Phish-prone Percentage

Phishing ist zweifellos eine der größten Cyber-Bedrohungen. Aber wie anfällig ist ein Unternehmen für Phishing? Mit dem sogenannten Phish-prone Percentage lässt sich die Anfälligkeit messbar machen.

Wir erklären, was der Phish-prone Percentage genau ist und wie sich der Wert für ein Unternehmen ermitteln lässt.

Bedrohung durch Phishing ist groß

Cyberbedrohungen sind ein Problem, dem sich Unternehmen Tag für Tag stellen müssen. Verschiedene Berichte – darunter der BSI-Lagebericht 2023 und das BKA Bundeslagebild 2023 – zeigen, dass die Gefahr, zum Ziel eines Cyberangriffs zu werden, allgegenwärtig ist. Aus der Studie „e-Crime in der Deutschen Wirtschaft 2024“, die die Wirtschaftsprüfungsgesellschaft KPMG AG im Mai 2024 veröffentlicht hat, geht hervor, dass jedes dritte Unternehmen in Deutschland in den vergangenen zwei Jahren Opfer eines Cyberangriffs geworden ist. Am häufigsten – nämlich mit einem Anteil von 53 Prozent – sind die betroffenen Unternehmen dabei Phishing-Kampagnen zum Opfer gefallen.

Das ist nicht wirklich überraschend. Denn: Die Zahl der Phishing-Angriffe nimmt kontinuierlich zu – und das hat einen guten Grund. Für Cyberkriminelle hat es sich nämlich als besonders effektiv erwiesen, Menschen als vermeintlich schwächstes Glied in der Cyberabwehr-Kette ins Visier zu nehmen. Angriffe zielen dementsprechend darauf ab, Mitarbeiter im Zuge von Phishing-Kampagnen durch ausgeklügelte Social-Engineering-Methoden zu täuschen.

Für Unternehmen stellt sich daher die Frage: Wie groß ist das Risiko, zum Opfer eines Phishing-Angriffs zu werden? Mit dem sogenannten Phish-prone Percentage lässt sich auf diese Frage eine Antwort finden.

Was ist der Phish-prone Percentage (PPP)?

Der englische Begriff Phish-prone Percentage (Abkürzung: PPP) bedeutet auf Deutsch in etwa „Phishing-anfälliger Prozentsatz“. Es handelt sich dabei um einen entscheidenden Indikator dafür, wie anfällig Mitarbeiter eines Unternehmens für Phishing-Angriffe sind. Zur Erinnerung: Mit Phishing-Angriffe versuchen Cyberkriminellen, sensible Informationen wie Passwörter oder Bankdaten zu stehlen, indem sie sich als vertrauenswürdige Institution oder als ein vertrauenswürdiger Kontakt ausgeben. Der PPP misst den Prozentsatz der Mitarbeiter in einem Unternehmen, die auf solche betrügerischen E-Mails hereinfallen und auf einen Phishing-Link klicken würden.

Je höher der Phish-prone Percentage ausfällt, desto größer ist der Verwundbarkeit und desto höher ist das Risiko für erfolgreiche Phishing-Angriffe. Ist der PPP dagegen niedrig, deutet dies darauf hin, dass Mitarbeiter im Umgang mit verdächtigen E-Mails vorsichtig sind. Somit dient der PPP als wichtige Kennzahl, um die Notwendigkeit gezielter Schulungen und Sicherheitsübungen zu bewerten.

