Wirksamkeit gängiger Anti-Phishing-Maßnahmen fraglich

Nach einer groß angelegten Phishing-Simulation in einer deutschen Universitätsklinik kommt das Forscherteam zum Schluss, dass weiterhin eine erhebliche Bedrohungslage für die Cybersicherheit in Krankenhäusern besteht.

Gängige Anti-Phishing-Maßnahmen sind der nach wie vor erheblichen Bedrohungslage durch Cyberangriffe offenbar nur unzureichend gewachsen. Das hat eine neue Studie ergeben, die ein Forscherteam unter der Beteiligung des IT-Sicherheitsexperten Prof. Luigi Lo Iacono von der Justus-Liebig-Universität Gießen (JLU) Mitte Oktober bei der renommierten ACM Conference on Computer and Communications Security (CCS) in Taiwan vorstellte.

In der Studie analysierten die Forschenden in einer deutschen Universitätsklinik, wie anfällig Krankenhausbeschäftigte für Phishing-Angriffe sind und wie effektiv gängige Anti-Phishing-Maßnahmen sind. Die Ergebnisse werfen ein kritisches Licht auf die aktuelle Cybersicherheitslage im Gesundheitswesen. Zusätzlich bieten sie richtungsweisende Erkenntnisse für die Verbesserung der Sicherheitsstandards für Phishing-E-Mails.

Wenige Phishing-E-Mails genügen, um für eine große Klinik signifikante Sicherheitsrisiken darzustellen

In einer groß angelegten Phishing-Simulation wurden 7044 E-Mail-Konten der Klinik ins Visier genommen. Die Forscher untersuchten, wie sich die Phishing-Anfälligkeit unter verschiedenen Beschäftigtengruppen verteilt und wie bestimmte Merkmale der Phishing-E-Mails – etwa Timing und Sprache – darauf Einfluss nehmen. Ein zentrales Ergebnis der Studie: Schon eine geringe Anzahl von Phishing-E-Mails reicht aus, um in einer großen Klinik signifikante Sicherheitsrisiken darzustellen. Innerhalb von nur zwölf bis 24 Stunden besteht eine hohe Wahrscheinlichkeit, dass Beschäftigte ihre Zugangsdaten versehentlich preisgeben.

Anfälligkeit für Phishing-E-Mails

Etwa ein Viertel der Beschäftigten wären der Studie zufolge bereit gewesen, die eigenen Authentifizierungsdaten preiszugeben. Dabei haben bestimmte Merkmale von Phishing-E-Mails die Anfälligkeit des Klinikpersonals erheblich beeinflusst; zudem unterschied sich die Wirkung dieser Merkmale deutlich zwischen den Personalgruppen.

E-Mails, die am Morgen verschickt wurden, führten insgesamt zu einer um 5,6 Prozentpunkte erhöhten Interaktionswahrscheinlichkeit, mit einem besonders starken Effekt von 13,5 Prozentpunkten bei medizinischem Personal.

Einfaches Textformat anstelle von HTML erhöhte die Anfälligkeit um 4,9 Prozentpunkte, wobei das medizinische Personal ebenfalls besonders anfällig war.

Zudem steigerten E-Mails, die auf Verlustangst setzten, wie etwa eine Warnung vor ablaufenden E-Mail-Accounts, die Wahrscheinlichkeit einer Interaktion um 6,7 Prozentpunkte. Dies war bei nicht medizinischen Personalgruppen besonders ausgeprägt. Diese Befunde verdeutlichen, dass gezielte und minimale Variationen in der Gestaltung von E-Mails die Effektivität von Phishing-Angriffen erheblich beeinflussen können.

Wirksamkeit gängiger Anti-Phishing-Maßnahmen

Die Untersuchung ging auch der Frage nach, wie effektiv gängige Anti-Phishing-Maßnahmen sind. Sie werden häufig als fertige Lösungen in E-Mail-Systemen von Unternehmen eingesetzt. Demnach erwiesen sich explizite Warnbanner und das Verschieben in Spam-Ordner als besonders wirksam, da sie das riskante Verhalten um bis zu 94 Prozent reduzierten.

Die häufig genutzte Methode der [EXTERN]-Kennzeichnung von E-Mails erwies sich hingegen als weitaus weniger verlässlich. Das Deaktivieren von Links in E-Mails sowie Warnungen im Browser vor potenziellen Phishing-Links zeigten immerhin eingeschränkte Schutzwirkung.

Emotionale Reaktion der Beschäftigten

Da die Studie aus Sicht der Teilnehmenden einer Phishing-Simulation entsprach, konnte das Forscherteam zudem emotionale Reaktion auf solche Simulationen untersuchen. Ein beachtlicher Teil der befragten Mitarbeiter reagierte auf die Phishing-Simulation mit Gefühlen wie Angst, Scham und Schuld.

Diese Erkenntnisse verdeutlichen die psychologischen Herausforderungen, die solche Simulationen mit sich bringen. Außerdem unterstreichen sie die Notwendigkeit, die emotionalen Kosten gegen die potenziellen Sicherheitsvorteile abzuwägen.

Handlungsempfehlungen für das Gesundheitswesen

Die Forscher betonen, dass gängige Anti-Phishing-Maßnahmen wie Phishing-Simulationen, Banner oder [EXTERN]-Kennzeichnungen nicht ausreichen, um den Schutz vor Phishing effektiv zu gewährleisten. „Es ist essenziell, dass technische Schutzvorkehrungen gestärkt werden, um die Resilienz gegenüber Cyberkriminalität zu erhöhen. Vor allem im Gesundheitssektor, der zunehmend Ziel von Cyberangriffen wird, besteht akuter Handlungsbedarf“, so die Bilanz von Studienleiter Lo Iacono. Die Studie liefere damit eine fundierte Grundlage, um effektive Strategien zur Abwehr von Phishing-Angriffen zu entwickeln.