Neue Ivanti-Studie: Übermüdete IT-Teams und schlecht vorbereitete Mitarbeiter verlieren den Kampf gegen Phishing. Fast drei Viertel der Unternehmen wurden im letzten Jahr Opfer eines Phishing-Angriffs. Ein Grund: Mehr als die Hälfte litten unter einem Mangel an IT-Fachkräften.
Ivanti, die Automatisierungsplattform, die IT-Ressourcen von der Cloud bis zum Edge entdeckt, verwaltet, sichert und wartet, hat die Ergebnisse einer aktuellen Umfrage zu Phishing-Angriffen vorgestellt. Die zentrale Aussage der Studie: Die globale Verlagerung der Arbeit an Remote-Standorte hat sowohl die Zahl der Angriffe, deren Raffinesse und die Auswirkungen von Phishing-Attacken deutlich nach oben getrieben. Fast drei Viertel (74%) der Befragten gaben an, dass ihr Unternehmen im letzten Jahr Opfer eines Phishing-Angriffs geworden ist, wobei alleine 40% im letzten Monat einen solchen Angriff erlebt haben. Für die Studie befragte Ivanti über 1.000 IT-Experten in Unternehmen in den USA, Deutschland, Großbritannien, Frankreich, Australien und Japan.
Acht von zehn Befragten: Phishing hat zugenommen
Das Volumen von Phishing-Versuchen, so die Untersuchung, hat im letzten Jahr deutlich zugelegt. Acht von zehn Befragten bestätigten, dass die Anzahl der Anläufe zugenommen hat. 85% stellten darüber hinaus fest, dass diese Versuche immer ausgefeilter werden. Interessant dabei ist die Erkenntnis, dass im letzten Jahr besonders die eigenen IT-Mitarbeiter im Fokus der Cyberkriminellen standen. Fast drei Viertel der Befragten (73%) gaben an, dass speziell IT-Mitarbeiter Ziel von Phishing-Versuchen waren. Noch gravierender: Beinahe die Hälfte dieser Versuche (47%) war erfolgreich.
Smishing- und Vishing-Scams gegen mobile Nutzer
Zu den neuesten, schnell an Boden gewinnenden Varianten gehören Smishing- und Vishing-Scams, die ganz gezielt mobile Benutzer ins Visier nehmen. Laut einer aktuellen Studie von Aberdeen haben Angriffe auf mobile Endgeräte sogar eine höhere Erfolgsquote als solche auf Server – ein Muster, das sich tendenziell dramatisch verschärft. Das auf das Jahr hochgerechnete Risiko einer Datenschutzverletzung durch mobile Phishing-Angriffe beläuft sich laut dieser Erhebung auf einen Medianwert von etwa 1,4 Millionen € mit einem Langzeitwert von etwa 76 Millionen €.
Remote-Mitarbeiter weiter im Fokus
Im Everywhere Workplace nutzen Remote-Mitarbeiter mehr denn je mobile Geräte, um auf Unternehmensdaten zuzugreifen. Und Hacker fokussieren sich speziell auf Sicherheitslücken in diesem Umfeld. 37% Prozent der Befragten erkannten dabei als Hauptursache für erfolgreiche Phishing-Angriffe einen Mangel sowohl an Technologie und als auch an Achtsamkeit der Mitarbeiter. Das fehlende Gefahrenbewusstsein der Mitarbeiter dominiert jedoch deutlich: 34% sahen darin den primären Grund für erfolgreiche Angriffe. Nahezu jedes Unternehmen (96%) bietet nach Angaben der IT-Spezialisten Cybersecurity-Schulungen an, um die Belegschaft über gängige Angriffe wie Phishing und Ransomware zu informieren. Allerdings mit mäßigem Erfolg: Nicht einmal ein Drittel (30%) der Befragten bestätigten, dass ein Großteil der Mitarbeiter (>80%) diese Schulungen auch absolviert haben.
Mangel an IT-Fachkräften verstärkt Auswirkungen
Die Ivanti-Studie ergab außerdem, dass der Mangel an IT-Fachkräften die Auswirkungen von Phishing-Angriffen weiter verstärkt. Mehr als die Hälfte der Befragten (52%) bestätigten einen Personalmangel ihres Unternehmens im vergangenen Jahr. Von diesen Befragten wiederum erkannten 64% fehlendes Personal als Ursache dafür, dass die Behebung von Vorfällen zu lange dauert. Mit weniger Mitarbeitern ist die Fähigkeit der IT-Teams stark eingeschränkt, Sicherheitsprobleme schnell zu beheben. Jede Ausfallzeit, die durch einen Sicherheitsvorfall verursacht wird, kostet eine Organisation Geld und schadet der Produktivität: Fast die Hälfte (46%) ist davon überzeugt, dass vermehrte Phishing-Angriffe eine direkte Folge des Personalmangels sind.
„Die Reduzierung des Risikos von Phishing-Angriffen ist ein Wettlauf mit der Zeit, in mehr als einer Hinsicht. IT-Profis in Unternehmen müssen nicht nur den Angreifern einen Schritt voraus sein, die ständig neue Angriffe entwickeln, sondern auch ihren eigenen Anwendern – die erschreckend schnell auf bösartige Links klicken“, sagt Derek E. Brink, Vice President und Research Fellow bei Aberdeen Strategy & Research. „Während viele Unternehmen in Schulungsinitiativen zum Sicherheitsbewusstsein investiert haben, sollten sie auch fortschrittliche Automatisierung, künstliche Intelligenz und maschinelle Lerntechnologien priorisieren und anwenden. Damit lassen sich Phishing-Bedrohungen schneller und konsequenter identifizieren, verifizieren und beheben.“
Phishing: Fast jeder zweite Profi wurde schon überlistet
„Jeder, unabhängig von seiner Erfahrung oder seinem Wissen über Cybersicherheit, ist anfällig für einen Phishing-Angriff. Immerhin hat die Umfrage ergeben, dass sich fast die Hälfte der IT-Profis schon einmal hat überlisten lassen“, erläutert Johannes Carl, Expert Manager PreSales – UEM bei Ivanti. „Um Phishing-Angriffe effektiv zu bekämpfen, müssen Unternehmen eine Zero-Trust-Sicherheitsstrategie implementieren. Nur sie umfasst eine einheitliche Endgeräteverwaltung mit geräteinterner Bedrohungserkennung und Anti-Phishing-Funktionen. Unternehmen sollten auch in Erwägung ziehen, sich von Passwörtern zu lösen. Indem sie die Authentifizierung auf mobilen Geräten mit biometrischem Zugang nutzen, beseitigen sie den primären Gefahrenpunkt bei Phishing-Angriffen.“
Mehr bei Ivanti.com
Über Ivanti Die Stärke der Unified IT. Ivanti verbindet die IT mit dem Sicherheitsbetrieb im Unternehmen, um den digitalen Arbeitsplatz besser zu steuern und abzusichern. Auf PCs, mobilen Geräten, virtualisierten Infrastrukturen oder im Rechenzentrum identifizieren wir IT-Assets – ganz gleich, ob sie sich On-Premise oder in der Cloud verbergen. Ivanti verbessert die Bereitstellung des IT-Services und senkt Risiken im Unternehmen auf Basis von Fachwissen und automatisierten Abläufen. Durch den Einsatz moderner Technologien im Lager und über die gesamte Supply Chain hinweg hilft Ivanti dabei, die Lieferfähigkeit von Firmen zu verbessern – und das, ohne eine Änderung der Backend-Systeme.