So wird der Phish-prone Percentage berechnet

Nun stellt sich natürlich die Frage, wie sich der Prozentsatz der Mitarbeiter, die vermutlich auf einen Phishing-Link klicken würden, überhaupt bestimmen lässt. Die Antwort: Die Berechnung des Phish-prone Percentage erfolgt durch simulierte Phishing-Tests, bei denen gefälschte Phishing-E-Mails an Mitarbeiter gesendet werden. Hier ein Überblick darüber, wie die Berechnung des PPP grob abläuft:

• Simulierte Phishing-Kampagne:
  Eine Reihe von Phishing-E-Mails wird an die Mitarbeiter eines Unternehmens gesendet. Die E-Mails sind dabei so gestaltet sind, dass sie echte Phishing-Angriffe nachahmen.
• Tracking der Interaktionen:
  Es wird genau nachverfolgt, wie die Mitarbeiter auf diese E-Mails reagieren. Aktionen wie das Öffnen der E-Mail, ein Klick auf den Link und das Eingeben von Informationen werden erfasst.
• Berechnung des PPP:
  Der PPP wird berechnet, indem die Anzahl der Mitarbeiter, die auf den Phishing-Link geklickt und/oder anderweitig auf die E-Mail reagiert haben, durch die Gesamtzahl der Mitarbeiter, die die E-Mail erhalten haben, geteilt wird. Das Ergebnis wird dann mit 100 multipliziert, um den Prozentsatz zu erhalten. Wichtig dabei: Die Berechnung bezieht die Anzahl der aller erfolgten Fehler ein – und es ist durchaus denkbar, dass ein einzelner Nutzer gleich mehrere Fehler macht.

Das klingt vielleicht etwas zu theoretisch. Ein Beispiel hilft bei der Veranschaulichung: Wenn 100 Personen simulierte Phishing-E-Mails erhalten und 52 davon auf den in der E-Mail enthaltenen Link klicken, beträgt der PPP 52 Prozent. Wenn zusätzlich 8 dieser 52 Personen Daten auf der in der Verlinkung hinterlegten Landingpage eingeben, erhöht sich der PPP für diese Kampagne auf 60 Prozent.

Ist mein Unternehmen anfällig für Phishing?

Wichtig ist dann natürlich auch noch, den ermittelten Wert einordnen zu können. Allgemein gilt bei der Bewertung die folgende Einteilung:

• Niedriger PPP:
  Ein PPP unter 10 Prozent wird in der Regel als niedrig angesehen. Dies bedeutet, dass weniger als 10 Prozent der Mitarbeiter anfällig für Phishing-Angriffe sind, was eine gute Sicherheitskultur und effektive Schulungsprogramme vermuten lässt.
• Mittlerer PPP:
  Ein PPP zwischen 10 und 20 Prozent wird als mittelmäßig angesehen. Hier besteht noch Verbesserungspotenzial, und es sollte verstärkt in Schulungen und Sensibilisierungsmaßnahmen investiert werden.
• Hoher PPP:
  Ein PPP von mehr als 20 Prozent wird als hoch betrachtet. Ein solcher Wert deutet darauf hin, dass ein erheblicher Teil der Mitarbeiter anfällig für Phishing-Angriffe ist, was ein enormes Sicherheitsrisiko darstellt. In diesem Fall sind dringende Maßnahmen erforderlich, um die Sicherheitskompetenzen der Mitarbeiter zu verbessern.

Bei der Bewertung des PPP können noch einige weitere Faktoren einbezogen werden – beispielsweise die Branche und die Größe des Unternehmens. Da aber kleine und mittelständische Unternehmen genauso im Visier der Cyberkriminellen sind wie große Konzerne, ist die Sensibilisierung von Mitarbeitern bezüglich Cyberrisiken grundsätzlich unabdingbar.

Wie Unternehmen ihren PPP verbessern

Ihr Unternehmen schneidet bei der Bewertung mit dem Phish-prone Percentage schlecht ab? Dann ist das Ihr Zeichen, um schleunigst aktiv zu werden. Es gilt, Maßnahmen zu ergreifen, mit denen sich die Anfälligkeit für Phishing-Angriffe senken und die Sicherheit erhöhen lässt. Hier unsere Tipps, wie Unternehmen ihren PPP verbessern können:

