von ZeroBounce verfolgen die neuesten Entwicklungen im Bereich Phishing und haben wenig bekannte Taktiken identifiziert, welche selbst erfahrene Benutzer oft übersehen

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

datensicherheit.de, 13.02.2025
Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen / Sparkasse, Postbank, Telekom oder PayPal – oft werden Namen großer Unternehmen missbraucht, um in deren Namen Phishing-Mails zu versenden

datensicherheit.de, 04.10.2024
Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf / Mit fortschrittlichen Techniken gefälschte E-Mails machen es nahezu unmöglich, sie von echten zu unterscheiden

datensicherheit.de, 30.07.2024
Gezielte E-Mail-Angriffe auf größere Unternehmen: 42 Prozent erfolgen mittels Lateralem Phishing / „Barracuda Threat Spotlight“ warnt u.a. vor Phishing-Angriffen über bereits kompromittierte interne E-Mail-Konten in Unternehmen

[datensicherheit.de, 30.05.2025] KnowBe4 hat elementare Tipps für die Reisesicherheit veröffentlicht – diese sind demnach speziell auf Cybersicherheitsbedrohungen für Urlauber im Sommer 2025 zugeschnitten. Während sich Urlauber auf ihre Sommerreise vorbereiten, suchen Cyberkriminelle nach Möglichkeiten, Sicherheitslücken in der Urlaubsplanung auszunutzen. „Die Zunahme von Social-Engineering-Betrug, Schwachstellen in öffentlichen WLAN-Netzen sowie neuen Bedrohungen für mobile Geräte unterstreichen die dringende Notwendigkeit proaktiver Schutzmaßnahmen.“ Das Unternehmen bietet daher mit Blick auf den bevorstehenden Sommer praktische Ratschläge, mit denen Reisende ihr Cyberrisiko im Urlaub senken können. Die sieben wichtigsten Cybersicherheitstipps von umfassen:

1. Tipp: Vorsichtsmaßnahmen gegenüber Identitätsbetrug

• „Seien Sie skeptisch gegenüber Phishing-Mails mit Urlaubsthemen, unerwarteten Buchungsbestätigungen oder Angeboten, die zu gut sind, um wahr zu sein.
• Überprüfen Sie alle unerwarteten Mitteilungen von Reiseanbietern über offizielle Kanäle und nicht über Links in E-Mails oder SMS!“

2. Tipp: Überprüfung der WLAN-Netzwerke vor dem Verbinden

• „Vergewissern Sie sich beim Personal, dass es sich um das richtige Netzwerk handelt.
• Verwenden Sie für zusätzlichen Schutz ein VPN! Gefälschte Hotspots sind eine gängige Taktik von Hackern an Flughäfen, in Hotels und Cafés.“

3. Tipp: Implementierung erweiterter Gerätesicherheit

• „Seien Sie vorsichtig bei potenziellen Schwachstellen in intelligenten Geräten, beispielsweise in Ihrem Gepäck oder Ihren Reise-Gadgets.
• Aktualisieren Sie die Software Ihrer Geräte regelmäßig und verwenden Sie renommierte Marken, um die Sicherheit zu erhöhen!“

4. Tipp: Schutz vor neuen Bedrohungen für Geräte

• s. 3. Tipp

5. Tipp: Sicherung wichtiger Daten

• „Erstellen Sie Sicherungskopien Ihrer Reisedokumente und wichtiger Daten!
• So können Sie im Falle eines Gerätediebstahls oder eines Stromausfalls Ihre Reisepläne ohne Unterbrechung fortsetzen.“

6. Tipp: Beschränkung der Nutzung Sozialer Medien

• „Vermeiden Sie es, Ihre Reisepläne in Echtzeit zu veröffentlichen, um das Risiko von Social-Engineering-Angriffen zu verringern!“

7. Tipp: Überwachung eigener Konten

• „Überprüfen Sie Ihre Bank- und Kreditkartenabrechnungen auf unbefugte Transaktionen!“

Foto: KnowBe4

Erich Kron: Für die Urlaubszeit möchte KnowBe4 Reisenden praktische ,Tools‘ und umsetzbares Wissen an die Hand geben

Tipps sollen helfen, die Cybersicherheit auch auf Reisen im Auge zu behalten

„Egal, wie weit wir reisen: Cyberkriminelle sind näher, als wir denken“, warnt Erich Kron, „Security Awareness Advocate“ bei KnowBe4. Während einer Reise lasse man leicht seine Wachsamkeit sinken. „Doch wenn man die Cybersicherheit im Auge behält, kann man verhindern, dass der Urlaub durch Betrug oder Cyberangriffe ruiniert wird“, gibt Kron zu bedenken.

