Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum

Eine umfassende Phishing-Simulation mit mehr als 7.000 E-Mail-Konten an einer deutschen Universitätsklinik offenbart gravierende Schwachstellen im Cyberschutz des Gesundheitswesens. Forscher der Justus-Liebig-Universität Gießen belegen: Die weitverbreitete [EXTERN]-Kennzeichnung externer E-Mails bietet praktisch keinen Schutz vor Betrugsversuchen. Die Studienergebnisse wurden auf der ACM Conference on Computer and Communications Security präsentiert.

Massive Sicherheitslücken trotz etablierter Schutzkonzepte

Krankenhäuser geraten zunehmend ins Visier von Cyberkriminellen – doch die eingesetzten Abwehrmaßnahmen erweisen sich als unzureichend. Ein Forschungsteam unter Leitung von Professor Luigi Lo Iacono hat in einer breit angelegten Feldstudie untersucht, wie verwundbar Beschäftigte im Gesundheitssektor tatsächlich sind. Die Wissenschaftler simulierten realistische Phishing-Attacken und testeten parallel die Wirksamkeit verschiedener Schutzmaßnahmen, die in der Praxis standardmäßig zum Einsatz kommen.

Bereits wenige manipulierte E-Mails können in großen Kliniken erhebliche Sicherheitsrisiken auslösen. Innerhalb eines Zeitfensters von 12 bis 24 Stunden besteht eine hohe Gefahr, dass Mitarbeiter sensible Anmeldeinformationen an Angreifer übermitteln.

Jeder vierte Beschäftigte würde Zugangsdaten preisgeben

Die Auswertung der Simulation zeigt ein besorgniserregendes Bild: Rund 25 Prozent der Klinikbeschäftigten wären potenziell bereit gewesen, ihre Authentifizierungsdaten einzugeben. Dabei spielen verschiedene Faktoren eine entscheidende Rolle für den Erfolg der Angriffe.

Besonders effektiv erwiesen sich Phishing-Mails, die morgens versendet wurden – sie erhöhten die Interaktionsrate um 5,6 Prozentpunkte. Bei medizinischem Personal lag dieser Effekt sogar bei 13,5 Prozentpunkten. Schlicht formatierte Textnachrichten ohne HTML-Elemente steigerten die Anfälligkeit um 4,9 Prozentpunkte, wobei auch hier Ärzte und Pflegekräfte besonders betroffen waren.

Psychologische Trigger wie Verlustängste – etwa Warnungen vor angeblich ablaufenden E-Mail-Konten – erhöhten die Klickwahrscheinlichkeit um 6,7 Prozentpunkte. Dieser Effekt zeigte sich vor allem bei nicht-medizinischem Personal ausgeprägt.

Technische Filter schlagen visuelle Warnungen

Die Forscher prüften systematisch, welche der gängigen Gegenmaßnahmen tatsächlich Wirkung zeigen. Explizite Warnbanner und die automatische Umleitung verdächtiger Nachrichten in Spam-Ordner erwiesen sich als hochwirksam: Sie reduzierten riskantes Nutzerverhalten um bis zu 94 Prozent.

Die in vielen Organisationen eingesetzte [EXTERN]-Markierung externer Absender zeigte hingegen kaum Schutzwirkung. Auch das Deaktivieren von Links in E-Mails sowie Browser-Warnungen vor verdächtigen URLs boten nur begrenzten Schutz.

Psychologische Belastung durch Sicherheitstests

Ein weiterer Aspekt der Untersuchung betraf die emotionalen Auswirkungen von Phishing-Simulationen auf die Teilnehmer. Ein erheblicher Anteil der Befragten berichtete von Gefühlen wie Angst, Scham und Schuldgefühlen nach der Aufklärung über die Testsituation. Diese Erkenntnis wirft die Frage auf, ob der Nutzen solcher Simulationen die psychologische Belastung der Beschäftigten rechtfertigt.

Dringender Handlungsbedarf im Gesundheitssektor

Die Studienautoren ziehen ein klares Fazit: Herkömmliche Maßnahmen wie Phishing-Schulungen, Warnbanner oder die [EXTERN]-Kennzeichnung reichen nicht aus, um einen verlässlichen Schutz zu etablieren. Studienleiter Luigi Lo Iacono fordert verstärkte technische Sicherheitsvorkehrungen: „Im Gesundheitssektor, der immer häufiger Ziel von Cyberangriffen wird, besteht akuter Handlungsbedarf. Technische Schutzsysteme müssen ausgebaut werden, um die Widerstandsfähigkeit gegen Cyberkriminalität zu erhöhen.“

Die Forschungsarbeit liefert evidenzbasierte Anhaltspunkte für die Entwicklung effektiverer Abwehrstrategien gegen Phishing-Attacken im klinischen Umfeld.

Quelle: Jan Tolsdorf, David Langer, Luigi Lo Iacono: „Phishing Susceptibility and the (In-)Effectiveness of Common Anti-Phishing Interventions in a Large University Hospital“, ACM SIGSAC Conference on Computer and Communications Security (CCS ’25), DOI: 10.1145/3719027.3765164

Lesen Sie auch:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk