Das Beste aus Ihren Anti-Phishing-Kampagnen herausholen

Als Sicherheitsberater habe ich erlebt, wie mehrere Sicherheitsteams in die Falle tappten, ihre Anti-Phishing-Kampagnen auf Autopilot zu stellen. Sie kaufen eine Phishing-Simulationsplattform und überlassen es dem System, die Phishing-Vorlagen auszuwählen und sie in regelmäßigen Abständen auszuführen. 

Mit diesem Ansatz können einige der grundlegenden Aufgaben der Mitarbeiterschulung erfüllt werden, wie z. B. das Abhaken eines weiteren Kästchens auf einer Checkliste für Sicherheitsschulungen zur Einhaltung der Vorschriften. Aber Training auf Autopilot beraubt Ihr Sicherheitsteam einer wertvollen Gelegenheit, den Zustand der menschlichen Sicherheitslage Ihres Unternehmens besser zu verstehen.

Jede simulierte Phishing-Kampagne bietet die Möglichkeit, in die Köpfe der Mitarbeiter zu blicken und ihre Entscheidungen und Verhaltensweisen zu verstehen. Aus diesem Grund sollte jede Anti-Phishing-Kampagne ein bewusstes Ziel haben und so konzipiert sein, dass sie nicht nur die Mitarbeiter eines Unternehmens, sondern auch die Sicherheitsteams schult. Um das Beste aus Ihren Anti-Phishing-Kampagnen herauszuholen, sollten Sie die unten beschriebenen Schritte in Verbindung mit einem Programm wie Mimecast Awareness Training in Betracht ziehen.

Verständnis für die Nicht-Klicker

Es gibt alle möglichen Gründe, warum jemand auf einen Link in einer Phishing-E-Mail klicken könnte - sie wurden von den Phishing-Ködern getäuscht, sie haben nicht aufgepasst, sie waren zu sehr von ihrem Phishing-Radar überzeugt. Bei der Analyse der Ergebnisse von Phishing-Simulationen liegt der Schwerpunkt einseitig auf diesen Personen. Die gängigste Kennzahl zum Verständnis der Anfälligkeit von Mitarbeitern für Phishing ist die Klickrate, also der Prozentsatz der Mitarbeiter, die auf die URL in einer bösartigen E-Mail geklickt haben.

Aber die Klickrate sagt nur die Hälfte der Geschichte. Eine der besten Möglichkeiten, die Sicherheitsaufklärung und -schulung langfristig zu verbessern, besteht darin, die Nutzer zu verstehen, die nicht auf den Link geklickt haben. 

Nehmen wir zum Beispiel an, Sie führen eine Anti-Phishing-Kampagne durch, die eine Klickrate von 20 % erzielt. Wenn man weiter recherchiert und feststellt, dass nur die Hälfte derjenigen, die nicht geklickt haben, die Nachricht überhaupt zur Kenntnis genommen haben, ergibt sich ein ganz anderes Bild. Von den 80 % der Nutzer, die nicht geklickt haben, haben einige die Nachricht vielleicht gelöscht, ohne sie anzusehen, während andere sie nicht geöffnet haben, weil sie im Urlaub waren oder mit der Arbeit überfordert waren. Plötzlich springt Ihre tatsächliche Klickrate von 20 % (20/100) auf 33 % (20/60). Ohne sich die Mühe zu machen, Mitarbeiter, die nicht klicken, weiter zu verfolgen, ist es unmöglich, die wahre Anfälligkeit eines Unternehmens für Phishing zu erkennen.

Tiefer graben

Die beiden gängigsten Methoden, um Erkenntnisse von den Mitarbeitern zu erhalten, die nicht klicken, sind Umfragen und Interviews. Meiner Erfahrung nach ist es am besten, zunächst einige Mitarbeiterbefragungen durchzuführen (optimal sind sechs bis zehn) und später eine breitere Mitarbeiterbefragung folgen zu lassen. Diese Einzelgespräche liefern reichhaltige Erkenntnisse, die bei der Erstellung der Umfragefragen berücksichtigt werden können.

Die Interviews können überraschend sein; man weiß nie, was die Mitarbeiter einem erzählen. In einem Interview vertraute eine Mitarbeiterin an, dass sie, wenn sie eine verdächtige E-Mail an ihr privates Konto erhielt, diese an ihr berufliches E-Mail-Konto weiterleitete und dann die E-Mail im Büro öffnete, "weil die Sicherheit am Arbeitsplatz höher ist". Das Verständnis für die Sicherheitsmentalität dieser Mitarbeiter half mir bei der Entwicklung von Fragen wie dieser: "Ist das Öffnen einer verdächtigen E-Mail zu Hause oder am Arbeitsplatz sicherer?" Ich habe auch Szenario-Fragen wie die folgende erstellt: "Sie erhalten eine verdächtige E-Mail an Ihr persönliches Konto während der Arbeitszeit, wie gehen Sie mit dieser E-Mail um?" Glücklicherweise war die Vorstellung dieser Mitarbeiterin von Cyber-Hygiene nicht weit verbreitet, aber sie war mit ihrer Meinung nicht allein. Und ich wäre nie auf die Idee gekommen, sie danach zu fragen, wenn ich sie nicht interviewt hätte.

