Besser als Theorie: Wie mit Phishing-Simulationen das Sicherheitsbewusstsein von Mitarbeitern wächst
Phishing verursacht jährlich Milliardenschäden für Unternehmen. Früher in der Betreffzeile meist schon leicht an sprachlichen Fehlern erkennbar, sind entsprechende Mails heute gefährlich perfektioniert. Traditionelle Mitarbeiterschulungen, vielfach belehrend und zu theoretisch, zeigen wenig Wirkung. Eine innovative Lösung bietet msecure mit der Simulation realer Phishing-Szenarien im laufenden Betrieb. Denn dieses praxisorientierte, effektive Training verspricht eine direktere und nachhaltigere Sensibilisierung der Belegschaft.
Warum bleibt Phishing gefährlich?
Das Ergaunern von Zugangsdaten durch gefälschte E-Mails, genannt Phishing, bleibt eines der wichtigsten Einfallstore für kriminelle Hacker in deutschen Unternehmen. Betrachtet man es im Zusammenhang mit typischen Folgen wie Passwortdiebstahl und Ransomware, hat es 2022 laut Bitkom wirtschaftliche Gesamtschäden von zehn Milliarden Euro verursacht.
Ähnlich wie Spam zielt Phishing meist auf Betrug ab: Täuschend echte E-Mails, Nachrichten, KI-generierte Anrufe oder Websites verleiten die Empfänger zur Preisgabe von Benutzer- und Kontoinformationen.
Früher verrieten sich Phishing-Mails häufig durch ungelenke Formulierungen oder Fehler in der Betreffzeile und es war offensichtlich, dass die Mail wohl kaum von einer Kollegin oder einem Kollegen stammen kann. Spätestens seit der Entwicklung von trainierbaren Technologien wie ChatGPT und Co. ist das aber vorbei. Und auch die Erkennung verdächtiger Mails anhand kryptischer URLs oder ungewöhnlicher Top-Level-Domains wird schwieriger – wer achtet schon auf .co für Kolumbien statt .com oder entdeckt beispielsweise das „r n“ statt dem „m“ in „rnicrosoft.com“. Dazu sollten User aber in die Lage versetzt werden, betonen Sicherheitsexperten wie Götz Blechschmidt, Geschäftsführer der Datenschutz und IT-Security Beratung msecure. Ein solches Schärfen der Aufmerksamkeit, im Fachjargon „Awareness“ genannt, erfolgt meist immer noch im Rahmen von IT-Sicherheitsschulungen.
Herkömmliche Datenschutz-Schulungen wirksam ergänzen
Ziel solcher Schulungen, wie auch msecure sie anbietet, ist es, Beschäftigte in Unternehmen oder Behörden dafür zu sensibilisieren, vorsichtig im Umgang mit E-Mails zu sein. In jeder Schulung lernen die Teilnehmerinnen und Teilnehmer, worauf sie zu achten haben und auf was sie auf keinen Fall klicken sollten. Aber angesichts der Vielzahl an Informationen, die in der täglichen Arbeit auf uns einprasseln, haben herkömmliche Schulungsmaßnahmen nur kurzzeitige Wirkung.
Diesen „Hier rein – da raus“-Effekt kennt man auch aus anderen Bereichen, weiß Vertriebsleiter Rüdiger Hammer. Die Werbebranche hat vor diesem Hintergrund längst gelernt, Botschaften häufig zu platzieren, sie visuell aufzuladen und sie damit besser im Gedächtnis zu verankern.
Die Phishing Simulation von msecure greift diesen Gedanken auf und ist damit eine ideale Ergänzung zu den Schulungen im klassischen Sinne. Sie erlaubt es, die Mitarbeitenden über einen bestimmten Zeitraum mit immer wieder neuen, echt wirkenden Phishing-Szenarien wachzurütteln und so mehr Awareness zu schaffen.
Klickraten auf Phishing-Links oft überraschend hoch
Wie in der Praxis unterscheidet msecure in den Simulationsübungen zwischen der Häufigkeit, mit der solche Mails geöffnet werden, und der Häufigkeit der Klicks auf darin enthaltene Links. Die reine Öffnungsrate ist laut Hammer nicht sehr aussagefähig, weil viele User ihren Outlook- oder anderen Mail-Client so eingerichtet haben, dass sich Mails automatisch öffnen und in der Vorschau angezeigt werden. „Was wir im Übrigen nicht empfehlen“, so der Fachmann.
Bei der Klickrate werden hingegen die Fälle gezählt, bei denen der Empfänger nicht nur eine verdächtige Mail öffnet, sondern auch auf den dort enthaltenen Dateianhang oder Link klickt, und somit einem echten Angreifer Tür und Tor öffnen würde. Erschreckend ist für Hammer die hohe Klickrate von etwa zehn Prozent, die bereits bei den eigentlich leicht als Fälschung zu erkennenden Mails eintritt.
