Warum Mitarbeiter auf Betrug hereinfallen und was Unternehmen dagegen tun können

Kredit: CC0 Public Domain

Präventive Gegenmaßnahmen gegen Phishing-E-Mails können sogar die Wahrscheinlichkeit erhöhen, dass Mitarbeiter auf solche Betrügereien hereinfallen, zeigt eine neue wissenschaftliche Studie.

Schutzmaßnahmen wie E-Mail-Proxy, Anti-Malware und Anti-Phishing-Technologien können Mitarbeitern ein falsches Sicherheitsgefühl vermitteln und dazu führen, dass sie ihre Wachsamkeit verlieren, weil sie fälschlicherweise davon ausgehen, dass solche Maßnahmen alle Phishing-E-Mails abfangen, bevor sie ihren Posteingang erreichen, eine Studie von der University of Sussex Business School mitorganisiert, enthüllt.

Das Schamgefühl der Mitarbeiter und die Angst vor der Missbilligung der Arbeitskollegen waren wirksamere Abschreckungen gegen den Zugang zu Phishing-Betrug, stellten die Wissenschaftler fest.

Um sich vor kostspieligen Phishing-Betrügereien zu schützen, sollten Unternehmen alle Mitarbeiter durch kontinuierliche Sicherheitsschulungen und Schulungsprogramme unterziehen, empfehlen Experten der University of Sussex Business School und der University of Auckland.

Phishing-Betrügereien sind für fast jede dritte Datenschutzverletzung verantwortlich, und die Kosten von Ransomware für Unternehmen werden weltweit auf über 8 Milliarden US-Dollar geschätzt.

Dr. Mona Rashidirad, Dozentin für Strategie und Marketing an der University of Sussex Business School, sagte: „Sicherheitsvorkehrungen allein schützen ein Unternehmen nicht vor Phishing-Betrug. Organisationen und Einzelpersonen investieren erheblich in Sicherheitsvorkehrungen, um die Integrität, Verfügbarkeit und Vertraulichkeit zu schützen.“ Unsere Studie unterstützt jedoch die Ergebnisse neuerer Studien, dass diese Sicherheitsvorkehrungen nicht ausreichen, um den ultimativen Schutz sensibler und vertraulicher Informationen zu gewährleisten.

„Schutz- und Detektivtools verwenden maschinelles Lernen, Anomalieerkennung, Text-Mining und Profilabgleich, um die Bedrohung durch Phishing-E-Mails zu bekämpfen, aber Cyberkriminelle entwickeln diese Betrügereien, um technologische Kontrollen zu umgehen und menschliche kognitive Vorurteile auszunutzen.

„Technische Gegenmaßnahmen wie Anti-Phishing- und Spamming-Tools, Erkennung von E-Mail-Malware und Verhinderung von Datenverlust erfordern immer noch häufig menschliches Eingreifen, um Phishing und legitime E-Mails zu analysieren und zu unterscheiden.

“Um Phishing-Angriffe zu verhindern, muss ein gut konzipiertes kontinuierliches Sicherheitstrainings- und Schulungsprogramm, das Phishing-Simulationsübungen und eingebettete Schulungen für gefährdete Mitarbeiter umfasst, in Unternehmen eingerichtet und durchgesetzt werden.”

Nach einer Mitarbeiterbefragung entwickelten die Forscher ein theoretisches Modell von Faktoren, die das Anklicken von Phishing-E-Mails aus sozio-technischer Sicht beeinflussen, und untersuchten die Reaktionen der Mitarbeiter auf oder die Vermeidung der Bedrohung durch den Betrug.

Unter Anwendung der Theorie des geplanten Verhaltens (TPB) stellte das Forschungsteam die Hypothese auf, dass die Absicht eines Mitarbeiters, auf Phishing-E-Mails zu klicken, am stärksten davon beeinflusst wird, wie seine Reaktion von Vorgesetzten und Kollegen wahrgenommen wird, sowie von der Selbsteinschätzung des Mitarbeiters, wie er damit umgehen kann Bedrohung und ihre persönliche Einstellung zur Compliance.

Die Forscher identifizierten eine Reihe individueller, organisatorischer und technologischer Faktoren, die die Nichteinhaltung der E-Mail-Sicherheitsrichtlinien durch die Mitarbeiter und die Gefahr, auf Phishing-Angriffe hereinzufallen, erklären könnten.

Diese Anfälligkeit für Phishing-Betrügereien variierte nicht signifikant, wenn man das Alter, Geschlecht oder die Bildung eines Mitarbeiters berücksichtigte, zeigt die Studie.

Das Klicken von Mitarbeitern auf Phishing-E-Mails war oft ein irrationaler Akt, der durch Gewohnheiten und automatische Verhaltenstendenzen ausgelöst wurde, die sich aus der Vergangenheit der täglichen E-Mail-Nutzung entwickelt hatten, heißt es in der Studie.

Die Autoren stellten fest, dass die Information der Mitarbeiter über verfahrenstechnische Gegenmaßnahmen, einschließlich Informationssicherheitsstandards, -richtlinien und -richtlinien, das Sicherheitsbewusstsein der Mitarbeiter erhöht, jedoch nicht ausreicht, um Verhaltensänderungen bei Mitarbeitern im Umgang mit Phishing-E-Mails herbeizuführen.

Eine effektive Mitarbeiterschulung soll die Mitarbeiter darüber informieren, welche Sicherheitsmaßnahmen ihr Arbeitgeber bereits getroffen hat, aber auch welche Sicherheitsrisiken verbleiben, die von böswilligen Angreifern ausgenutzt werden könnten, schlussfolgern die Wissenschaftler.

Hamidreza Shahbaznezhad, Senior Data Scientist in der Industrie an der University of Auckland, sagte: „Obwohl technische Gegenmaßnahmen wie Anti-Phishing- und Spamming-Tools, E-Mail-Malware-Erkennung und Datenverlustprävention eingesetzt werden, um das Risiko von Phishing-Angriffen zu mindern, nutzen diese Technologien Phishing-Angriffe zu erkennen stellt nach wie vor eine Herausforderung dar. Dies liegt nicht zuletzt daran, dass sie häufig menschliches Eingreifen erfordern, um Phishing und legitime E-Mails zu analysieren und zu unterscheiden.“

Farzan Kolini, Ph.D. Kandidat an der University of Auckland, sagte: „Präventive Gegenmaßnahmen wie Anti-Phishing-Tools und E-Mail-Proxy spielen eine zentrale Rolle bei der Erkennung von Phishing-E-Mails, da Phishing-Angriffe immer ausgefeilter werden, um private Sicherheitsmaßnahmen zu umgehen. Daher obliegt es den Mitarbeitern, wenden Sie zusätzliche Sorgfaltspflichten an, um verdächtige E-Mails zu untersuchen.”


Leave a Comment