Der Mensch bleibt nach wie vor der am häufigsten genutzte Angriffsvektor, dies ist eine der wichtigsten Erkenntnisse des am 1. Mai veröffentlichten Data Breach Investigations Reports 2024 von Verizon. 68 Prozent der für den Bericht ausgewerteten Sicherheitsverletzungen gehen auf das Konto des Menschen ohne böswilligen Missbrauch von Berechtigungen.
Von Dr. Martin Krämer, Security Awareness Advocate bei KnowBe4.
Die allgemeine Melderate für Phishing hat in den letzten Jahren zugenommen. Die von den Partnern der Studie im Jahr 2023 zur Verfügung gestellten Daten bestätigen, dass 20 Prozent der Mitarbeiter Trainings mit simuliertem Phishing durchlaufen hatten und 11 Prozent sich bei der IT-Abteilung meldeten, nachdem sie auf eine E-Mail geklickt hatten.
Dies ist grundsätzlich eine erfreuliche Nachricht. Im Durchschnitt vergehen nach dem Öffnen einer E-Mail 21 Sekunden, bis ein bösartiger Link angeklickt wird, und dann nur noch 28 Sekunden, bis die Person, die in die Falle des Phishings getappt ist, ihre Daten eingibt.
Die durchschnittliche Zeit, um auf Phishing hereinzufallen, beträgt also weniger als 60 Sekunden. Daraus folgt, dass Zeit wirklich von entscheidender Bedeutung ist. Je mehr Menschen vor dem Öffnen einer E-Mail überlegen, desto geringer das Infektionsrisiko für die gesamte Organisation.
Die weiteren Ergebnisse zeigen auf, dass 32 Prozent der Sicherheitsverletzungen die Folge von Ransomware oder Erpressung und 28 Prozent auf Software- oder Konfigurationsfehler zurückzuführen waren. Beachtliche 15 Prozent waren auf Dritte, also Software-Supply-Chain-Infektionen zurückzuführen. Finanziell motivierte Bedrohungsakteure sind weiterhin erfolgreich, denn 59 und 66 Prozent der Ransomware- und anderen Erpressungsangriffe waren finanziell motiviert.
Weitere 25 Prozent der finanziell motivierten Sicherheitsverstöße waren Pretexting-Angriffe. Bei Pretexting handelt es sich um eine Social Engineering-Taktik, bei der ein Angreifer versucht, Informationen, Zugang oder Geld zu erlangen, indem er ein Opfer dazu verleitet, ihm zu vertrauen. Bekannte Formen sind CEO-Fraud, Business-E-Mail Compromise (BEC), IT-Support-Anfragen oder aber angebliche Außendienstmitarbeiter.
Zu den Schwachstellen mit den größten Auswirkungen zählte MOVEit. Dabei handelte es sich um einen Zero-Day-Angriff, der zu nachfolgenden Erpressungsangriffen durch Cyberkriminelle führte. Die Schwachstelle hatte enorme Auswirkungen, wie ebenfalls im Security Culture Report von KnowBe4 ebenfalls hervorgehoben wurde. Die russischsprachige Hackergruppe Clop war für die Ausnutzung verantwortlich und war in 2023 besonders aktiv.
Ihr Fokus lag auf Unternehmen der IT-Branche, die sie mit Erpressungsversuchen ins Visier nahmen. Inzwischen wird vermutet, dass die Angriffe auf diese Unternehmen zu einer weiteren Kompromittierung von über 2.000 Organisationen geführt hat. Wenig war in der damaligen Berichterstattung über die etwa 900 betroffenen Schulen und die kompromittierten sensiblen Daten von über 51.000 Personen zu lesen. Die Schwachstelle hatte also erhebliche Auswirkungen.
Daraus folgt, dass Security Awareness Training weiterhin auf den menschlichen Faktor abzielen muss. Nur dann wird es Organisationen gelingen, die im Report genannten 68 Prozent aller Angriffe wirksam zu bekämpfen. Das beliebteste Einfallstor ist die E-Mail, aber auch soziale Plattformen werden von den Cyberkriminellen immer häufiger genutzt.
Der Bericht unterstreicht darüber hinaus die Bedeutung einer sorgfältigen Verwaltung von Anmeldeinformationen. Der Missbrauch von Zugangsdaten bleibt also ein Problem, dass sich trotz aller technischen und organisatorischen Maßnahmen eher vergrößert.