Phishing-Attacken sind nur erfolgreich, wenn sie nicht erkannt werden. Also liegt es nahe, die Erkennungsfähigkeit der Mitarbeiter zu stärken. Ein probates Mittel sind Phishing-Simulationen. [...]
Die Zahl der erfolgreichen Phishing-Attacken ist in den letzten Jahren stark gestiegen. So erlitten im Jahr 2021 laut Bitkom 18 Prozent aller deutschen Unternehmen einen Schaden durch entsprechende Angriffe (Quelle). Besorgniserregende Fakten liefert auch eine Studie von BeyondTrust (Quelle), wonach die Anzahl von Phishing-Attacken von 2020 bis 2021 um 200 Prozent anstieg. Oftmals nutzten die Angreifer das Thema Corona, um Nutzer zur Offenlegung geheimer Informationen zu animieren.
Rein technische Schutzmaßnahmen reichen nicht aus, um diese sich zuspitzende Problematik einzudämmen. So schaffen es beispielsweise rund ein Viertel aller Phishing-E-Mails, den leistungsstarken Filter von Microsoft zu umgehen. Die letzte Verteidigungslinie sind in solchen Fällen die Mitarbeiter. Es muss daher das Ziel der IT-Security-Strategie sein, deren Awareness zu stärken. Rein theoretische Trainings erweisen sich in diesem Kontext als zu wenig effektiv. Wie bei jedem Thema stellt sich ein guter Wissenstransfer erst dann ein, wenn das Erlernte in der Praxis verfestigt werden kann. An dieser Stelle kommen Phishing-Simulationen ins Spiel.
Fingierte E-Mails als Trainingsbestandteil
Ähnlich wie bei realen Angriffen werden bei Phishing-Simulationen E-Mails an die Mitarbeiter versendet, mit denen wichtige Daten abgegriffen werden sollen. Zu diesem Zweck sind die fingierten Nachrichten mit Links zu gefälschten Webseiten oder speziell präparierten Anhängen ausgestattet. Eine echte Gefahr geht von den Trainings-E-Mails natürlich nicht aus. Sie dienen rein dazu, das Sicherheitsbewusstsein der Mitarbeiter zu stärken und Unternehmen somit vor den fatalen Folgen von realen Phishing-Attacken zu schützen.
So erzielen Phishing-Simulationen einen maximalen Effekt
Um einen möglichst hohen Nutzen aus Phishing-Simulationen zu ziehen, sollte die Maßnahme strukturiert vorbereitet und professionelle durchgeführt werden. Im Vordergrund sollte stets die Sensibilisierung der Mitarbeiter stehen, nicht jedoch das Anprangern falscher Verhaltensweisen. In der Praxis hat sich folgendes Vorgehen bewährt:
1. Schritt: Technische Vorbereitung mittels Whitelist
Ob lernorientierte Maßnahme oder Test des Mitarbeiter-Know-hows: Ohne die passende technische Vorbereitung kann die Phishing-Simulation nicht funktionieren. Empfehlenswert ist die Erstellung einer Whitelist, um das gewünschte Setup vorzunehmen. Dadurch wird erreicht, dass die simulierten Phishing-E-Mails in den Postfächern der Mitarbeiter erscheinen. Weitere technische Details klären Verantwortliche idealerweise mit ihrem Anbieter.
2. Schritt: Vorbereitung, aber keine Vorwarnung
Ist das technische Setup erledigt, kann die Maßnahme inhaltlich geplant und terminiert werden. Um mit der Simulation einen maximalen Lerneffekt und eine langfristige Sensibilisierung zu erzielen, sollten die Mitarbeiter jedoch nicht vorgewarnt werden.
3. Schritt: Maßnahme anonymisiert durchführen
Wie bereits eingangs erwähnt, dient eine Phishing-Simulation vorrangig der Verbesserung der internen IT Security Awareness. Sie sollte jedoch nicht als Werkzeug für das Abprüfen von Wissen oder gar für das Anprangern einzelner Personen betrachtet werden. Deshalb ist es von Bedeutung, die Maßnahme mit einem anonymisierten Ansatz durchzuführen. Dies stellt sicher, dass sich die Belegschaft nicht kontrolliert fühlt oder gar Ängste vor Abmahnungen entstehen.
