Das Sicherheitsparadoxon: Wie Phishing-Filter Ihr Unternehmen unsicherer machen können

Automatisierte Phishing-Filter haben sich als äußerst wirksam erwiesen, um Spam- und Phishing-E-Mails aus den Posteingängen der Benutzer herauszufiltern. Allerdings ist kein System zu 100 % wirksam, und gelegentlich gelangen Phishing-E-Mails doch durch das Netz. Wie reagieren die Nutzer also auf diese Phishing-E-Mails, wenn sie seltener werden?

Überraschenderweise deuten Forschungsergebnisse darauf hin, dass seltene Begegnungen mit Phishing-E-Mails zu einem "Prävalenz-Paradoxon" führen können, bei dem Nutzer anfälliger für Phishing-E-Mails werden, wenn sie ihnen seltener begegnen. [1] Der Mensch benötigt eine ausgewogene Exposition gegenüber Zielreizen, um die Wachsamkeit gegenüber Bedrohungen aufrechtzuerhalten. Dieses Prinzip gilt für Gepäckkontrolleure, Röntgentechniker, Polizeibeamte, Piloten von Fluggesellschaften und sogar für Spinnen, die auf Fliegen warten.

Wir alle müssen gelegentlich Reizen ausgesetzt sein, um wachsam zu bleiben. Eine der wirksamsten Methoden, um die Wachsamkeit gegenüber bösartigen E-Mails aufrechtzuerhalten, besteht darin, den Benutzern Übungsversionen von Phishing-E-Mails zu schicken. Diese Trainings-E-Mails sind am effektivsten, wenn sie den tatsächlichen Phishing-E-Mails, die den Informationssicherheitsabteilungen gemeldet werden, sehr ähnlich sind.

Wie bei den meisten Dingen ist jedoch ein Gleichgewicht erforderlich. Wenn wir ständig neuen Bedrohungen ausgesetzt sind, werden wir überwältigt und ermüden; wenn wir nur selten Bedrohungen ausgesetzt sind, werden wir selbstzufrieden und lassen unsere Wachsamkeit sinken. Die optimale Häufigkeit und der Schwierigkeitsgrad dieser Kampagnen sind von Benutzer zu Benutzer unterschiedlich: Manche müssen häufiger mit Phishing-E-Mails konfrontiert werden, andere brauchen nur gelegentlich einen Phish. Unabhängig von unserer individuellen Wachsamkeitsorientierung müssen wir alle gelegentlich mit gutartigen Phishing-E-Mails konfrontiert werden, um wachsam zu bleiben. Ein zu geringer Kontakt mit Phishing-E-Mails führt wahrscheinlich zu verminderter Wachsamkeit.

Warum wir den gelegentlichen Phish brauchen

Wie ich in einem früheren Beitrag erörtert habe, verlassen sich die Menschen beim Sortieren der E-Mails in ihren Posteingängen auf Gewohnheitsschleifen. Nur wenn etwas in einer E-Mail unsere Aufmerksamkeit erregt - wenn der Wortlaut oder ein Detail in der Nachricht "unpassend" erscheint -, beginnen wir, die Details bewusst zu prüfen.

Forschungsergebnisse deuten darauf hin, dass die Überzeugungen über die Wahrscheinlichkeit, eine Phishing-E-Mail zu erhalten, unser Misstrauen gegenüber dieser E-Mail in unserem Posteingang beeinflussen. [2] Dies ist einer der Gründe, warum es Menschen in der Sicherheitsbranche oft schwer fällt, die unsicheren Handlungen von Benutzern zu verstehen; wir haben andere Cyber-Risikoüberzeugungen als Nicht-Sicherheitsfachleute. Menschen verlassen sich auf eine Heuristik (Daumenregel), die als Verfügbarkeitsheuristik bekannt ist, um die Wahrscheinlichkeit von Ereignissen zu beurteilen. [3] Wenn wir persönlich einer Bedrohung begegnen oder eine denkwürdige Geschichte über eine Bedrohung hören, halten wir diese Bedrohung für wahrscheinlicher. Das ist der Grund, warum Haie als tödlicher angesehen werden als Automaten, obwohl Automaten in den Vereinigten Staaten fast doppelt so tödlich sind. [4] [5]

Die Begegnung mit realistisch simulierten Phishing-E-Mails weckt Erinnerungen an diese Ereignisse, die dazu führen, dass wir Phishing für wahrscheinlicher halten. Diese Überzeugungen über Cyberrisiken machen uns misstrauischer gegenüber den E-Mails in unserem Posteingang und erhöhen somit die Wahrscheinlichkeit, dass wir eine bösartige Nachricht erkennen.

