Phishing größte Gefahr – Phishing greatest threat

Phishing bleibt erfolgreichster Angriffsvektor

Mit der immer weiter zunehmenden E-Mail-Nutzung im Geschäftsalltag beobachteten 3 von 4 deutschen Unternehmen im vergangenen Jahr auch die verstärkte Bedrohung durch E-Mail-basierte Angriffe. Genau diese Zunahme der schieren Anzahl der Attacken beunruhigt die Sicherheitsteams am meisten – noch mehr als die immer raffinierteren Formen der Angriffe sowie unzureichendes Risikobewusstsein der Mitarbeitenden, die auf Platz 2 und 3 der meistgenannten Herausforderungen für das Jahr 2023 landeten. 71 % der Befragten gaben demnach an, negative Auswirkungen auf ihr Geschäft infolge eines E-Mail-basierten Angriffs zu befürchten. 8 % halten dies sogar nicht nur für wahrscheinlich, sondern für unausweichlich.

Phishing bleibt auf Platz 1 der E-Mail-basierten Bedrohungen für deutsche Unternehmen. Die Hälfte der befragten Organisationen musste im letzten Jahr eine moderate bis deutliche Zunahme von Phishing-Mails feststellen, weitere 25 % gaben an, dass die Menge von erhaltenen Phishing-Mails gleich hoch geblieben ist. Eine ungeheuerlich hohe Zahl in Anbetracht dessen, dass lediglich 41 % der Unternehmen bereits über ein aktives Sicherheitssystem verfügen, welches bösartige E-Mails, die bereits in den Posteingängen der Mitarbeitenden gelandet sind, erkennt und entfernt.

Immerhin 30 % der Befragten haben momentan ein Projekt zur Implementierung eines solchen Systems laufen, und weitere 23 % planen die Einführung innerhalb der nächsten 12 Monate. Dies sollte für die Unternehmen definitiv eine Sache von größter Dringlichkeit sein: Im letzten Jahr sind 84 % Opfer einer erfolgreichen E-Mail-Attacke mit infizierten Anhängen oder Links geworden, die sich von einer angestellten Person zu weiteren verbreiten konnten.

Cyberkriminelle verfeinern und passen ihre Strategien immer weiter an, und Malware-Kits im Dark Web ermöglichen es selbst gewöhnlichen Kriminellen ohne technologisches Know-how, hochentwickelte Angriffsmethoden anzuwenden. In der Tat ist es die immer ausgefeiltere Art der Angriffe, mit denen sie konfrontiert werden, die die Befragten von SOES 2023 als ihre größte Herausforderung bezeichneten (59 %).

Collaboration-Tools erleichtern Zusammenarbeit und bringen neue Herausforderungen

Collaboration-Tools wie Microsoft Teams, Google Workspace oder Slack stellen eine immer größer werdende Bedrohung für Unternehmen dar. Sie sind auch nach dem Ende der Pandemiemaßnahmen aus dem täglichen Geschäftsalltag nicht mehr wegzudenken. Zwei Drittel der deutschen Unternehmen gaben in der aktuellen Befragung an, dass die Zahl der Angriffe über Collaboration-Tools in den letzten 12 Monaten gestiegen oder mindestens gleich hoch geblieben ist. 68 % mussten feststellen, dass die native Sicherheitsstruktur solcher Tools nicht die Anforderungen ihrer Unternehmen erfüllt. 60 % befinden außerdem, dass ihre eigene Cyberabwehr bei der Nutzung von Collaboration-Tools nicht stark genug ist.

Auch die Anzahl der verschiedenen Plattformen erschwert es den Sicherheitsteams, den Überblick zu behalten. Fast die Hälfte der neu heruntergeladenen Tools sei nicht von der IT-Abteilung genehmigt worden. Angriffe im Zusammenhang mit Collaboration-Tools werden damit von Minute zu Minute wahrscheinlicher. Ein Drittel der Befragten ist im letzten Jahr bereits Opfer eines erfolgreichen Angriffs über eine solche Plattform geworden – und 67 % rechnen mit negativen Folgen in Zusammenhang mit einer Collaboration-Tool-Attacke im Jahr 2023.

 Sensibilisierungstrainings als effektive Maßnahme für mehr Risikobewusstsein

Noch immer sind die meisten Cyber-Vorfälle auf menschliche Fehler zurückzuführen. Unternehmen in Deutschland rechnen auch weiterhin mit einer ernstzunehmenden Bedrohung durch unvorsichtige Mitarbeitende – sei es durch unabsichtliche Datenlecks (81 %), bei der privaten Nutzung von E-Mails (79 %) oder durch schlechtes Passwort-Management (78 %). Um diesen Risiken entgegenzuwirken, bieten mittlerweile nahezu alle befragten Unternehmen eine oder mehrere Formen von Sensibilisierungstraining für besseres Cybersecurity-Bewusstsein der Angestellten an.

Deutsche Organisationen setzen dabei vor allem auf Gruppenseminare mit den IT-Teams, Online-Tests und automatische Prompts beim Anklicken eines Links, die den User darüber informieren, ob die jeweilige Seite als sicher eingestuft ist. Bei der Regelmäßigkeit der Sicherheitsunterweisungen besteht jedoch noch Luft nach oben: Nur 16 % der deutschen Unternehmen schulen ihre Mitarbeitenden fortlaufend. Der Großteil (45 %) verlangt solche Weiterbildungen nur einmal im Monat, 23 % einmal im Quartal, und die übrigen Befragten noch seltener.

