idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Weiterhin erhebliche Bedrohungslage für die Cybersicherheit in Krankenhäusern
Gängige Anti-Phishing-Maßnahmen sind der nach wie vor erheblichen Bedrohungslage durch Cyberangriffe offenbar nur unzureichend gewachsen. Das hat eine neue Studie ergeben, die ein Forscherteam unter der Beteiligung des IT-Sicherheitsexperten Prof. Dr. Luigi Lo Iacono von der Justus-Liebig-Universität Gießen (JLU) Mitte Oktober bei der renommierten ACM Conference on Computer and Communications Security (CCS) in Taiwan vorstellte. In der Studie analysierten die Forscher in einer deutschen Universitätsklinik, wie anfällig Krankenhausbeschäftigte für Phishing-Angriffe sind und wie effektiv gängige Anti-Phishing-Maßnahmen sind. Die Ergebnisse werfen ein kritisches Licht auf die aktuelle Cybersicherheitslage im Gesundheitswesen und bieten richtungsweisende Erkenntnisse für die Verbesserung der Sicherheitsstandards für Phishing-E-Mails.
In einer groß angelegten Phishing-Simulation wurden 7.044 E-Mail-Konten der Klinik ins Visier genommen. Die Forscher untersuchten, wie sich die Phishing-Anfälligkeit unter verschiedenen Beschäftigtengruppen verteilt und wie bestimmte Merkmale der Phishing-E-Mails – etwa Timing und Sprache – darauf Einfluss nehmen. Ein zentrales Ergebnis der Studie: Schon eine geringe Anzahl von Phishing-E-Mails reicht aus, um in einer großen Klinik signifikante Sicherheitsrisiken darzustellen. Innerhalb von nur 12 bis 24 Stunden besteht eine hohe Wahrscheinlichkeit, dass Beschäftigte ihre Zugangsdaten versehentlich preisgeben.
Anfälligkeit für Phishing E-Mails
Etwa ein Viertel der Beschäftigten wären der Studie zufolge bereit gewesen, die eigenen Authentifizierungsdaten preiszugeben. Dabei haben bestimmte Merkmale von Phishing-E-Mails die Anfälligkeit des Klinikpersonals erheblich beeinflusst; zudem unterschied sich die Wirkung dieser Merkmale deutlich zwischen den Personalgruppen. E-Mails, die am Morgen verschickt wurden, führten insgesamt zu einer um 5,6 Prozentpunkte erhöhten Interaktionswahrscheinlichkeit, mit einem besonders starken Effekt von 13,5 Prozentpunkten bei medizinischem Personal. Einfaches Textformat anstelle von HTML erhöhte die Anfälligkeit um 4,9 Prozentpunkte, wobei das medizinische Personal ebenfalls besonders anfällig war. Zudem steigerten E-Mails, die auf Verlustangst setzten, wie etwa eine Warnung vor ablaufenden E-Mail-Accounts, die Wahrscheinlichkeit einer Interaktion um 6,7 Prozentpunkte, was bei nicht-medizinischen Personalgruppen besonders ausgeprägt war. Diese Befunde verdeutlichen, dass gezielte und minimale Variationen in der Gestaltung von E-Mails die Effektivität von Phishing-Angriffen erheblich beeinflussen können.
Wirksamkeit gängiger Anti-Phishing-Maßnahmen
Die Untersuchung ging auch der Frage nach, wie effektiv gängige Anti-Phishing-Maßnahmen sind, die häufig als fertige Lösungen in Unternehmens-E-Mail-Systemen eingesetzt werden. Demnach erwiesen sich explizite Warnbanner und das Verschieben in Spam-Ordner als besonders wirksam, da sie das riskante Verhalten um bis zu 94 Prozent reduzierten. Die häufig genutzte Methode der [EXTERN]-Kennzeichnung von E-Mails erwies sich hingegen als weitaus weniger verlässlich. Das Deaktivieren von Links in E-Mails sowie Warnungen im Browser vor potenziellen Phishing-Links zeigten immerhin eingeschränkte Schutzwirkung.
Emotionale Reaktion der Beschäftigten
Da die Studie aus Sicht der Teilnehmenden einer Phishing-Simulation entsprach, konnte das Forscherteam zudem emotionale Reaktion auf solche Simulationen untersuchen. Ein beachtlicher Teil der befragten Mitarbeiter reagierte auf die Phishing-Simulation mit Gefühlen wie Angst, Scham und Schuld. Diese Erkenntnisse verdeutlichen die psychologischen Herausforderungen, die solche Simulationen mit sich bringen, und unterstreichen die Notwendigkeit, die emotionalen Kosten gegen die potenziellen Sicherheitsvorteile abzuwägen.
Handlungsempfehlungen für das Gesundheitswesen
Die Forscher betonen, dass gängige Anti-Phishing-Maßnahmen wie Phishing-Simulationen, Banner oder [EXTERN]-Kennzeichnungen nicht ausreichen, um den Schutz vor Phishing effektiv zu gewährleisten. „Es ist essenziell, dass technische Schutzvorkehrungen gestärkt werden, um die Resilienz gegenüber Cyberkriminalität zu erhöhen. Vor allem im Gesundheitssektor, der zunehmend Ziel von Cyberangriffen wird, besteht akuter Handlungsbedarf“, so die Bilanz von Studienleiter Prof. Dr. Luigi Lo Iacono. Die Studie liefere damit eine fundierte Grundlage, um effektive Strategien zur Abwehr von Phishing-Angriffen zu entwickeln.
Luigi Lo Iacono, Professur für IT-Sicherheit
Institut für Informatik
Telefon: 0641 99 12560
E-Mail: luigi.lo_iacono@uni-giessen.de
Web: https://das.uni-giessen.de/
Jan Tolsdorf, David Langer, and Luigi Lo Iacono. 2025. Phishing Susceptibility and the (In-)Effectiveness of Common Anti-Phishing Interventions in a Large University Hospital. In Proceedings of the 2025 ACM SIGSAC Conference on Computer and Communications Security (CCS '25). Association for Computing Machinery, New York, NY, USA, 4334–4348.
https://doi.org/10.1145/3719027.3765164
https://www.sigsac.org/ccs/CCS2025/
Viele Phishing-E-Mails setzen auf Verlustängste. Screenshot
Source: JLU (mit Hilfe von KI)
Criteria of this press release:
Journalists, Scientists and scholars
Information technology, Medicine
transregional, national
Research results
German
Viele Phishing-E-Mails setzen auf Verlustängste. Screenshot
Source: JLU (mit Hilfe von KI)
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