Die aus der Kombination von Einzelinterviews und breiteren Umfragen gewonnenen Erkenntnisse können ein leistungsfähiges und dynamisches Instrument für die Nachverfolgung und Berichterstattung über die Wirksamkeit von Sicherheitsprogrammen und die Leistung der Mitarbeiter sein. In Verbindung mit dynamic predictive risk scoring können diese Erkenntnisse eine umfassendere Bewertung der gesamten Sicherheitslage eines Unternehmens ermöglichen.

Wenn Sie diese Untersuchungen einige Male wiederholen, erhalten Sie einen Kontext für die zu verfolgenden quantitativen Metriken. Die daraus resultierenden Erkenntnisse ermöglichen es Unternehmen, ihre individuellen Schwachstellen gegenüber Social-Engineering-Angriffen besser zu diagnostizieren und explizite Lernziele für zukünftige Kampagnen zu entwickeln. Wenn ein Unternehmen feststellt, dass seine Mitarbeiter besonders anfällig für eine bestimmte Phishing-Technik sind, die Angreifer derzeit verwenden, kann es die de-weaponized simulation capabilities von Mimecast nutzen, um die Abwehrkräfte der Mitarbeiter gegen diese Taktiken zu stärken. 

Es gibt kostenlose Tools, die dabei helfen können, wie z. B. die NIST Phish Scale (NPS). Unternehmen können den NPS nutzen, um ihre Phishing-Kampagnen zu verfeinern und Nachrichten mit unterschiedlichem Schwierigkeitsgrad für verschiedene Mitarbeitergruppen zu entwickeln, je nachdem, wie gut diese Phishing erkennen können.

Die Bücher befassen sich auch mit den warum Entscheidungen der Mitarbeiter bei Phishing-Simulationen. Eines mit dem Titel "Das schwächste Glied: How to Diagnose, Detect, and Defend Users from Phishing" (Wie man Benutzer vor Phishing diagnostiziert, aufspürt und schützt) enthält eine kurze Bewertung, mit der getestet wird, wie stark der Verdacht eines Mitarbeiters auf einen bestimmten Phish war (unabhängig davon, ob er ihn angeklickt hat), und es werden die Gründe für den Grad des Verdachts untersucht.[1]

Sicherheitsfachkräfte sind auch Menschen

Es ist auch wichtig zu wissen, wer die Phishing-Simulationen leitet. Sicherheitsexperten haben Gewohnheiten und Vorurteile wie jeder andere auch, und diese können Einfluss darauf haben, wie sie ihre simulierten Phishing-Kampagnen gestalten. Vielleicht hat eine Person eine Vorliebe für Geschenkkarten-Betrügereien, um zu simulieren, während eine andere dazu neigt, die Taktik der Verlustvermeidung zu nutzen, indem sie den Vorwand der Kontosperrung nutzt. 

Dies wird zum Problem, wenn eine bestimmte Taktik so oft bei Anti-Phishing-Kampagnen eingesetzt wird, dass sich die Mitarbeiter an bestimmte Phishing-"Stile" gewöhnen und lernen, diese in Simulationen zu vermeiden. Die daraus resultierenden Klickraten werden im Laufe der Zeit sinken, aber sie bieten ein falsches Gefühl der Sicherheit, da diese Mitarbeiter weiterhin für andere Arten von Phishing-Angriffen anfällig sind, die nicht in ihren Erfahrungsbereich fallen. Daher ist es eine gute Praxis, gelegentlich die Personen auszuwechseln, die Phishing-Kampagnen entwerfen, oder die Taktiken in Simulationen bewusst zu wechseln, damit sich die Benutzer nicht nur an bestimmte Phishing-Stilen gewöhnen.  

Die Quintessenz

Anti-Phishing-Kampagnen sind eine großartige Gelegenheit zum Lernen, nicht nur für Mitarbeiter, sondern auch für Sicherheitsteams. Die Entwicklung von Anti-Phishing-Kampagnen und der anschließende Austausch mit den Mitarbeitern, um deren Denkweise und Verhalten besser zu verstehen, erhöht den ROI dieser Bemühungen. Die daraus gewonnenen Erkenntnisse können Ihnen auch bei der Verbesserung von Anti-Phishing-Kampagnen helfen. Lesen Sie weiter, um mehr über Mimecasts Security Awareness Training zu erfahren.

[1] "The Weakest Link: Diagnose, Erkennung und Verteidigung von Benutzern vor Phishing," MIT Press