Fazit

Auch das Jahr 2023 wird kein einfaches für die IT- und Sicherheitsteams deutscher Unternehmen werden. Während Phishing-E-Mails der Angriffsvektor Nummer eins bleiben, müssen sie ihre Aufmerksamkeit vermehrt auch Collaboration-Tools widmen, deren schiere Anzahl und vermehrte Nutzung die Verantwortlichen vor zusätzliche Herausforderungen stellt.

Cybersecurity-Trainings für alle Mitarbeitenden sind mittlerweile glücklicherweise zur Regel geworden – bei der Häufigkeit solcher Schulungen sollten deutsche Unternehmen jedoch nicht länger mit gezogener Handbremse fahren. Letztlich kann auch die beste Sicherheitsarchitektur nur bedingt vor menschlichen Fehlern schützen.

Unternehmen sollten daher auf ein mehrschichtiges Abwehrsystem zum Schutz ihrer Daten setzen, um der immer weiterwachsenden Bedrohungslandschaft zuversichtlich entgegentreten zu können. Immerhin ist das Bewusstsein für die aktuelle Risikolage weitestgehend auch bis in die Chefetage vorgedrungen; jetzt müssen den Worten auch Taten – und ausreichendes Budget zur Umsetzung der geplanten Maßnahmen – folgen.

Der vollständige Bericht (globale Ergebnisse) steht hier zum Download bereit.

Phishing remains most successful attack vector

With the ever-increasing use of email in everyday business, 3 out of 4 German companies also observed the increased threat of email-based attacks last year. It is precisely this increase in the sheer number of attacks that worries security teams the most – even more than the increasingly sophisticated forms of attacks as well as insufficient risk awareness among employees, which landed in 2nd and 3rd place among the most cited challenges for 2023. Accordingly, 71% of respondents said they feared a negative impact on their business as a result of an email-based attack. 8% even consider this not only likely, but inevitable.

Phishing remains the number one email-based threat to German businesses. Half of the organizations surveyed experienced a moderate to significant increase in phishing emails last year, while another 25% said the volume of phishing emails received remained the same. This is an outrageously high number considering that only 41% of organizations already have an active security system in place that detects and removes malicious emails that have already landed in employees‘ inboxes.

Still, 30% of respondents currently have a project underway to implement such a system, and another 23% plan to roll it out within the next 12 months. This should definitely be a matter of urgency for companies: In the past year, 84% have been the victim of a successful email attack with infected attachments or links spreading from one employed person to others.

Cybercriminals continue to refine and adapt their strategies, and malware kits on the dark web make it possible even for common criminals without technology smarts to employ highly sophisticated methods of incursion. Indeed, it is the increasingly sophisticated nature of the attacks they face that the 2023 SOES respondents singled out as their biggest challenge (59%).

Collaboration tools facilitate collaboration and bring new challenges

Collaboration tools such as Microsoft Teams, Google Workspace and Slack pose an ever-increasing threat to organizations. Even after the end of the pandemic measures, it is hard to imagine everyday business without them. In the current survey, two-thirds of German companies stated that the number of attacks via collaboration tools has increased or at least remained the same in the last 12 months. 68% found that the native security structure of such tools did not meet the requirements of their companies. 60% also find that their own cyber defenses are not strong enough when using collaboration tools.

The number of different platforms also makes it difficult for security teams to keep track. Nearly half of newly downloaded tools were not approved by IT, they said. Attacks related to collaboration tools are thus becoming more likely by the minute. One-third of respondents have already been the victim of a successful attack via such a platform in the past year – and 67% expect negative consequences related to a collaboration tool attack in 2023.

Training increases risk awareness

Still, most cyber incidents are due to human error. Companies in Germany continue to expect a serious threat from careless employees – whether through unintentional data leaks (81%), in the private use of e-mails (79%) or through poor password management (78%). To counter these risks, almost all the companies surveyed now offer one or more forms of awareness training to improve employees‘ cybersecurity awareness.

German organizations primarily rely on group seminars with the IT teams, online tests and automatic prompts when clicking on a link that inform the user whether the page in question is classified as secure. However, there is still room for improvement in the regularity of security briefings: Only 16% of German companies train their employees on an ongoing basis. The majority (45%) require such training only once a month, 23% once a quarter, and the remaining respondents even less frequently.

Conclusion

The year 2023 will not be an easy one for the IT and security teams of German companies. While phishing emails remain the number one attack vector, they will also have to increasingly turn their attention to collaboration tools, the sheer number and increased use of which will pose additional challenges for those in charge.

Cybersecurity training for all employees has fortunately become the norm – but German companies should no longer drive with the handbrake on when it comes to the frequency of such training. Ultimately, even the best security architecture can only provide limited protection against human error.

Companies should therefore rely on a multi-layered defense system to protect their data in order to be able to face the ever-growing threat landscape with confidence. After all, awareness of the current risk situation has largely reached the boardroom; now words must be followed by action – and sufficient budget to implement the planned measures.

The full report (global results) is available for download here.