Studie zeigt: [EXTERN]-Tags schützen kaum vor Datenklau via Phishing
![Spamfilter schützen besser vor Phishing als [EXTERN]-Tags. (Bild: pixabay.com / geralt)](https://www.golem.de/2511/202649-547771-547770_rc.jpg)
Forscher haben im Rahmen einer neuen Studie untersucht, wie effektiv gängige Anti-Phishing-Maßnahmen sind. Dafür wurde in einer deutschen Universitätsklinik eine Phishing-Simulation durchgeführt, bei der Phishing-Mails an 7.044 E-Mail-Konten von Krankenhausbeschäftigten verschickt wurden. Unter anderem die häufig genutzten [EXTERN]-Tags zur Markierung externer Mails erwiesen sich dabei als wenig effektiv.
An der Durchführung der Studie beteiligt war unter anderem Prof. Dr. Luigi Lo Iacono von der Justus-Liebig-Universität Gießen (JLU). Die Ergebnisse der Untersuchung sind in einer Mitteilung(öffnet im neuen Fenster) auf der Universitätswebsite zu finden. Darin wird davor gewarnt, dass schon eine geringe Anzahl an Phishing-Mails ausreiche, um eine große Klinik einem hohen Sicherheitsrisiko auszusetzen.
Faktoren für Effektivität von Phishing-Mails
"Innerhalb von nur 12 bis 24 Stunden besteht eine hohe Wahrscheinlichkeit, dass Beschäftigte ihre Zugangsdaten versehentlich preisgeben" , heißt es in der Meldung der JLU. So war bei der Untersuchung etwa ein Viertel der Beschäftigten bereit, die eigenen Anmeldedaten zu übermitteln. Ein erhöhtes Risiko bestand vor allem in den frühen Morgenstunden, insbesondere wenn medizinisches Personal adressiert wurde.
Als effektiv erwiesen sich Phishing-Mails, die anstelle von HTML in einfachem Textformat geschrieben waren. Und auch das Spielen mit Verlustängsten, also beispielsweise Warnungen vor ablaufenden Konten, steigerte die Effektivität des Phishings. "Diese Befunde verdeutlichen, dass gezielte und minimale Variationen in der Gestaltung von E-Mails die Effektivität von Phishing-Angriffen erheblich beeinflussen können" , so das Fazit der Forscher.
Technische Filter effektiver als Warnungen
Bei den gängigen Anti-Phishing-Maßnahmen erwiesen sich technische Schutzvorkehrungen wie explizite Warnbanner und automatische Verschiebungen in Spam-Ordner durch entsprechende Erkennungssysteme als besonders wirksam. Allein durch diese Maßnahmen konnte das riskante Verhalten der Beschäftigten um 94 Prozent reduziert werden.
Den häufig anzutreffenden [EXTERN]-Tags bescheinigen die Forscher hingegen eine unzureichende Schutzwirkung. Der Nutzen deaktivierter Links in E-Mails sowie von Warnungen im Webbrowser vor potenziell gefährlichen Links ist den Angaben zufolge ebenfalls eher eingeschränkt.
Die Forscher warnen vor diesem Hintergrund, dass gängige Schutzmaßnahmen wie Simulationen, Banner oder [EXTERN]-Tags nicht ausreichen, um effektiv vor Phishing zu schützen. Vielmehr sei es zur Stärkung der Resilienz gegenüber Cyberkriminalität wichtig, technische Schutzvorkehrungen wie etwa Spamfilter zu stärken.
Auch Phishing-Tests stoßen zunehmend auf Kritik. Ein Security-Manager von Google sprach sich schon 2024 gegen diese Praxis aus und verwies auf eine Studie, die zeigte, dass solche Simulationen Mitarbeiter lediglich verärgern , die tatsächlichen Risiken oft nicht korrekt abbilden und dadurch tendenziell eher anfälliger für Phishing machen.