Gängige Anti-Phishing-Maßnahmen wie die [EXTERN]-Kennzeichnung von E-Mails bieten Krankenhausbeschäftigten kaum Schutz vor Betrugsversuchen. Das zeigt eine umfangreiche Studie von Security-Forschern, darunter Luigi Lo Iacono von der Justus-Liebig-Universität Gießen (JLU). Sie wurde im Oktober auf der renommierten ACM Conference on Computer and Communications Security vorgestellt und steht jetzt öffentlich zur Verfügung.
In einer großangelegten Phishing-Simulation mit 7.044 E-Mail-Konten einer deutschen Universitätsklinik untersuchten die Sicherheitsforscher, welche Schutzmaßnahmen tatsächlich wirken – mit ernüchterndem Ergebnis: Etwa ein Viertel der Beschäftigten wäre demnach bereit gewesen, die eigenen Zugangsdaten preiszugeben.
Besonders anfällig zeigten sich Mitarbeiter bei E-Mails, die morgens verschickt wurden: Die Interaktionswahrscheinlichkeit stieg um 5,6 Prozentpunkte, bei medizinischem Personal sogar um 13,5 Prozentpunkte. Auch die Gestaltung der E-Mails spielte eine Rolle, denn einfaches Textformat statt HTML erhöhte die Anfälligkeit um 4,9 Prozentpunkte. E-Mails mit Verlustängsten wie „Ihr Account läuft ab“ steigerten sie um 6,7 Prozentpunkte.
Die Untersuchung kommt zu dem Schluss, dass explizite Warnbanner und Spamfilter das riskante Verhalten um bis zu 94 Prozent reduzieren können. Das Deaktivieren von Links und Browser-Warnungen zeigte immerhin eine eingeschränkte Schutzwirkung. Die weitverbreitete [EXTERN]-Kennzeichnung von E-Mails erwies sich hingegen als weitgehend wirkungslos – ein Befund, der bisherige Erkenntnisse zur mangelhaften Wirksamkeit von Phishing-Trainings ergänzt.
Die Studie dokumentierte auch die psychologischen Auswirkungen: Ein beachtlicher Teil der Mitarbeiter reagierte auf die Phishing-Simulation mit Angst, Scham und Schuldgefühlen. Die Forscher betonen, dass die emotionalen Kosten solcher Simulationen gegen die Sicherheitsvorteile abgewogen werden müssen.
Entsprechend fordert Studienleiter Luigi Lo Iacono von der JLU Gießen verstärkte technische Schutzvorkehrungen: „Es ist essenziell, dass technische Schutzvorkehrungen gestärkt werden, um die Resilienz gegenüber Cyberkriminalität zu erhöhen. Vor allem im Gesundheitssektor, der zunehmend Ziel von Cyberangriffen wird, besteht akuter Handlungsbedarf.“
Die Erkenntnisse unterstreichen die Dringlichkeit der aktuellen Bemühungen des Bundesamts für Sicherheit in der Informationstechnik, das Webmail-Anbieter stärker in die Pflicht nehmen will. Das BSI fordert im Jahr der E-Mail-Sicherheit ebenfalls verstärkte technische Schutzmaßnahmen wie automatische Spamfilter und Phishing-Warnungen, die ohne Zutun der Nutzer wirken. Die Gießener Studie liefert nun empirische Belege, dass genau solche technischen Lösungen deutlich effektiver sind als verhaltensbasierte Ansätze.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare