Phishing-Simulation – Ein fester Bestandteil für erfolgreiche Mitarbeitersensibilisierung?

Donnerstag, 20.7.2023

Phishing-zur-Mitarbeitersensibilisierung

Die Moderne der kontinuierlich wachsenden digitalen Welt verschafft Unternehmen und dessen Mitarbeiter:innen nicht nur viele Vorteile, sondern birgt auch einige Risiken. Gerade E-Mail-Konten stellen heutzutage einen großen Angriffsvektor für IT-Sicherheitsvorfälle dar. Dabei haben Sie wahrscheinlich selbst schon einmal eine Phishing-Mail mit einem schadhaften Anhang oder tückischem Link erhalten, obwohl Ihr Spamfilter doch eigentlich sicher konfiguriert wurde. 


Weil individualisierte Phishing-Mails eine der einfachsten, gefährlichsten und gleichzeitig erfolreichsten Angriffsmethoden sind, sollten Sie neben den erforderlichen technischen Maßnahmen, den Fokus auch auf personenbezogene Maßnahmen legen. Denn nicht zuletzt stellt der Mensch selbst eines der größten Einfallstore dar. Um dem entgegenzuwirken, ist es von großer Bedeutung, alle Mitarbeiter:innen eines Unternehmens bezüglich der Informationssicherheit zu sensibilisieren.

Untersuchung: Wie kann ich Mitarbeitende effektiv sensibilisieren?


Um dies herauszufinden, hat die viadee innerhalb einer Studie untersucht, wie sich Phishing-Simulationen und gezielte Sicherheitstrainings auf die Sensibilisierung von Mitarbeiter:innen auswirken. Als Startschuss der Forschungsstudie wurden die ausgewählten Probanden zufällig in drei verschiedene Gruppen eingeteilt. Diese erhielten alle eine individualisierte Phishing-Mail. Der Kernpunkt lag dabei auf der Individualisierung der E-Mail. Das heißt, dass diese auf den Kontext des Unternehmens angepasst wurde, um die Glaubwürdigkeit der E-Mail zu erhöhen und somit den Ernstfall für alle Mitarbeitende bestmöglich darzustellen. Nach dem Versand der Phishing-Mail wurde getrackt, wie viele Personen auf den inkludierten Link in der gefälschten E-Mail geklickt haben. Dieser führte auf eine gefälschte Webseite. Doch das war nicht alles, denn die gefälschte Webseite bildete eine individualisierte Anmeldemaske ab. Auch in diesem Schritt wurde nachgehalten, wie viele Testpersonen ihre Zugangsdaten eingaben. Bei der anschließenden Auswertung wurde den Probanden dann ein Härte-Score zugeordnet. Dabei war es ausschlaggebend, ob die Teilnehmer:innen keine Reaktion auf die Phishing-Mail zeigten, den enthaltenen Link anklickten oder ihre Zugangsdaten eingaben.

Textbasiertes_Training_Pre

Videobasiert_Pretest

Kontrollgruppe_Pretest

Das Phishing-Simulationen ein häufig verwendetes Mittel zur Sensibilisierung von Mitarbeiter:innen ist,  war Ihnen wahrscheinlich bereits bekannt. Doch wie verhalten sich die Mitarbeiter:innen, wenn ein gezieltes Phishing-Simulations-Training ins Spielt kommt? Dies galt es im nächsten Schritt zu untersuchen. Dabei war die Einteilung in drei Gruppen von hoher Relevanz. Ein Drittel der Studie diente als Kontrollgruppe. Die restlichen zwei Drittel erhielten verschiedene Informationssicherheitstrainings mit einem abschließenden Phishing-Simulationsquiz. Die eine Trainingsversion basierte dabei primär auf textlicher Wissensvermittlung. Während die andere Variante die visuelle Komponente in Form eines Videos beinhaltete. Das anschließende Simulationsquiz umfasste 15 verschiedene E-Mails, wobei die Testpersonen entscheiden mussten, ob es sich bei den jeweiligen Szenarien um eine legitime oder Phishing-Mail handelt. 

