Untersuchungen haben ergeben, dass eine zu geringe Exposition gegenüber Phishing-E-Mails Benutzer anfälliger für diese machen kann. Der Schlüssel liegt darin, die richtige Kadenz von simulierten Phishing-Kampagnen zu finden.

Wesentliche Punkte:

  • Menschen müssen gelegentlich ausgesetzt werden, um die Wachsamkeit gegenüber Social Engineering-Bedrohungen aufrechtzuerhalten.
  • Die automatisierte Spam-Filterung reduziert die Gefährdung durch diese Bedrohungen und kann unbeabsichtigt dazu führen, dass wir anfälliger für die wenigen bösartigen Nachrichten sind, die durchkommen.
  • Das bedeutet, dass realistisch simulierte Phishing-Kampagnen entscheidend sind, um die Benutzer vor bösartigen Phishing-E-Mails zu schützen.
  • Untersuchungen haben ergeben, dass mindestens vier Kampagnen pro Jahr erforderlich sind, um die Anwenderkenntnisse zu erhalten.

Automatisierte Phishing-Filter sind mittlerweile sehr effektiv beim Herausfiltern von Spam- und Phishing-E-Mails aus den Posteingängen der Benutzer. Allerdings ist kein System zu 100 % effektiv, und gelegentlich schaffen es Phishing-E-Mails doch durch das Netz. Wie reagieren Benutzer also auf diese Phishing-E-Mails, wenn sie seltener werden?

Überraschenderweise deuten Forschungsergebnisse darauf hin, dass seltene Begegnungen mit Phishing-E-Mails zu einem "Prävalenz-Paradoxon" führen können, bei dem Benutzer anfälliger für Phishing-E-Mails werden, wenn sie ihnen seltener begegnen. [1] Menschen benötigen eine ausgewogene Exposition gegenüber Zielreizen, um die Wachsamkeit gegenüber Bedrohungen aufrechtzuerhalten. Dieses Prinzip gilt für Gepäckkontrolleure, Röntgentechniker, Polizeibeamte, Airline-Piloten und sogar für Spinnen, die auf Fliegen warten.

Wir alle müssen gelegentlich Reizen ausgesetzt sein, um wachsam zu bleiben. Eine der effektivsten Möglichkeiten, die Wachsamkeit gegenüber bösartigen E-Mails aufrechtzuerhalten, besteht darin, Benutzern Trainingsversionen von Phishing-E-Mails zu senden. Diese Trainings-E-Mails sind am effektivsten, wenn sie den tatsächlichen Phishing-E-Mails, die den Informationssicherheitsabteilungen gemeldet werden, sehr ähnlich sind.

Wie bei den meisten Dingen ist jedoch ein Gleichgewicht erforderlich. Wenn wir ständig neuen Bedrohungen ausgesetzt sind, werden wir überwältigt und ermüden; wenn wir nur selten Bedrohungen ausgesetzt sind, setzt Selbstgefälligkeit ein und wir werden unvorsichtig. Die optimale Häufigkeit und der Schwierigkeitsgrad dieser Kampagnen wird von Benutzer zu Benutzer unterschiedlich sein, wobei einige häufiger mit Phishing-E-Mails konfrontiert werden müssen und andere nur gelegentlich einen Phish benötigen. Unabhängig von unserer individuellen Wachsamkeitsausrichtung müssen wir alle gelegentlich mit gutartigen Phishing-E-Mails konfrontiert werden, um vor ihnen wachsam zu bleiben. Ein zu geringer Kontakt führt wahrscheinlich zu verminderter Wachsamkeit.

Warum wir den gelegentlichen Phish brauchen

Wie ich in einem früheren Beitrag erörtert habe, verlassen sich Menschen auf Gewohnheitsschleifen, wenn sie die E-Mails in ihren Posteingängen sortieren. Nur wenn etwas in einer E-Mail unsere Aufmerksamkeit erregt - wenn die Formulierung oder irgendein Detail in der Nachricht "daneben" zu sein scheint -, beginnen wir, die Details bewusst zu hinterfragen.

Forschungsergebnisse legen nahe, dass die Cyber-Risikoüberzeugungen, die wir über die Wahrscheinlichkeit des Auftretens einer Phishing-E-Mail haben, unser Misstrauen gegenüber dieser E-Mail in unserem Posteingang beeinflussen. [2] Dies ist ein Grund, warum es Menschen in der Sicherheitsbranche oft schwerfällt, die unsicheren Handlungen von Benutzern zu verstehen; wir haben andere Cyber-Risikoüberzeugungen als Nicht-Sicherheitsfachleute. Menschen verlassen sich auf eine Heuristik (Daumenregel), die als Verfügbarkeitsheuristik bekannt ist, um die Wahrscheinlichkeit von Ereignissen zu beurteilen. [3] Wenn wir persönlich einer Bedrohung begegnen oder eine denkwürdige Geschichte über eine Bedrohung hören, schätzen wir diese Bedrohung als wahrscheinlicher ein. Daher werden Haie als tödlicher eingeschätzt als Automaten, obwohl Automaten in den Vereinigten Staaten fast doppelt so tödlich sind. [4] [5]

Die Begegnung mit realistisch simulierten Phishing-E-Mails schafft Erinnerungen an diese Ereignisse, die dazu führen, dass wir Phishing als wahrscheinlicher einschätzen. Diese Cyber-Risikoüberzeugungen machen uns misstrauischer gegenüber den E-Mails in unserem Posteingang und damit wahrscheinlicher, dass wir eine bösartige Nachricht erkennen.

