Security Awareness durch Phishing-Simulationen

Phishing-Attacken sind nur erfolgreich, wenn sie nicht erkannt werden. Also liegt es nahe, die Erkennungsfähigkeit der Mitarbeiter zu stärken. Ein probates Mittel sind Phishing-Simulationen. [...]

Es muss das Ziel der IT-Security-Strategie sein, deren Awareness zu stärken. (c) Pixabay

Die Zahl der erfolgreichen Phishing-Attacken ist in den letzten Jahren stark gestiegen. So erlitten im Jahr 2021 laut Bitkom 18 Prozent aller deutschen Unternehmen einen Schaden durch entsprechende Angriffe (Quelle). Besorgniserregende Fakten liefert auch eine Studie von BeyondTrust (Quelle), wonach die Anzahl von Phishing-Attacken von 2020 bis 2021 um 200 Prozent anstieg. Oftmals nutzten die Angreifer das Thema Corona, um Nutzer zur Offenlegung geheimer Informationen zu animieren.

Rein technische Schutzmaßnahmen reichen nicht aus, um diese sich zuspitzende Problematik einzudämmen. So schaffen es beispielsweise rund ein Viertel aller Phishing-E-Mails, den leistungsstarken Filter von Microsoft zu umgehen. Die letzte Verteidigungslinie sind in solchen Fällen die Mitarbeiter. Es muss daher das Ziel der IT-Security-Strategie sein, deren Awareness zu stärken. Rein theoretische Trainings erweisen sich in diesem Kontext als zu wenig effektiv. Wie bei jedem Thema stellt sich ein guter Wissenstransfer erst dann ein, wenn das Erlernte in der Praxis verfestigt werden kann. An dieser Stelle kommen Phishing-Simulationen ins Spiel.

Fingierte E-Mails als Trainingsbestandteil

Ähnlich wie bei realen Angriffen werden bei Phishing-Simulationen E-Mails an die Mitarbeiter versendet, mit denen wichtige Daten abgegriffen werden sollen. Zu diesem Zweck sind die fingierten Nachrichten mit Links zu gefälschten Webseiten oder speziell präparierten Anhängen ausgestattet. Eine echte Gefahr geht von den Trainings-E-Mails natürlich nicht aus. Sie dienen rein dazu, das Sicherheitsbewusstsein der Mitarbeiter zu stärken und Unternehmen somit vor den fatalen Folgen von realen Phishing-Attacken zu schützen.

So erzielen Phishing-Simulationen einen maximalen Effekt

Um einen möglichst hohen Nutzen aus Phishing-Simulationen zu ziehen, sollte die Maßnahme strukturiert vorbereitet und professionelle durchgeführt werden. Im Vordergrund sollte stets die Sensibilisierung der Mitarbeiter stehen, nicht jedoch das Anprangern falscher Verhaltensweisen. In der Praxis hat sich folgendes Vorgehen bewährt:

1. Schritt: Technische Vorbereitung mittels Whitelist

Ob lernorientierte Maßnahme oder Test des Mitarbeiter-Know-hows: Ohne die passende technische Vorbereitung kann die Phishing-Simulation nicht funktionieren. Empfehlenswert ist die Erstellung einer Whitelist, um das gewünschte Setup vorzunehmen. Dadurch wird erreicht, dass die simulierten Phishing-E-Mails in den Postfächern der Mitarbeiter erscheinen. Weitere technische Details klären Verantwortliche idealerweise mit ihrem Anbieter.

2. Schritt: Vorbereitung, aber keine Vorwarnung

Ist das technische Setup erledigt, kann die Maßnahme inhaltlich geplant und terminiert werden. Um mit der Simulation einen maximalen Lerneffekt und eine langfristige Sensibilisierung zu erzielen, sollten die Mitarbeiter jedoch nicht vorgewarnt werden.

3. Schritt: Maßnahme anonymisiert durchführen

Wie bereits eingangs erwähnt, dient eine Phishing-Simulation vorrangig der Verbesserung der internen IT Security Awareness. Sie sollte jedoch nicht als Werkzeug für das Abprüfen von Wissen oder gar für das Anprangern einzelner Personen betrachtet werden. Deshalb ist es von Bedeutung, die Maßnahme mit einem anonymisierten Ansatz durchzuführen. Dies stellt sicher, dass sich die Belegschaft nicht kontrolliert fühlt oder gar Ängste vor Abmahnungen entstehen.

