Nutzung der NIST-Phish-Skala zur Optimierung der Mitarbeiterschulung

Die Durchführung wirksamer Phishing-Schulungskampagnen kann eine Herausforderung sein. Einerseits möchte man, dass die Schulungen effektiv und realistisch sind, andererseits möchte man die Benutzer nicht überfordern. Glücklicherweise hat das National Institute of Standards and Technology (NIST) die Phish Scale entwickelt, ein kostenloses, effektives und benutzerfreundliches Tool, mit dem Sie den Schwierigkeitsgrad simulierter Phishing-Kampagnen bewerten können.[i] Die Verwendung dieses Tools als Leitfaden kann Ihnen nicht nur bei der Optimierung der Schulungen helfen, sondern auch spezifische Einblicke in die Stärken und Schwächen der Benutzer liefern, sodass Sie sich auf die wichtigsten Leistungskennzahlen konzentrieren können.

Der Bedarf an besseren Metriken

In einer Mimecast-Umfrage gaben 55 % der Sicherheitsexperten an, dass ihr Unternehmen im vergangenen Jahr mehr Phishing-E-Mails als je zuvor erhalten hat. Die bösartigen Links und Anhänge in diesen E-Mails können zu Ransomware, Datendiebstahl und anderen Straftaten führen. Dennoch stehen die Sicherheitsabteilungen ständig unter dem Druck, ihre Budgets für die Abwehr dieser E-Mails zu rechtfertigen.

Leitende Angestellte wollen wissen, dass die eingesetzten Mittel eine gute Rendite abwerfen. Diese Forderung äußert sich oft als Druck, reduzierte Klickraten bei simulierten Phishing-Kampagnen nachzuweisen. Doch obwohl die Klickraten üblicherweise als Leistungsindikator (KPI) verwendet werden, gibt es noch andere Kennzahlen, die berücksichtigt werden müssen.

Ein sicherer Weg, die Klickraten zu senken, ist beispielsweise das wiederholte Versenden derselben simulierten Phishing-E-Mail. Natürlich ist dies kein effektives Training, denn der Rückgang der Klickraten zeigt lediglich, dass die Benutzer besser darin geworden sind, eine bekannte Phishing-Nachricht zu erkennen und zu vermeiden.

Die NIST-Phish-Skala bietet mehrere KPIs, die Sicherheitsteams der Geschäftsleitung als Nachweis für Schulungserfolge vorlegen können. Die Skala verwendet zwei Dimensionen, um zu bestimmen, wie schwierig es für einen Mitarbeiter sein könnte, eine simulierte Nachricht zu identifizieren:

• Beobachtbare Hinweise: Wie viele Tippfehler, falsche Bezeichnungen oder andere falsche Hinweise in der simulierten E-Mail könnten einen Mitarbeiter darauf hinweisen, dass sie gefälscht ist?
• Ausrichtung: Wie gut ist die Betrugsbotschaft auf den Kontext der Mitarbeiter abgestimmt, um sie durch Nachahmung gängiger Arbeitsabläufe oder aktueller Unternehmensereignisse zu täuschen?

Die Werte für diese beiden Dimensionen werden kombiniert, um einen übergreifenden Schwierigkeitsgrad für E-Mails zu erhalten.[ii] Um die Umsetzung dieser Skala zu unterstützen, hat das NIST mehrere Ressourcen bereitgestellt, die in einem Leitfaden mit dem Titel "A Phish Scale: Rating Human Phishing Message Detection Difficulty". [iii]

Die Anwendung der Phish-Skala

Die Dimension "Beobachtbare Hinweise" der Phish-Skala umfasst fünf Kategorien:

• Fehler.
• Technischer Indikator.
• Visueller Präsentationsindikator.
• Sprache und Inhalt.
• Gemeinsame Taktik.

Beispiele in diesen Kategorien sind Rechtschreib- und Grammatikfehler, eine uneinheitliche E-Mail-Adresse, die Nachahmung eines Logos, eine drohende Sprache und ein zeitlich begrenztes Angebot.

Die Dimension "Ausrichtung" umfasst fünf Überlegungen zur Botschaft:

• Nachahmung eines Prozesses am Arbeitsplatz.
• Relevanz für den Arbeitsplatz.
• Zeitliche Abstimmung mit anderen Situationen oder Ereignissen (z. B. einer Nachricht).
• Die Sorge um das NICHT-Klicken wecken.
• Gegenstand einer gezielten Schulung oder besonderer Warnungen gewesen sind.

Jeder dieser Aspekte wird als "extrem" (8 Punkte), "signifikant" (6 Punkte), "moderat" (4 Punkte), "gering" (2 Punkte) oder "nicht zutreffend" (0 Punkte) bewertet.

