27’000 Angestellte auf Phishing getestet
Wie abwehrfähig sind Unternehmen, wenn sie ins Visier von Phishern geraten? In 94% der getesteten Unternehmen gab mindestens ein Mitarbeitender sein Firmenlogin preis, wie ein Phishing-Benchmark zeigt.
Das Austricksen von Mitarbeitenden lohnt sich für Hacker. Darauf lässt der zweite Phishing-Benchmark der Schweizer Beratungsfirma für Informationssicherheit Advact schliessen. Phishing bedeutet, dass Betrüger unter einem Vorwand versuchen, an vertrauliche Informationen zu gelangen. Das Beratungsunternehmen schlüpfte im September in die Rolle des Angreifers und schrieb die Mitarbeitenden von 33 Unternehmen in sechs verschiedenen Branchen an. Insgesamt 27‘229 Mitarbeitende wurden per E-Mail eingeladen, sich mit ihrem Firmenlogin auf einer unbekannten Webseite zu registrieren.
Im Einvernehmen mit den teilnehmenden Firmen erfasste Advact die Reaktionen der Mitarbeitenden und wertete sie anonym aus. Angeschriebene aus allen getesteten Unternehmen, insgesamt 17%, besuchten die trügerische Webseite. 6% Prozent der geprüften Personen gaben zusätzlich ihr Firmenlogin ein. Die gemachten Angaben wurden jedoch nicht übermittelt.
In der Regel reiche einem Phisher die Zugangsdaten eines einzigen Mitarbeitenden, um sich Zugriff auf Unternehmensdaten und -Systeme zu verschaffen. In 31 von 33 Unternehmen war mindestens ein Mitarbeitender bereit, sein Firmenlogin preiszugeben.
Im Anschluss an die Auswertung habe man alle Mitarbeitenden über den Phishing-Test aufgeklärt, heisst es in der Medienmitteilung. Durch das Erlebnis und die Aufklärung würden die Teilnehmenden lernen, Angriffsmechanismen schneller zu durchschauen und im Ernstfall richtig zu reagieren. Der Phishing-Benchmark von Advact biete dadurch viel mehr als nur einen Unternehmensvergleich.
Im Vorjahr nahmen 22 Unternehmen am Phishing-Benchmark teil. Damals sei es gelungen, 33% der geprüften Personen auf eine präparierte Webseite zu locken. 18% aller Teilnehmer gaben zusätzlich ein Passwort ein, wie es heisst.