Beispiel-Phishingmail

Eine Woche später wurde erneut eine individualisierte Phishing-Mail verschickt, welcher ein ähnliches Schwierigkeitsniveau wie der vorherigen E-Mail zugrunde lag. Dabei wurde bei der Auswertung ebenfalls jeder Testperson ein abschließender Härte-Score angerechnet. 
Textbasiert_Posttest

Videobasiert_Posttest

Kontrollgruppe_Posttest

Beim Betrachten der Ergebnisse fiel schnell auf, dass alle Gruppen bei der zweiten Phishing-Mail besser abschnitten. Demzufolge also ein klarer Erfolg durch die Phishing-Simulation ersichtlich war. Allerdings zeigten die Ergebnisse im Vergleich, dass die Testpersonen mit einem Sicherheitstraining nochmals deutlich bessere Erfolge erzielten als die Teilnehmer:innen ohne Training. Die Trainingsformen (visuell vs. textbasiert) verhielten sich bezüglich der Ergebnisse jedoch ähnlich.

 

Fazit:

Phishing-Simulationen & Sicherheitstraining wirken

Die Ergebnisse dieser Forschungsstudie zeigen deutlich, dass Phishing-Simulationen und vor allem die Durchführung von weiteren Sicherheitstrainings eine wirksame Methode für eine erfolgreiche Mitarbeitersensibilisierung sind und damit das Risiko, auf einen Phishing-Angriff hereinzufallen, minimieren. Zudem sind wir uns sicher, dass die Individualisierbarkeit von Phishing-Mails ebenfalls von großer Bedeutung für die Verbesserung des Sicherheitsniveaus der Mitarbeiter:innen ist.

Gleichzeitig gilt, dass Angreifer oft nur einen einzigen oder wenige Zugänge zum Unternehmen brauchen, um sich weiter auszubreiten. Teil einer Mitarbeitersensibilisierung ist dabei nicht nur das Wissen über gefälschte E-Mails, versteckte Links und kopierte Webseiten. Auch die richtige Reaktion, wenn man versehentlich doch den Link angeklickt und/oder Daten eingegeben hat, ist von großer Bedeutung. Zu guter Letzt bedarf es bei einer erfolgreichen Sensibilisierung dann also auch noch einem Notfallplan.

Wir empfehlen deshalb jedem Unternehmen, die eigenen Mitarbeiter:innen zu schulen und das Wissen sowie den Umgang mit E-Mails durch gezielte Phishing-Simulationen und Trainings zu stärken sowie die Reaktionen im Ernstfall zu erproben.

 

 

Sensibilisieren Sie Ihre Mitarbeitenden

Haben wir Ihr Interesse geweckt? Wir stehen Ihnen jederzeit als qualifizierter Ansprechpartner zur Seite. Wir greifen dabei auf unsere Erfahrungen aus diversen IT-Sicherheitsprojekten für unsere Kund:innen zurück. Unsere Unterstützung geht von der Idee bis zur individuellen Umsetzung bis zur Auswertung einer individualisierten Mitarbeitersensibilisierungskampagne. Wir bieten auch Zertifikate, die in immer mehr Fällen von Cyber-Versicherungen akzeptiert werden.

Weitere Infos erhalten sie auf unserer Angebotsseite zu Individuellen Spear-Phishing Simulationen & Mitarbeitersensibilisierung.

 


zurück zur Blogübersicht

Diese Beiträge könnten Sie ebenfalls interessieren

Keinen Beitrag verpassen – viadee Blog abonnieren

Jetzt Blog abonnieren!

Kommentare

Anne Helmhold

Anne Helmhold

Anne Helmhold ist Beraterin bei der viadee Unternehmensberatung AG. Dort ist sie sowohl im Bereich IT-Security mit dem Schwerpunkt Security Awareness als auch im Bereich der Business Analyse tätig.