Phishing-Simulationen stärken das Cyber-Bewusstsein und die Abwehrkräfte

Phishing ist eine der ältesten Formen von E-Mail-Angriffen - und auch heute noch eine der am weitesten verbreiteten Formen von Cyberkriminalität. Betrüger versenden scheinbar legitime E-Mails, um Personen dazu zu verleiten, sensible Daten wie Anmeldedaten oder Kontoinformationen preiszugeben. Und wenn eine Person in einer Organisation den Köder schluckt, öffnet sie die Tür für Cyberrisiken. Im Jahr 2021 war Phishing für mehr als ein Drittel (36 %) aller Datenschutzverletzungen verantwortlich[1]. 

Generative KI hebt Phishing-Angriffe bereits auf die nächste Stufe. Sie senkt die Hürde für Cyberkriminelle, die die Muttersprache ihrer Zielpersonen nicht gut beherrschen, und hilft ihnen, sehr überzeugende Phishing-E-Mails zu erstellen. Generative KI bietet Cyberkriminellen außerdem die Möglichkeit, über umfangreiche Sprachmodelle immer individuellere Phishing-E-Mails zu erstellen.

Die durch Phishing-Angriffe verursachten Sicherheitsverletzungen können sehr kostspielig sein und manchmal Schäden in Millionenhöhe verursachen sowie die Produktivität und den Ruf eines Unternehmens beeinträchtigen. Da Phishing nach wie vor eine Bedrohung für die Unternehmenssicherheit darstellt, nutzen Unternehmen Phishing-Simulationen als Teil ihres Sicherheitstrainings und ihrer Bemühungen, diese Angriffe zu vereiteln. 

Bei einer Phishing-Simulation handelt es sich um ein Programm, mit dem Unternehmen ihre Mitarbeiter darin schulen und testen, wie sie eine Vielzahl von E-Mail-Bedrohungen anhand realistischer, waffenloser Nachbildungen von realen Angriffen erkennen und melden können. Diese Programme helfen den Führungskräften eines Unternehmens zu verstehen, wie gut ihre Mitarbeiter auf Phishing-Versuche vorbereitet sind - oder auch nicht - und geben ihnen einen Einblick in die Effektivität ihrer Sicherheitsschulungen.

Phishing-Simulationen sind zwar wertvolle Hilfsmittel für die Schulung des Sicherheitsbewusstseins, aber nicht alle sind gleich. Eine erfolgreiche Phishing-Simulation erfordert ein Verständnis der wichtigsten Merkmale eines effektiven Programms, der zu vermeidenden Fehler und der besten Methoden für die Entwicklung und den Einsatz.

Einblick in eine Phishing-Simulation 

Bei einem simulierten Phishing-Angriff erhält eine Gruppe von Mitarbeitern eine E-Mail, die den Inhalt eines echten Phishing-Angriffs nachahmt. Das Testschreiben verleitet sie dazu, eine Aktion auszuführen, z. B. auf einen Link zu klicken, Anmeldedaten preiszugeben oder Kontoinformationen zu teilen. 

Diese Simulationen verfolgen und protokollieren die Handlungen der Mitarbeiter und helfen den Unternehmen, die verbesserungsbedürftigen Bereiche ihres Sicherheitsbewusstseins zu ermitteln. Die Ergebnisse können in mehrfacher Hinsicht wertvoll sein. Wenn die Phishing-Simulation zeigt, dass bestimmte Mitarbeiter, Gruppen oder das Unternehmen insgesamt die gesetzten Ziele oder Benchmarks nicht erreichen, können die Sicherheitsverantwortlichen zusätzliche Schulungen anbieten. Die Ergebnisse von Phishing-Simulationen können den Verantwortlichen für Cybersicherheit auch dabei helfen, den Führungskräften eines Unternehmens die Notwendigkeit von laufenden oder zusätzlichen Investitionen in Sicherheitsschulungen zu verdeutlichen.

Die effektivsten Phishing-Simulationen sind in der Regel die folgenden:

• Realistisch: Eine Phishing-Simulations-E-Mail sollte so realitätsnah wie möglich sein und branchenspezifische, reale Bedrohungen enthalten, mit denen die Mitarbeiter rechnen müssen.
• Anpassbar: Phishing-Simulationen sollten Vorlagen und Kampagnen enthalten, die beispielsweise auf die größten Bedrohungen, spezielle Szenarien und Personengruppen zugeschnitten werden können.
• Benutzerfreundlichkeit: Diese Anwendungen sollten einfach zu konfigurieren, zu starten und in andere Schulungsmaßnahmen zum Sicherheitsbewusstsein zu integrieren sein.
• Messbar: Phishing-Simulationsprogramme sollten Daten und Ergebnisse liefern, die als Grundlage für Schulungen und die Einhaltung von Vorschriften dienen.