• Schulen Sie Ihre Mitarbeiter!
  Mitarbeiter sollten regelmäßig in den Grundlagen der Cybersicherheit und speziell im Erkennen von Phishing-E-Mails geschult werden. Diese Schulungen sollten praxisnah und interaktiv gestaltet sein, um das Bewusstsein zu schärfen und das Erlernte zu festigen.
• Führen Sie simulierte Phishing-Tests durch!
  Durch regelmäßige simulierte Phishing-Angriffe können Unternehmen testen, wie gut ihre Mitarbeiter auf Phishing-Versuche reagieren. Diese Tests helfen kontinuierlich, Schwachstellen zu identifizieren und gezielte Trainingsmaßnahmen daraus abzuleiten.
• Informieren Sie über (aktuelle) Bedrohungen!
  Interne Kampagnen, wie Plakate, Newsletter oder E-Mail-Erinnerungen, können das Bewusstsein für Phishing-Gefahren ständig präsent halten. Diese sollten regelmäßig aktualisiert werden, um auf neue Bedrohungen aufmerksam zu machen.
• Stellen Sie klare Richtlinien auf!
  Unternehmen sollten klare Richtlinien zum Umgang mit verdächtigen E-Mails und zum Melden von Phishing-Versuchen haben. Diese Verfahren müssen den Mitarbeitern bekannt und leicht zugänglich sein.
• Setzen Sie auf die effiziente Technologien!
  Der Einsatz von E-Mail-Filtern und Anti-Phishing-Software kann helfen, viele Phishing-E-Mails bereits vorab zu blockieren. Diese Technologien sollten regelmäßig aktualisiert werden, um auf dem neuesten Stand zu bleiben. Auch eine Firewall ist für die Abwehr von Cyberbedrohungen elementar.
• Nicht nur meckern, sondern auch loben!
  Mitarbeiter, die Phishing-E-Mails erfolgreich identifizieren und melden, sollten anerkannt und belohnt werden. Dies fördert eine positive Sicherheitskultur und motiviert andere, wachsam zu sein.

Durch die Kombination dieser Maßnahmen können Unternehmen ihren PPP effektiv senken, die Sicherheitskompetenz ihrer Mitarbeiter stärken und das Risiko erfolgreicher Phishing-Angriffe deutlich reduzieren. Sie benötigen Unterstützung bei der Umsetzung unserer Tipps?

IT-Dienstleister schärfen Security Awareness

Ein entscheidender Schritt zur Verbesserung des Sicherheitsbewusstseins in Unternehmen ist die Zusammenarbeit mit professionellen IT-Dienstleistern. Denn: Die externen Fachleute bieten spezialisierte Schulungen und Beratungsdienste an, die auf die neuesten Bedrohungen und Best Practices zugeschnitten sind. Die Experten aus dem IT-SERVICE.NETWORK beispielsweise helfen Unternehmen dabei, maßgeschneiderte Programme zu entwickeln, die auf ihre spezifischen Bedürfnisse eingehen. Dazu gehören regelmäßig aktualisierte Schulungsprogramme, die das Erkennen von Phishing-Techniken und anderen Cyberbedrohungen fördern, sowie die Durchführung simulierter Phishing-Angriffe, mit denen sich potenzielle Schwachstellen identifizieren lassen.

IT-Dienstleister aus unserem Netzwerk sind zudem dabei behilflich, technologische Lösungen zur Cyberabwehr zu implementieren – unter anderem fortschrittliche E-Mail-Filter und Anti-Phishing-Software. Mit ihren Managed Services überwachen die IT-Systemhäuser aus unserem Netzwerk auf Wunsch die durchgeführten Maßnahmen und aktualisieren die implementierten Technologien, sodass sie auch neu entdeckten Bedrohungen standhalten.

Sie möchten mehr dazu erfahren, wie Ihnen die Zusammenarbeit mit IT-Dienstleistern zu einer robusten Sicherheitskultur verhelfen und das Risiko von Cyberangriffen reduzieren kann? Dann nehmen Sie Kontakt auf und lassen Sie sich zunächst völlig unverbindlich beraten!

---

Weiterführende Informationen:
KPMG, it-daily, KnowBe4, KnowBe4, IT-BUSINESS
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.