Das Durchführen einer Phishing Simulation ist mittlerweile ein geeignetes Mittel um das Security Awareness Niveau im Unternehmen festzustellen und den Erfolg von Kampagnen zu messen. Am Ende sollen Unternehmenswerte geschützt und Arbeitsplätze gesichert werden – wenn die Belegschaft das verstanden hat, dann steht einer erfolgreichen Messung nichts im Wege. Doch der Weg dahin kann weit sein.
Ein neues MacBook winkt – doch zahlreiche Zeichen sprachen für eine Phishing Attacke!
GitLab ist mittlerweile ein beachtenswert großes Technologieunternehmen. Dort können Projekte, Unternehmen und Organisationen Quellcode ablegen, austauschen und warten. Grund genug anzunehmen, Mitarbeiter*innen wären ausreichend auf aktuelle Bedrohungen im Internet vorbereitet. Eine aktuelle Untersuchung, und zwar in Form einer Phishing Simulation, zeigt jedoch, dass dem nicht so ist.
Bei einer Stichprobe von 50 Mitarbeitern klickten 17 auf den Link. Versprochen wurde ein neues Macbook. 10 von 17 gaben auf der falschen Website dann ihre Daten ein. Nur sechs Angestellte haben die E-Mails der IT-Abteilung als verdächtig gemeldet. [stern/ Jeder Fünfte tappte in die Falle]
Doch die Mitarbeiter*innen die geklickt und getippt haben müssen keine weiteren Konsequenzen befürchten. Es wurde auf Hinweise und das Handbuch verlinkt. Das ist auch empfehlenswert: Denn die Bestrafung würde sich schnell im Unternehmen herumsprechen, schlechte Stimmung verbreiten und dafür sorgen, das niemand mehr auf Links in E-Mails klickt. Am Ende sorgt das für eingeschränkte Produktivität und nicht für mehr Sicherheit.
Phishing Simulationen können helfen – aber auch schaden!
Die Art, die Intensität und der anschließende Umgang sind entscheidend für den Erfolg einer simulierten Phishing Kampagne. Wer im Unternehmen eine Phishing Simulation durchführen will, der sollte dieses Projekt frühzeitig in Angriff nehmen. Die Zeit zwischen den einzelnen E-Mails sollte ausreichend groß sein. Warum direkt mehrere E-Mail verschickt werden sollten? Dafür gibt es mehrere Gründe:
- Eine E-Mail ist wenig aussagekräftig.
War der Anlass passend oder hat sich tatsächlich jemand verklickt? Der Verdacht eines “false positives” lässt sich kaum entkräften. Die ganze Simulation basiert auf einer E-Mail.
- Der Schwierigkeitsgrad der Erkennung ist wichtig
Wie gut sind Mitarbeiter*innen auf Bedrohungen vorbereitet? Bei einer E-Mail lässt sich das nur schwer sagen. Die Kategorisierung in drei Schwierigkeitsstufen lässt erahnen, auf welchem Cyber Security Awareness Level sich die Belegschaft befindet.
- Ausreichend Zeit für den Versand der E-Mails nehmen
Wer mehrere simulierte Phishing E-Mails versendet, der sollte ausreichend Zeit zwischen den E-Mails lassen. Werden alle innerhalb weniger Wochen versendet, kann es zur Ernüchterung in der Belegschaft führen. Auf Links in E-Mails wird dann nur noch selten geklickt. Gesunkene Produktivität ist die Folge.
Dabei müssen hauseigene Phishing Mails längst nicht das einzige Mittel zur Steigerung der Cyber Security Awareness sein. Auch die Durchführung von Webinaren, Live Hackings, Schulungen oder E-Learnings können Mittel zur Steigerung sein.
Professionelle Phishing Simulation durchführen – Cyber Security Awareness messen und erhöhen!
Wir empfehlen den Versand von drei E-Mails innerhalb von 6 Monaten. Der Schwierigkeitsgrad ist steigend und die Konsequenz eines Klicks sind Informationen zu potenziellen Konsequenzen. Die Durchführung solcher Awareness steigernden Maßnahmen empfiehlt sich als Bestandteil eines IT-Sicherheitskonzeptes.
Wer diese Punkte berücksichtigt und einen Partner für die Erstellung und den Versand der Phishing Mails hat, der kann das Cyber Security Awareness Niveau im Unternehmen erhöhen. Vorbereitete Unternehmen haben Klickraten <5%. Einen hundertprozentigen Schutz gibt es nicht.