Aus diesem Grund ist es vorteilhaft, mehr Begegnungen mit realistischen, "entschärften" Trainings-E-Mails zu haben als mit den bösartigen Nachrichten, die uns in der freien Wildbahn wahrscheinlich begegnen werden. Je realistischer die Trainingsnachrichten sind, desto wahrscheinlicher ist es, dass wir die wirklich bösartigen Nachrichten erkennen.

Finden der richtigen Kampagnenfrequenz

Die kritische Frage für Security Awareness-Teams ist, wie man das richtige Gleichgewicht findet, um genügend Schulungskampagnen zu senden, um die Wachsamkeit der Benutzer aufrechtzuerhalten, ohne so viele zu senden, dass die Benutzer eine Sicherheitsmüdigkeit entwickeln und die Schulungskampagnen ablehnen.

Diese optimale Trainingshäufigkeit hängt von den Fähigkeiten des Einzelnen ab. Einige Personen sind von Natur aus aufmerksamer oder sensibler für potenzielle Phishing-Angriffe als andere. Dies sind in der Regel die Mitarbeiter, die jede verdächtige E-Mail melden und nahezu jede Trainings-Phishing-E-Mail erkennen. Diese "Schutzbefohlenen" Ihrer Organisation benötigen in der Regel keine häufigeren Phishing-Übungen und profitieren oft von schwierigeren Versuchen.

Auf der anderen Seite benötigen andere Mitglieder Ihrer Organisation vielleicht zusätzliche Hilfe in Form von häufigeren E-Mails. Diese Benutzer fallen oft in das Lager der "Wiederholungsklicker" [6] und können von einer häufigeren Exposition gegenüber Phishing-Simulationen profitieren.

Obwohl die ideale Lösung darin bestünde, individuell zugeschnittene Phishing-Kampagnen zu erstellen, ist dies für die meisten Security-Awareness-Programme unrealistisch, da es zu viel Zeit und Ressourcen in Anspruch nimmt. Bei der Planung der Kampagnenhäufigkeit in einer Organisation scheint sich die Forschung auf ein Minimum von viermal pro Jahr zu einigen, um die Effektivität und Relevanz der Schulungen zu erhalten. [7]

Was lässt sich daraus schließen?

Das Erkennen potenziell bösartiger E-Mails ist eine Fähigkeit, und wie jede andere Fähigkeit brauchen wir gelegentliches Üben, um die Fertigkeit zu erhalten. Das Versenden von realistischen, simulierten Phishing-Kampagnen ist entscheidend, um die Wachsamkeit gegenüber den gelegentlichen bösartigen Phishing-E-Mails aufrechtzuerhalten, die es schaffen, die Filter zu überwinden. Mindestens vier Kampagnen pro Jahr sind erforderlich, um die Fähigkeiten der Benutzer zu erhalten. Obwohl häufigere Kampagnen ideal sind, sollten Sie darauf achten, dass Sie nicht zu viele Phishing-Kampagnen durchführen und eine Sicherheitsmüdigkeit hervorrufen.

[1] Sawyer, B. D., & Hancock, P. A. (2018). Hacking the human: the prevalence paradox in cybersecurity. Human Factors, 60(5), 597-609.

[2] Vishwanath, A., Harrison, B., & Ng, Y. J. (2018). Suspicion, Cognition, and Automaticity Model of Phishing Susceptibility. Communication Research, 45(8), 1146-1166.

[3] Kahneman, D. (2011). Thinking, fast and slow. Macmillan.

[4] "International Shark Attack File," Florida Museum.

[5] "CPSC, Soda Vending Machine Industry Labeling Campaign Warns Of Deaths And Injuries," CPSC.

[6] Canham, M., Posey, C., Strickland, D., & Constantino, M. (2021). Phishing for Long Tails: Examining Organizational Repeat Clickers and Protective Stewards. SAGE Open, 11(1).

[7] Jampen, D., Gür, G., Sutter, T., & Tellenbach, B. (2020). Don't Click: Auf dem Weg zu einem effektiven Anti-Phishing-Training. Eine vergleichende Literaturübersicht. Human-centric Computing and Information Sciences, 10(1), 1-41.

 

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Für systemische Veränderungen in Ihrer Cybersecurity-Kultur, halten Sie die Dinge interessant...

Mitarbeiter sind eher bereit, sich in eine...

Mitarbeiter sind eher bereit, sich mit Cybersecuri zu beschäftigen und zu handeln... Mehr lesen >

Miranda Nolan

von Miranda Nolan

Sicherheitsschriftsteller

Geschrieben Feb 01, 2021

Das Sicherheitsbewusstsein von Anwendern schärfen - sie nicht bevormunden

Der Versuch, Benutzer zu trainieren, indem sie die...

Der Versuch, Benutzer zu trainieren, indem man sie Beispielen von Phishin... Mehr lesen >

Dr. Matthew Canham

by Dr. Matthew Canham

Mitwirkender Verfasser

Posted Feb 05, 2021

Q&A: Best Practices for Building a Culture of Cybersecurity

With cybercriminals increasingly well or…

With cybercriminals increasingly well organized, companies m… Read More >

Mercedes Cardona

von Mercedes Cardona

Mitwirkender Verfasser

Posted Jan 07, 2021