Viele Unternehmen kennzeichnen E-Mails von außerhalb mit dem Hinweis „Extern“, um ihre Mitarbeiter vor Phishing zu warnen. Eine aktuelle Studie zeigt jedoch, dass diese Maßnahme oft nicht den gewünschten Schutz vor Datenklau bietet. Viele Nutzer ignorieren die Warnung oder verstehen ihre Bedeutung nicht vollständig, weshalb das Risiko für Phishing-Angriffe bestehen bleibt.
Diese sogenannten „Extern“-Tags sollen signalisieren, dass eine Nachricht nicht aus der eigenen Organisation stammt. Dadurch sollen Empfänger vorsichtiger sein, bevor sie auf Links klicken oder Anhänge öffnen. Die Hoffnung ist, dass Mitarbeiter so gefälschte E-Mails leichter erkennen.
Wie wirksam sind „Extern“-Tags als Schutz vor Phishing?
Wissenschaftler der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) und des Leibniz-Instituts für Wirtschaftsforschung haben die Wirksamkeit dieser Warnhinweise untersucht. Für ihre Studie führten sie einen groß angelegten Phishing-Test mit rund 10.000 Teilnehmern durch. Das Ergebnis war ernüchternd, denn die Warnungen zeigten kaum einen Effekt.
Die Forscher stellten fest, dass viele Mitarbeiter die Hinweise einfach übersehen oder nach kurzer Zeit nicht mehr bewusst wahrnehmen. Dieses Phänomen wird als „Banner-Blindheit“ bezeichnet. Außerdem führt die ständige Präsenz der Warnung bei fast jeder externen Mail dazu, dass sie ihre alarmierende Wirkung verliert und zur Routine wird.
Ein weiteres Problem ist das fehlende Verständnis. Nicht alle Mitarbeiter wissen, was der „Extern“-Tag genau bedeutet oder welche konkreten Gefahren von externen E-Mails ausgehen können. Daher klicken sie trotzdem auf schädliche Links, obwohl die Warnung vorhanden ist.
Warum die Warnhinweise oft nicht ausreichen
Die Studie macht deutlich, dass ein einfacher Text-Hinweis als Schutz vor Phishing oft nicht genügt. Cyberkriminelle gestalten ihre Phishing-Mails immer professioneller, sodass sie auf den ersten Blick kaum von echten Nachrichten zu unterscheiden sind. Ein unauffälliger Warnhinweis kann da schnell untergehen.
Zudem verlassen sich Unternehmen möglicherweise zu sehr auf diese technische Lösung und vernachlässigen andere wichtige Sicherheitsmaßnahmen. Ein falsches Sicherheitsgefühl kann entstehen, während die eigentliche Gefahr weiterhin besteht. Die Forscher betonen daher, wie wichtig eine umfassende Sicherheitsstrategie ist.
Bessere Alternativen und zusätzliche Schutzmaßnahmen
Anstatt sich allein auf „Extern“-Tags zu verlassen, sollten Unternehmen auf eine Kombination aus technischen und organisatorischen Maßnahmen setzen. Dazu gehören vor allem regelmäßige und praxisnahe Sicherheitsschulungen für die Mitarbeiter. In diesen Trainings lernen sie, verdächtige E-Mails anhand konkreter Merkmale zu erkennen.
Zusätzlich sind technische Lösungen wie verbesserte Spam- und Phishing-Filter unerlässlich. Diese können viele betrügerische E-Mails bereits abfangen, bevor sie überhaupt im Posteingang der Mitarbeiter landen. Eine weitere wirksame Methode ist die Zwei-Faktor-Authentifizierung (2FA), die den Zugriff auf Konten absichert, selbst wenn ein Passwort gestohlen wurde.
- Regelmäßige Schulungen: Mitarbeiter müssen lernen, Phishing-Merkmale wie gefälschte Absender, dringende Handlungsaufforderungen oder verdächtige Links zu erkennen.
- Verbesserte E-Mail-Filter: Moderne Sicherheitssysteme können schädliche Inhalte oft automatisch blockieren.
- Zwei-Faktor-Authentifizierung (2FA): Sie bietet eine zusätzliche Sicherheitsebene für den Login bei wichtigen Diensten.
Letztlich zeigt die Untersuchung, dass der alleinige Einsatz von „Extern“-Warnungen ein trügerisches Gefühl der Sicherheit vermittelt. Nur ein mehrstufiges Sicherheitskonzept bietet einen zuverlässigen Schutz vor Phishing und Datenklau.