4. Schritt: Phishing-E-Mails optimal tarnen

Die Zeiten, in denen Phishing-Mails auf Anhieb erkennbar waren, sind weitgehend vorüber. Vielmehr setzen Cyber-Kriminelle immer häufiger auf ausgeklügelte Nachrichten, die im Vorfeld der Attacke sorgfältig personalisiert wurden. Die Rede ist in diesem Fall auch von sogenannten Spear-Phishing-Mails. Sie erscheinen besonders vertrauenserweckend und erhöhen dadurch die Erfolgsquote aus Sicht des Angreifers. Bei Phishing-Simulationen sollten Unternehmen darauf achten, diese Methodik möglichst realitätsnah nachzubilden. Dies betrifft den Inhalt der E-Mails ebenso wie die Ansprache und das Design.

5. Schritt: Wissenstransfer sicherstellen

Phishing-Simulationen sollen den Mitarbeitern dabei helfen, jederzeit wachsam zu sein. Es ist deshalb nicht damit getan, fingierte E-Mails zu versenden und die Ergebnisse der Maßnahme auszuwerten. Vielmehr sollten den Mitarbeitern zusätzlich erklärende Inhalte zur Verfügung gestellt werden, sodass sie verstehen, worauf es bei Phishing-E-Mails ankommt und in welchen Punkten sie sich noch verbessern können.

6. Schritt: Regelung für den Ernstfall erstellen

Jedes Unternehmen sollte über eine Richtlinie für den Fall von Phishing-Angriffen verfügen. Diese wird optimalerweise bereits vor der Simulation erstellt und den Mitarbeitern vermittelt. Sie enthält konkrete Anweisungen, wie das Personal beim Auftreten von Phishing-Mails reagieren soll. Ebenso zeigt sie auf, wie die Meldekette in diesem Szenario aussieht. Relevanz hat die Einhaltung der Richtlinie sowohl für die Phishing-Simulation als auch für reale Angriffe.

7. Schritt: Kontinuierliche Verbesserung

Um den Effekt des Awareness-Trainings nachhaltig zu sichern, sollten die fingierten E-Mail-Nachrichten im Zufallsprinzip und vor allen Dingen kontinuierlich an die Mitarbeiter versendet werden. Hierdurch erreichen Unternehmen eine fortlaufende Sensibilisierung für IT-Sicherheitsrisiken. Gleichzeitig werden die Lerninhalte immer weiter vertieft.

8. Schritt: Feedback bereitstellen

Nach jeder Phishing-Simulation sollten die Teilnehmer mit ausführlichem Feedback versorgt werden, um sich verbessern zu können. Die Durchsprache der Ergebnisse kann auch in einem Workshop erfolgen. Denn dieses Format bietet die Möglichkeit, Fragen direkt zu klären. Zudem können sich die Teilnehmer über ihre Erfahrungen austauschen.

Empfehlenswerte Open-Source-Technologie verfügbar

Aus technischer Sicht gibt es mehrere Möglichkeiten, Phishing-Simulationen umzusetzen. Empfehlenswert ist beispielsweise das Open-Source-Framework GoPhish. Es verursacht keine Lizenzkosten und ist dank einer One-Click-Installation sehr schnell einsatzbereit. Die Lösung verfügt über eine REST-API, eine intuitive Benutzeroberfläche und ist plattformübergreifend (auf Windows, MacOS und Linux) einsetzbar. Ergebnisse der Simulationen stellt die Web-Plattform in Echtzeit bereit.

Weiterhin bietet GoPhish die Möglichkeit, eigene Ziele zu definieren und individuelle Vorlagen zu erstellen. So lassen sich die Simulationen problemlos an spezifische Bedürfnisse anpassen. Kampagnen können in nur wenigen Schritten erstellt und gestartet werden. Die Ergebnisse lassen sich bei Bedarf in Form unterschiedlicher Berichte exportieren.

Fazit: Einfache Maßnahme mit großer Wirkung

In Summe wird deutlich: Phishing-Simulationen sind ein wichtiger Baustein, wenn es um kontinuierliches Awareness-Building im Unternehmen geht. Insbesondere, wenn die Maßnahme inhaltlich und organisatorisch gut vorbereitet wird, erzielt sie eine enorme Wirkung. Die technische Umsetzung können Unternehmen entweder in Eigenregie vornehmen oder auf einen Service-Anbieter zurückgreifen, der die Simulation als Dienstleistung durchführt.

*Der Autor Jan Kahmen ist CEO von turingpoint.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*