No blame, no gain?
Phishing-Simulationen ohne den erhobenen Zeigefinger
Wie man Phishing-Simulationen mitarbeiterfreundlich und auf Basis von Lernpsychologie umsetzt – und wie sie damit aktiv das Schadensrisiko senken können
Immer mehr Organisationen setzen zur Stärkung ihrer IT-Security auf Phishing-Simulationen. Das ist wenig verwunderlich: Durch ihren realitätsnahen Schulungsansatz minimieren sie zielsicher das Risiko, dass Mitarbeitende einem tatsächlichen Cyber-Angriff zum Opfer zu fallen. Denn die simulierten E-Mails sensibilisieren sie laufend für aktuelle, teils sehr gezielte Angriffsweisen. Die Mitarbeitenden werden vorsichtiger im Umgang mit vermeintlichen Gefahren und die Klickraten sinken nachhaltig – ebenso wie das Schadensrisiko der Organisationen.
Die aktuelle Cyber-Bedrohungslage zielt vor allem auf den Faktor Mensch
Das erweist sich in der aktuellen Situation von ganz besonders großer Bedeutung. Die COVID19-Pandemie hat die Anzahl an Phishing-Angriffen in die Höhe schnellen lassen. Die ENISA berichtet von einem Anstieg um mehr als 600%. Und auch ihre Taktiken haben die Cyber-Kriminellen angepasst: Viele Phishing-Angriffe nutzen die Unsicherheit in der Krise und den ungewohnten Home-Office-Kontext aus.
SoSafe-Geschäftsführer Dr. Niklas Hellemann berichtet: „Immer mehr Cyber-Angriffe zielen auf die Schwachstelle Mensch – Social Engineering wird zum “täglich Brot” für Cyber-Kriminelle. Und gerade in der Krise sind diese Angriffe durch die Kombination aus menschlicher Verunsicherung und ihrem emotionalen Fokus besonders häufig folgenreich. Das konnten wir ganz konkret auch in unserer Auswertung der erfolgreichsten Phishing-Betreffzeilen beobachten. Corona-bezogene Mails landeten von heute auf morgen in den Top 5 – eben, weil das Thema für uns alle hochgradig relevant ist.“
Personenscharfes Tracking auf Kosten von Lernbereitschaft und Datenschutz
Auch in der Cyber-Security-Welt gilt es deshalb, insbesondere die Mitarbeitenden zu sensibilisieren, um Schäden frühzeitig abzuwenden. Nicht zuletzt schreiben auch verschiedene Frameworks wie die ISO-27001 eine proaktive und präventive Schulungsweise, die Mitarbeitende direkt mit Social Engineering konfrontiert, vor. Phishing-Simulationen bieten sich für diese Sensibilisierung also perfekt an. Aber: Sie sollten keinesfalls als reines Test-Tool genutzt werden. Historisch kommt die Maßnahme aus dem Pentesting – mit dem klaren Ziel, menschliche Schwachstellen zu identifizieren und zeitnah zu schließen. So werden bei vielen Anbietern immer noch personenscharfe Analysen über das Verhalten der Mitarbeitenden durchgeführt. “Möchte man Mitarbeitende nachhaltig sensibilisieren, ist dieser Ansatz sehr riskant. Statt einer Verhaltensänderung schafft er Widerstände. Die Mitarbeitenden fühlen sich bloßgestellt und verlieren das Interesse an Prävention.”, sagt Hellemann.
Solche Vorgehensweisen können zudem kritisch hinsichtlich der DSGVO sein. Im Zuge von Phishing-Simulationen werden üblicherweise personenbezogene Daten verarbeitet. „Das ist datenschutzrechtlich unbedenklich, solange das Ganze nur in angemessenem Maße und zum Zwecke erhöhter IT-Sicherheit erfolgt. Invasive Vorgehensweisen wie Social-Media-Crawling und individuelle Kontrollen sind problematisch“, ergänzt Benedikt Woltering, Rechtsanwalt und Legal Advisor bei der SoSafe GmbH.
Ein anderes datenschutzrechtliches Problem ergibt sich aus dem noch jungen Privacy-Shield-Urteil des EuGH. Werden IT-Sicherheitsschulungen etwa von US-Anbietern durchgeführt, begeben sich Organisationen in datenschutzrechtliche Grauzonen. Die Daten können von US-amerikanischen Instanzen eingesehen werden. Deshalb sollten Organisationen auf Anbieter aus der EU setzen. So verhindern sie rechtliche Konflikte – auch mit Mitarbeitenden.
Lernpsychologisch motivierte Simulationen als Schlüssel zum Erfolg
Phishing-Simulationen, die sich als kontinuierliche Lernmaßnahme verstehen, umgehen diese Fallstricke. Als Diplom-Psychologe weiß Hellemann: „Phishing-Simulationen sollten rund um das Vermitteln von Wissen und sicheren Verhaltensweisen entworfen werden. Lernpsychologisch gesehen bieten sie dann echte Vorteile: Durch die wiederholten Stupser im Alltag („Nudges“) werden die Lernenden immer wieder auf das Thema Phishing aufmerksam gemacht, ohne dass sie sich selbst dazu motivieren müssen. Die Lerneffekte bleiben so auch langfristig stabil.“
Die Phishing-Mails sollten dafür etwa an die Empfängerinnen und Empfänger angepasst werden. Denn auf diese Art und Weise greifen auch Cyber-Kriminelle ihre Opfer an. Wichtig ist zudem, den Mitarbeitenden einerseits klar mit auf den Weg zu geben, wie sie mit potenziellen Gefahrenquellen umgehen sollten. Das lässt sich etwa über spezifische Meldebuttons in Mail-Programmen einfach und effizient lösen. Andererseits sollten die simulierten Angriffe von ergänzenden Lerninhalten begleitet werden, die anschaulich darstellen, woran man die Attacke hätte erkennen können – und das ohne den erhobenen Zeigefinger. So können die Klickraten bereits in den ersten Monaten um bis zu zwei Drittel reduziert werden – mit einem nachhaltigen Abwärtstrend, wie Auswertungen aus der SoSafe Awareness-Plattform ergeben.
Mit Phishing-Simulationen die „menschliche Firewall“ aktivieren
Organisationen profitieren letztlich klar von realitätsnahen Schulungen wie Phishing-Simulationen, wenn sie dabei den Fokus auf den Lernerfolg der Mitarbeitenden legen. Sie unterstützen dabei, IT-Infrastrukturen um die wichtige „menschliche Firewall“ zu ergänzen und zielgerichtete Angriffe nachhaltig abzuwehren. Mitarbeitende werden vom vermeintlichen Risikofaktor zum Sicherheitsfaktor. Denn die simulierten Angriffe schulen die Empfängerinnen und Empfänger da, wo es zu Vorfällen kommt und zeigen ihnen eindrücklich, warum sie sich frühzeitig schützen sollten. Ähnlich wie in der Coronakrise gilt bei Phishing-Simulationen das Motto: Prävention ist besser als Schadensbehebung und Vorsicht besser als Nachsicht. Sie bieten durch ihren kontinuierlichen Ansatz einen dauerhaft erhöhten Schutz – zumindest vor digitalen Viren.
Wenn Sie sich für eine Phishing-Simulation in Ihrer Organisation interessieren, erfahren Sie alles Wichtige im White Paper Best Practices Phishing-Simulationen – Dos and Don’ts für nachhaltiges Awareness-Building . Sie erhalten wertvolle Tipps zur Planung und Durchführung der Maßnahme sowie Einblicke in die Erfolge bei anderen Organisationen.
