Der deutsche Mittelstand ist aufgewacht uns versucht, seine Daten „souverän“, also unter eigener Kontrolle, zu halten. Die feinste Technik hilft aber nichts, wenn die eigenen Mitarbeitenden wenig sensibel mit den Daten umgehen.
Die Belegschaft ist weiter die Gefahrenquelle Nummer eins für kritische Daten – da können diese in noch so sicheren privaten und damit wirklich souveränen Clouds vorgehalten werden wie man will. Immer findet sich ein Mitarbeitender, dem mittels Social Engineering-Techniken der Zugang dazu entlockt werden kann.
Dies zeigt der „Simulated Phishing Roundup“-Report der Cybersicherheitsplattform KnowBe4 für das zweite Quartal 2025. Alle Daten für diesen Bericht wurden zwischen dem 1. April und dem 30. Juni 2025 erhoben.
Weiter fanden die Sicherheitsexperten heraus:
Die Trends bei Phishing-Simulationen blieben weitgehend konsistent mit dem ersten Quartal 2025 (1. Januar bis 31. März 2025):
Interne Themen machten 98,4 Prozent der zehn am häufigsten angeklickten E-Mail-Vorlagen aus. Davon entfielen 42,5 Prozent der Phishing-Fehler auf den Bereich Personalwesen und 21,5 Prozent auf den Bereich IT. 71,9 Prozent der Interaktionen mit bösartigen Landingpages betrafen markenbezogene Inhalte. Microsoft war mit 26,7 Prozent am häufigsten vertreten, gefolgt von LinkedIn, X, Okta und Amazon.
80,6 Prozent der 20 am häufigsten angeklickten Links stammten aus Simulationen mit internen Themen. 68,2 Prozent davon verwendeten Domain-Spoofing-Techniken.
PDFs machten 61,1 Prozent der 20 häufigsten Anhänge aus, gefolgt von HTML-Dateien (20,9 Prozent) und Word-Dokumenten (18,0 Prozent). Die Klicks auf PDF-Anhänge stiegen im Vergleich zum ersten Quartal um 8,1 Prozent.
„Eine der wichtigsten Erkenntnisse aus der zusammengefassten Analyse der Phishing-Simulationen im zweiten Quartal ist die entscheidende Rolle, die Vertrauen in der Cybersicherheit spielt“, so Erich Kron, Cybersicherheitsexperte bei KnowBe4.
„Ob es sich um Vertrauen in die interne Kommunikation, bekannte Marken oder sogar bekannte Personen handelt – Phishing-E-Mails, die scheinbar von seriösen Absendern stammen, wecken immer weniger Misstrauen beim Empfänger.“
Er sehe dies immer wieder in realen Szenarien bestätigt, in denen Angreifer ausgefeilte Social-Engineering-Taktiken einsetzten, um grundlegende menschliche Instinkte auszunutzen. Für Mitarbeitende werde es zunehmend schwer, legitime von bösartigen E-Mails zu unterscheiden: „Die Ergebnisse des zweiten Quartals unterstreichen die Notwendigkeit für Unternehmen, ihre menschlichen Abwehrmechanismen durch einen mehrschichtigen Ansatz zu stärken, der sich auf das Management des Human Risks konzentriert“, so Kron. Dazu gehöre die Befähigung der Mitarbeitenden durch eine Kombination aus Sicherheitsschulungen und intelligenten Erkennungstechnologien, die Bedrohungen in Echtzeit identifizieren und abwehren könnten.
Weitere Artikel zum Schwerpunkt „Security“