Um den Schwierigkeitsgrad zu ermitteln, zählen Sie zunächst jeden beobachtbaren Hinweis (z. B. jeden einzelnen Rechtschreib- oder Grammatikfehler). Sobald Sie die Gesamtzahl haben, bestimmen Sie, ob Sie "wenige Hinweise" (1 bis 8), "einige Hinweise" (9 bis 14) oder "viele Hinweise" (15 oder mehr) haben. Als Nächstes vergeben Sie eine entsprechende Anzahl von Punkten für jeden der Ausrichtungsaspekte und ermitteln anhand dieser Gesamtzahl, zu welcher Ausrichtungskategorie die Nachricht gehört: "hoch" (18 oder mehr), "mittel" (11 bis 17) oder "niedrig" (10 oder weniger). Bestimmen Sie schließlich den Schwierigkeitsgrad der Phishing-E-Mail anhand der nachstehenden Tabelle 1.

Ein Beispiel durcharbeiten

Anhand des Phish-Beispiels in Abbildung 1 unten können wir zehn beobachtbare Anhaltspunkte zählen und dann die folgenden Punkte für die Ausrichtung vergeben: "ahmt einen Prozess am Arbeitsplatz nach" (8 Punkte), "Relevanz für den Arbeitsplatz" (8 Punkte), "passt zu Situationen oder Ereignissen" (4 Punkte), "Sorge um NICHT-Klick" (2 Punkte) und "Gegenstand einer gezielten Schulung" (0 Punkte), insgesamt also 22 Punkte für die Ausrichtung.

Wir haben nun eine Bewertung von "einigen" beobachtbaren Hinweisen und eine "hohe" Ausrichtung. Aus der obigen Tabelle 1 geht hervor, dass diese Kampagne mit "sehr schwierig" bewertet würde.

Berichterstattung an das Senior Management

Mit zwei Kennzahlen, der Schwierigkeit und der Fehlerquote, können Sie den Wert von Verbesserungen durch Ihre Mitarbeiter nachweisen, selbst wenn die Klickraten stabil bleiben.

Die Dokumentation der Verbesserung der Mitarbeiter beim Erkennen schwieriger E-Mails zusammen mit anhaltenden Klickraten ist immer noch ein Beweis für eine verbesserte Leistung, da die Benutzer bei schwierigeren E-Mails gleich gut abschneiden. Wenn die Klickraten im Laufe der Zeit sinken, haben Sie auch einen Beweis dafür, dass dies eine bedeutende Leistungsverbesserung darstellt.

Bessere Trainingsergebnisse

Die Verwendung der NIST-Phish-Skala bietet Ihnen den zusätzlichen Vorteil, dass Sie Ihre Phishing-Kampagnen feiner abstimmen können, indem Sie die Anzahl der beobachtbaren Anhaltspunkte unabhängig vom Ausrichtungskontext berücksichtigen. Wenn Sie den Schwierigkeitsgrad der E-Mails genau im Blick haben, können Sie die Kampagnen auf Ihre Fähigkeiten abstimmen. Erhöhen Sie den Schwierigkeitsgrad der Kampagnen, um Ihre Cyber Resilience Stewards herauszufordern, oder verringern Sie den Schwierigkeitsgrad für Ihre Wiederholungsklicker, um ein produktiveres Schulungserlebnis für alle Benutzer zu schaffen, unabhängig von ihrem Leistungsniveau.

Die Überwachung der Dimension "Ausrichtung" der Phish-Skala kann Ihnen auch Aufschluss darüber geben, welche Stellen oder Abteilungen am anfälligsten für verschiedene Phishing-Vorwände sind, so dass Sie die Schulungen für diese Benutzer entsprechend anpassen können.

Die NIST Phish Scale wurde Ende 2020 als kostenloses Tool eingeführt. Sie können auch E-Mail-Sicherheits-, Schulungs-, Berichterstattungs- und Testplattformen, Tools und Dienste mit unterschiedlichem Grad an Komplexität und Integration kaufen.[1] Mit dem Safe Phish-Tool von Mimecast können Sicherheitsteams beispielsweise reale, "entschärfte" Phishing-Angriffe auf Ihr Unternehmen in Schulungsübungen verwandeln.

Die Quintessenz

E-Mail-Phishing stellt ein ständiges Risiko für Unternehmen dar, deren Mitarbeiter häufig mit Nachrichten mit bösartigen Links, infizierten Anhängen und anderen Exploits angegriffen werden, die zu Ransomware, Datendiebstahl und anderen Straftaten führen können. Die Phish Scale des NIST kann Unternehmen dabei helfen, ihre Mitarbeiter zu schulen, um diese Fallen zu vermeiden.

[1] "Security Awareness Computer-Based Training Reviews and Ratings," Gartner

[i] "Die Phish-Skala: NIST-Developed Method Helps IT Staff See Why Users Click on Fraudulent Emails," National Institute of Standards and Technology

[ii] "Categorizing Human Phishing Difficulty: Eine Phish-Skala," Journal of Cybersecurity

[iii] "A Phish Scale: Rating Human Phishing Message Detection Difficulty," National Institute of Standards and Technology