Mit den o.g. Tipps für die Urlaubszeit möchte KnowBe4 Reisenden praktische „Tools“ und umsetzbares Wissen an die Hand geben, „damit sie sich sicher in der digitalen Welt von heute bewegen können“, so Kron.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2025
McAfee warnt: Betrüger nehmen gerne junge Urlauber ins Visier / Aktuelle „Safer Summer Travel“-Studie zeigt, Betrüger Urlauber austricksen

datensicherheit.de, 21.08.2024
Sicher durch die Scam-Saison kommen: Wie nicht nur Urlauber ihre Endgeräte schützen können / In der Urlaubszeit nimmt die Nutzung mobiler Geräte zu – dies wissen auch Cyber-Kriminelle und nutzen die Gelegenheit

datensicherheit.de, 02.07.2024
Urlaub kommt so unerwartet wie Weihnachten: Aufmerksamkeitsdefizite bei der Cyber-Sicherheit drohen / Sophos gibt Tipps, um insbesondere die Ferienzeit ohne „Cyber-Frust“ genießen zu können

datensicherheit.de, 22.06.2024
Cyber-Gefahren im Urlaub: Vier von fünf Deutschen ignorieren Risiken öffentlicher WLAN-Netze / Genau hierbei lauern erhebliche Risiken wie das Mitlesen des Datenverkehrs durch Cyber-Kriminelle

datensicherheit.de, 22.04.2024
KEEPER: 5 Sicherheitsmaßnahmen, um Cyber-Bedrohungen während der Urlaubszeit zu minimieren / Bevorstehenden Pfingst- und Sommerferien sich auch wieder Hochsaison für Cyber-Kriminelle

datensicherheit.de, 10.08.2023
Urlaubszeit als Festsaison für Cyber-Kriminelle: Warnende Erkenntnisse von NordVPN / Adrianus Warmenhoven, Experte für Cyber-Sicherheit bei NordVPN, erläutert die Gefahren der Veröffentlichung von Urlaubsfotos im Internet

datensicherheit.de, 21.06.2023
Cybersecurity auch im Urlaub: Schutz vor Datenverlust, Identitätsdiebstahl und Malware-Infektionen / Besondere Vorsicht ist in unbekannten Umgebungen geboten – insbesondere im Urlaub

datensicherheit.de, 21.06.2023
Urlaubszeit: Dienst-Smartphones können unterwegs zur Gefahr für Unternehmen werden / Laut Umfrage von G DATA nutzen über 80 Prozent der Deutschen auf Reisen freies WLAN mit ihrem Firmen-Smartphone

datensicherheit.de, 31.08.2021
4 McAfee-Tipps zum Schutz der Tablets und Smartphones im Familienurlaub / McAfee gibt Sicherheits-Tipps, da die Anzahl gezielter Angriffe auf Mobile Devices um mehr als hundert Prozent gestiegen ist

datensicherheit.de, 24.06.2021
Urlaubszeit ist auch Phishing-Hochsaison / Neue Webroot-Analyse zeigt Raffinesse Cyber-Krimineller auf, sich saisonale Aufmerksamkeit für Phishing-Attacken nutzbar zu machen

[datensicherheit.de, 08.01.2022] Cyber-Angriffe breiten sich offensichtlich immer weiter aus und verursachen Chaos in Unternehmen, die versuchen, mit dem Schutz ihrer Systeme, Netzwerke und Infrastruktur Schritt zu halten. Mitarbeiter gelten dann zumeist als die sogenannte letzte Verteidigungslinie, wenn es um den Schutz von Unternehmen geht, denn bekanntermaßen kann ein falscher Klick auf einen Link oder das Herunterladen eines bösartigen Anhangs im schlimmsten Fall das gesamte Unternehmen zu Fall bringen. Erich Kron, „Security Awareness Advocate“ bei KnowBe4, geht in seiner Stellungnahme nachfolgend auf die besten Möglichkeiten für Unternehmen ein, Mitarbeiter für die Abwehr von Cyber-Angriffen zu schulen.

Foto: KnowBe4

Erich Kron: Thema Sicherheit in den täglichen Gewohnheiten der Mitarbeiter verankern!

Häufige und konsequente Schulungen zum Sicherheitsbewusstsein durchführen!