Bewährte Praktiken der Phishing-Simulation

Mit den richtigen Maßnahmen können Phishing-Simulationen zu einer dauerhaften Verhaltensänderung und einer besseren allgemeinen Cyber-Hygiene führen. Um die Wirksamkeit eines Phishing-Simulationsprogramms zu erhöhen, sollten Unternehmen die folgenden Best Practices beherzigen: 

• Definition des Ziels: Das Ziel von Phishing-Simulationen sollte nicht darin bestehen, Mitarbeiter auszutricksen. Vielmehr sollten Unternehmen diese Taktik nutzen, um Einzelpersonen dabei zu helfen, die verräterischen Zeichen von Phishing-E-Mails zu erkennen, damit sie mehr Vertrauen in ihre Fähigkeiten haben, diese zu identifizieren und zu melden. 
• Erstellen einer Baseline: Vor dem Start des Phishing-Simulationsprogramms können Unternehmen eine einfache, unangekündigte Basis-Phishing-Simulation an ihre Mitarbeiter senden. Die Ergebnisse werden als Ausgangspunkt für künftige Simulationen dienen.
• Transparent sein: Abgesehen von der Basislinie sollten Unternehmen ihren Mitarbeitern klar mitteilen, wenn eine Phishing-Simulation geplant ist. Auf diese Weise wird Vertrauen aufgebaut, und es werden Verhaltensweisen entwickelt, die den Menschen helfen, ihre Fähigkeiten zur Erkennung von Phishing zu verbessern. Das Gegenteil - das verdeckte Starten einer Phishing-Simulation - kann dazu führen, dass die Mitarbeiter das Gefühl haben, dass es ihnen peinlich ist und dass ihre Aktivitäten überwacht werden.
• Konzentration auf das Positive: Anstatt die negativen Ergebnisse einer Phishing-Simulation hervorzuheben, sollten sich Unternehmen auf die Verhaltensweisen konzentrieren, die sie anderen nachahmen möchten. Anstatt beispielsweise die Anzahl der Mitarbeiter zu nennen, die eine Simulation nicht bestanden haben, können Phishing-Simulationsadministratoren die Taktiken hervorheben, die andere verwendet haben, um zu erkennen, ob eine E-Mail legitim oder betrügerisch war.
• Vorrang für die Ausbildung: Die Aufklärung der Mitarbeiter sollte bei jedem Phishing-Simulationsprogramm im Vordergrund stehen. Wenn ein Mitarbeiter eine Phishing-Simulation nicht bestanden hat, sollten sofort mundgerechte, leicht zu konsumierende Tipps gegeben werden, um Verhaltensänderungen zu fördern.

Häufig zu vermeidende Fehler

Gut durchdachte und effektiv durchgeführte Phishing-Simulationen können Phishing-Angriffe am Arbeitsplatz erheblich reduzieren und eine stärkere Sicherheitskultur fördern. Dennoch bleiben einige Bemühungen hinter den Erwartungen zurück. Häufige Gründe hierfür sind: 

• Keine Anpassung der Simulation: Phishing-Simulationen sollten auf die jeweilige Gruppe zugeschnitten sein. Die Marketingabteilung sollte beispielsweise andere Phishing-E-Mails erhalten als die Finanzabteilung, um die Mitarbeiter mit den spezifischen Bedrohungen vertraut zu machen, denen sie ausgesetzt sein könnten. Phishing-Simulationen sollten auch aktualisiert werden, um neue Bedrohungen und Taktiken zu berücksichtigen, wenn sich die Cybersicherheitslandschaft weiterentwickelt.
• Vernachlässigung des Engagements des Publikums: Schulungen zum Thema Cybersicherheit müssen nicht langweilig sein - sie sollten es sogar nicht sein. Schulungsmodule zu Phishing-Simulationen sollten fesselnd, ansprechend und einprägsam sein und sogar Spaß machen. Dieser Ansatz hilft den Mitarbeitern, mehr Wissen zu erlernen und zu behalten und dadurch die Ergebnisse im Bereich der Cybersicherheit zu verbessern.
• Einführung schwieriger Simulationen: Der Aufbau eines Sicherheitsbewusstseins geschieht nicht über Nacht; es ist ein Prozess. Um das Vertrauen der Mitarbeiter in die Erkennung von Phishing-Versuchen zu stärken, sollten die Simulationen mit leicht zu erkennenden Szenarien beginnen und zu schwierigeren Beispielen übergehen.
• Vernachlässigung des Vorstands: Vorstände haben oft Zugang zu wichtigen und wertvollen Informationen, was sie zu begehrten Zielen für Walfangangriffe macht. Um das Sicherheitsbewusstsein der Vorstandsmitglieder zu verbessern, sollten Sie diese Personen in Phishing-Simulationen einbeziehen.
• Versäumnis der kontinuierlichen Schulung: Eine Phishing-Simulation sollte keine einmalige Erfahrung sein. Unternehmen sollten monatliche Schulungen durchführen, um die Cybersicherheit im Auge zu behalten und sicherzustellen, dass die Mitarbeiter regelmäßig über neue Angriffsarten informiert werden. 

Die Quintessenz

Da Phishing-Angriffe und die daraus resultierenden Sicherheitsverletzungen immer wieder vorkommen, müssen Unternehmen Maßnahmen ergreifen, um ihre Mitarbeiter zu schulen und bewährte Verfahren zur Erkennung dieser Vorfälle einzuführen. Phishing-Simulationen als Teil eines ganzheitlichen Schulungsprogramms für das Sicherheitsbewusstsein bieten Unternehmen eine sichere und wirksame Möglichkeit, diese Bedrohungen durch Schulungen und Tests zu bekämpfen und letztendlich ihre Sicherheitslage zu verbessern. Lesen Sie mehr darüber, wie das Awareness-Training von Mimecast mit integrierten Phishing-Simulationen das Risiko für Ihr Unternehmen verringern und es schützen kann.

[1 ] "2022 Data Breach Investigations Report", Verizon