4. Schritt: Phishing-E-Mails optimal tarnen
Die Zeiten, in denen Phishing-Mails auf Anhieb erkennbar waren, sind weitgehend vorüber. Vielmehr setzen Cyber-Kriminelle immer häufiger auf ausgeklügelte Nachrichten, die im Vorfeld der Attacke sorgfältig personalisiert wurden. Die Rede ist in diesem Fall auch von sogenannten Spear-Phishing-Mails. Sie erscheinen besonders vertrauenserweckend und erhöhen dadurch die Erfolgsquote aus Sicht des Angreifers. Bei Phishing-Simulationen sollten Unternehmen darauf achten, diese Methodik möglichst realitätsnah nachzubilden. Dies betrifft den Inhalt der E-Mails ebenso wie die Ansprache und das Design.
5. Schritt: Wissenstransfer sicherstellen
Phishing-Simulationen sollen den Mitarbeitern dabei helfen, jederzeit wachsam zu sein. Es ist deshalb nicht damit getan, fingierte E-Mails zu versenden und die Ergebnisse der Maßnahme auszuwerten. Vielmehr sollten den Mitarbeitern zusätzlich erklärende Inhalte zur Verfügung gestellt werden, sodass sie verstehen, worauf es bei Phishing-E-Mails ankommt und in welchen Punkten sie sich noch verbessern können.
6. Schritt: Regelung für den Ernstfall erstellen
Jedes Unternehmen sollte über eine Richtlinie für den Fall von Phishing-Angriffen verfügen. Diese wird optimalerweise bereits vor der Simulation erstellt und den Mitarbeitern vermittelt. Sie enthält konkrete Anweisungen, wie das Personal beim Auftreten von Phishing-Mails reagieren soll. Ebenso zeigt sie auf, wie die Meldekette in diesem Szenario aussieht. Relevanz hat die Einhaltung der Richtlinie sowohl für die Phishing-Simulation als auch für reale Angriffe.
7. Schritt: Kontinuierliche Verbesserung
Um den Effekt des Awareness-Trainings nachhaltig zu sichern, sollten die fingierten E-Mail-Nachrichten im Zufallsprinzip und vor allen Dingen kontinuierlich an die Mitarbeiter versendet werden. Hierdurch erreichen Unternehmen eine fortlaufende Sensibilisierung für IT-Sicherheitsrisiken. Gleichzeitig werden die Lerninhalte immer weiter vertieft.
8. Schritt: Feedback bereitstellen
Nach jeder Phishing-Simulation sollten die Teilnehmer mit ausführlichem Feedback versorgt werden, um sich verbessern zu können. Die Durchsprache der Ergebnisse kann auch in einem Workshop erfolgen. Denn dieses Format bietet die Möglichkeit, Fragen direkt zu klären. Zudem können sich die Teilnehmer über ihre Erfahrungen austauschen.
Empfehlenswerte Open-Source-Technologie verfügbar
Aus technischer Sicht gibt es mehrere Möglichkeiten, Phishing-Simulationen umzusetzen. Empfehlenswert ist beispielsweise das Open-Source-Framework GoPhish. Es verursacht keine Lizenzkosten und ist dank einer One-Click-Installation sehr schnell einsatzbereit. Die Lösung verfügt über eine REST-API, eine intuitive Benutzeroberfläche und ist plattformübergreifend (auf Windows, MacOS und Linux) einsetzbar. Ergebnisse der Simulationen stellt die Web-Plattform in Echtzeit bereit.
Weiterhin bietet GoPhish die Möglichkeit, eigene Ziele zu definieren und individuelle Vorlagen zu erstellen. So lassen sich die Simulationen problemlos an spezifische Bedürfnisse anpassen. Kampagnen können in nur wenigen Schritten erstellt und gestartet werden. Die Ergebnisse lassen sich bei Bedarf in Form unterschiedlicher Berichte exportieren.
Fazit: Einfache Maßnahme mit großer Wirkung
In Summe wird deutlich: Phishing-Simulationen sind ein wichtiger Baustein, wenn es um kontinuierliches Awareness-Building im Unternehmen geht. Insbesondere, wenn die Maßnahme inhaltlich und organisatorisch gut vorbereitet wird, erzielt sie eine enorme Wirkung. Die technische Umsetzung können Unternehmen entweder in Eigenregie vornehmen oder auf einen Service-Anbieter zurückgreifen, der die Simulation als Dienstleistung durchführt.
*Der Autor Jan Kahmen ist CEO von turingpoint.
Be the first to comment