Aus diesem Grund ist es von Vorteil, wenn wir mehr Begegnungen mit realistischen, "entschärften" Trainings-E-Mails haben als mit den bösartigen Nachrichten, die uns in freier Wildbahn begegnen werden. Je realistischer die Trainingsnachrichten sind, desto wahrscheinlicher ist es, dass wir die wirklich bösartigen Nachrichten erkennen.

Die richtige Kampagnenfrequenz finden

Die entscheidende Frage für Security-Awareness-Teams ist, wie man das richtige Gleichgewicht findet, um genügend Schulungskampagnen zu versenden, damit die Wachsamkeit der Benutzer aufrechterhalten wird, ohne so viele zu versenden, dass die Benutzer eine Sicherheitsmüdigkeit entwickeln und die Schulungskampagnen ablehnen.

Die optimale Trainingshäufigkeit hängt von den Fähigkeiten des Einzelnen ab. Einige Personen sind von Natur aus aufmerksamer oder sensibler für potenzielle Phishing-Angriffe als andere. Dies sind in der Regel die Mitarbeiter, die jede verdächtige E-Mail melden und fast jede Schulungs-Phishing-E-Mail erkennen. Diese "Schutzbefohlenen" Ihrer Organisation benötigen in der Regel keine häufigeren Phishing-Übungen und profitieren oft von schwierigeren Versuchen.

Andererseits benötigen andere Mitglieder Ihrer Organisation möglicherweise zusätzliche Hilfe in Form von häufigeren E-Mails. Diese Benutzer gehören oft zu den "Wiederholungsklickern" [6] und können von einer häufigeren Exposition gegenüber Phishing-Simulationen profitieren.

Obwohl die ideale Lösung darin bestünde, individuell zugeschnittene Phishing-Kampagnen zu erstellen, ist dies für die meisten Programme zur Förderung des Sicherheitsbewusstseins unrealistisch, da es zu viel Zeit und Ressourcen in Anspruch nimmt. Bei der Planung der Kampagnenhäufigkeit in einem Unternehmen scheint sich die Forschung auf ein Minimum von viermal pro Jahr zu einigen, um die Wirksamkeit und Relevanz der Schulungen zu erhalten. [7]

Die Quintessenz

Das Erkennen potenziell bösartiger E-Mails ist eine Fähigkeit, und wie jede andere Fähigkeit brauchen wir gelegentliches Üben, um die Fertigkeit zu erhalten. Das Versenden von realistischen, simulierten Phishing-Kampagnen ist wichtig, um die Wachsamkeit gegenüber den gelegentlichen bösartigen Phishing-E-Mails aufrechtzuerhalten, die es schaffen, die Filter zu überwinden. Mindestens vier Kampagnen pro Jahr sind erforderlich, um die Fähigkeiten der Benutzer zu erhalten. Auch wenn häufigere Kampagnen ideal sind, sollten Sie darauf achten, dass Sie nicht zu viele Phishing-Kampagnen durchführen und eine Sicherheitsmüdigkeit hervorrufen.

[1] Sawyer, B. D., & Hancock, P. A. (2018). Hacking the human: the prevalence paradox in cybersecurity. Human Factors, 60(5), 597-609.

[2] Vishwanath, A., Harrison, B., & Ng, Y. J. (2018). Suspicion, Cognition, and Automaticity Model of Phishing Susceptibility. Communication Research, 45(8), 1146-1166.

[3] Kahneman, D. (2011). Thinking, fast and slow. Macmillan.

[4] " International Shark Attack File ," Florida Museum.

[5] " CPSC, Soda Vending Machine Industry Labeling Campaign Warns Of Deaths And Injuries," CPSC.

[6] Canham, M., Posey, C., Strickland, D., & Constantino, M. (2021). Phishing for Long Tails: Examining Organizational Repeat Clickers and Protective Stewards. SAGE Open, 11(1).

[7] Jampen, D., Gür, G., Sutter, T., & Tellenbach, B. (2020). Don't Click: Auf dem Weg zu einem effektiven Anti-Phishing-Training. A comparative literature review. Human-centric Computing and Information Sciences, 10(1), 1-41.