„Die Klickrate hängt vom individuellen Kenntnisstand und Arbeitsumfeld ab“, so Hammer. Controller oder IT-Administratoren sind im Regelfall deutlich misstrauischer als Beschäftigte in anderen Funktionen. Und dennoch kann es auch hier geschehen, obwohl es in der einen oder anderen Richtung auch immer Ausnahmen gibt.
Wie der Mitarbeiter, der zwar wusste, dass DHL ihm wohl kaum eine Paketankündigung auf sein geschäftliches Mail-Postfach senden würde. Aber er wartete privat dringend auf eine Sendung und hatte daher, ohne groß nachzudenken, den Link in der Mail angeklickt.
Genau solche Situationen werden von professionellen Hackern ausgenutzt. Sie adressieren, ganz im Sinne der Erkenntnisse der Neurowissenschaften, grundlegende Motive wie Angst oder Neugier. Und so tappen auch aufmerksame Menschen in die Falle, wenn sie Botschaften lesen wie „Ihr Rechner ist infiziert“ oder „Wir haben verdächtige Aktivitäten in Ihrem Online-Bankkonto festgestellt“. Zumal wenn sie angeblich von bekannten Marken kommen.
Ständige Achtsamkeit fördern
Wer dann tatsächlich auf einen solchen Link geklickt hat, sollte beherzigen, was Blechschmidt und Kollegen in den Schulungen immer wieder predigen: „Melden, melden, melden!“ Viele Betroffene tun das aber nicht, weil sie negative Konsequenzen fürchten, insbesondere wenn in der Organisation Fehler mit Schuldzuweisungen verbunden sind und zu disziplinarischen Konsequenzen führen.
Hier widerspricht Blechschmidt, selbst Auditor für Informationssicherheit, auch der Auffassung, dass jeder Sicherheitsverstoß geahndet werden müsse, weil dies z.B. ISO 27001 fordern würde. „Der Vorteil der Phishing Simulation liegt gerade darin, dass Fehler erst einmal selbst erkannt werden, und nicht sofort zu einer halbstündigen Pflichtschulung oder einem Gespräch mit der Teamleitung führen.“
Daher sind Auswertungen zu den Klickraten anonymisiert und in Gruppen mit Mindestgrößen zusammengefasst. Und um den Einstieg nicht von vorneherein zu erschweren, die Erkennungsfähigkeiten aber kontinuierlich zu erhöhen, sind in der von msecure eingesetzten Lösung drei Schwierigkeitsstufen – von leicht bis schwer – verankert.
Schutz gegen fortschrittliche Attacken
Außerdem bietet die Simulation die Möglichkeit, neben den typischen Phishing-Mails auch individuelle Mails zu verwenden. So können beispielsweise aktuelle Ereignisse, Schulungen oder Projekte der Organisation thematisiert werden, so wie auch Hacker bei fortschrittlicheren Angriffen vorgehen würden.
„Mit unserem Wissen als Berater und der Kenntnis der Organisation können wir das Tool passgenau zuschneiden und beispielsweise auch sehr plausible Absenderadressen verwenden. Was natürlich – wie im richtigen Leben – besonders gemein ist“, so Blechschmidt.
Rüdiger Hammer erläutert, dass die Phishing Simulation von msecure im Hintergrund und im laufenden Betrieb läuft. Die festgelegten Ansprechpartner erhalten je nach Vereinbarung monatliche oder vierteljährliche Berichte. Die Auswertung ist auf zehn bis zwanzig Teilnehmende ausgelegt. Sie kann nach einzelnen Bereichen wie Einkauf oder Vertrieb oder nach vergleichbaren Tätigkeiten geordnet werden. Auf diese Weise ergibt sich eine Kennzahl, anhand derer die aktuelle Awareness der Organisation sichtbar wird.
Zudem ergeben sich Verbesserungsmöglichkeiten, beispielsweise wenn sich in einzelnen Gruppen auffällige Unterschiede zeigen. Meist lohnt es sich hier, den Kommunikationsprozess genauer anzusehen. „Die Erfahrung zeigt, dass Menschen nicht gerne und freiwillig Fehler machen, aber die spezifischen Anforderungen ihrer Tätigkeit an die Kommunikation mit den vorhandenen Arbeitsmitteln einfach nicht gut im Sinne von fehlervermeidend unterstützt werden“, betont Blechschmidt.
Die Consultants von msecure zeigen anhand der Auswertung der simulierten Phishing-Dauertests, wie es um die Awareness in einer Organisation steht und wo Nachholbedarf besteht. So werden IT-Sicherheit und Compliance verbessert, ohne dabei einzelne Teilnehmer bloßzustellen. Mehr über die msecure GmbH, die Phishing Simulation und die weiterführenden Service- und Beratungsleistungen des Münchener IT-Sicherheitsspezialisten erfahren Sie hier.
Quelle Titelbild: Adobe Stock / CraftlyImago
.