Krons Rat: „Sicherheitsexperten in Unternehmen schulen ihre Mitarbeiter am besten darin, nach Cyber-Angriffen Ausschau zu halten, indem sie häufige und konsequente Schulungen zum Sicherheitsbewusstsein durchführen.“
Wenn die Unternehmen ihren Mitarbeitern simulierte Phishing-Angriffe sendeten, dann verstünden diese, wie ein echter Cyber-Angriff aussehen könnte.
So könnten sie diese Fähigkeit auf eine Weise üben, „die für das Unternehmen kein Risiko darstellt“. Eine geeignete Meldestruktur für Mitarbeiter, welche verdächtige Phishing-E-Mails, Vishing-Anrufe oder andere Arten von Angriffen melden, sei ebenfalls entscheidend für die Sicherheit eines Unternehmens.

Vorbereitet sein, dass Mitarbeiter im Home-Office schlechte Sicherheitspraktiken anwenden!

Die Herausforderungen bei der Abwehr von Cyber-Angriffen seien durch die Popularität der Fernarbeit im Zuge der „COVID-19-Pandemie“ erheblich gestiegen. Aus diesem Grund sei die Kommunikation zwischen Unternehmen und Mitarbeitern von größter Bedeutung. „In einer klaren Kommunikation sollte dargelegt werden, welche Erwartungen an die Mitarbeiter gestellt werden, die zu einer Remote-Arbeitsstruktur übergegangen sind, und wie diese logistisch funktionieren wird“, betont Kron.
Es könne vorkommen, dass Mitarbeiter bei der Fernarbeit schlechte Sicherheitspraktiken anwendeten. „Beispielsweise nutzen sie ihre Geräte gemeinsam, haben Unternehmensdaten auf persönlichen Geräten, sperren ihren Computer nicht, wenn sie ihn unbeaufsichtigt lassen oder nutzen Unternehmensgeräte für private Zwecke“, erläutert Kron. Diese Arten von Problemen würden oft übersehen werden. Abgesehen von der Technologie könnten auch physische Aufzeichnungen und „Assets“ den Weg in die Wohnungen der Mitarbeiter gefunden haben.
Es sei auch schwierig festzustellen, „ob sensible Informationen ausgedruckt und gesichert oder sicher entsorgt wurden“. Aus technologischer Sicht sei es ratsam, die Unternehmensgeräte, die über einen längeren Zeitraum nicht mit dem Unternehmensnetz verbunden waren, „auf ihre ,Hygiene‘ zu überprüfen und sicherzustellen, dass sie gepatcht sind und keine unerwünschten oder bösartigen Anwendungen enthalten“.

Konsequenter Aufbau einer Sicherheitskultur!

„Es ist entscheidend, dass die Richtlinien einer Organisation den Mitarbeitern klar vermittelt und auf leicht verständliche Weise wiederholt und verstärkt werden.“ Eine einmalige Schulung zu einem beliebigen Aspekt, sei es Sicherheit, Umstellung auf Fernarbeit oder neue Verfahren, reiche indes nicht aus. Vielmehr sollten Unternehmen dies weniger als Schulung, sondern vielmehr als eine Art interne Marketingmaßnahme betrachten, „bei der kleine, leicht verdauliche Botschaften über einen längeren Zeitraum hinweg über verschiedene Kommunikationskanäle vermittelt werden“.
Kron führt aus: „Eine starke Sicherheitskultur entsteht, wenn die Mitarbeiter verstehen, warum Sicherheit wichtig ist, und wenn sie über die Mittel und die Ausbildung verfügen, um ihre Aufgaben auf sichere Weise zu erledigen.“
Das Thema Sicherheit sollte in den täglichen Gewohnheiten der Mitarbeiter verankert sein und durch Botschaften von Führungskräften innerhalb des Unternehmens verstärkt werden. „Nur dann kann am ,Safer Internet Day‘ – und an jedem anderen Tag des Jahres – mit dem nötigen Maß an Sicherheit gearbeitet werden“, so Kron abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 14.09.2020
Mitarbeiter-Zugriff: 45% nutzen Privatgeräte für Unternehmensdaten / Studie von Trend Micro: Über 13.000 Remote-Mitarbeiter in 27 Ländern befragt

datensicherheit.de, 09.09.2020
kaspersky-Training zeigt: Mitarbeiter überschätzen eigene IT-Kenntnisse / Mitarbeiter machen 90 Prozent der Fehler – aber in der Überzeugung, das Richtige zu tun

datensicherheit.de, 01.09.2020
Mitarbeitergeräte: Tickende Zeitbomben nach dem Home-Office / Wechsel vieler Mitarbeiter in das Home-Office zu Beginn der „Corona“-Kontaktbeschränkungen oft überhastet