Noch immer zählen Phishing-Mails zu den beliebtesten Angriffsvektoren für Cyberkriminelle. Das liegt vor allem daran, dass der Aufwand im Vergleich zum potenziellen Erfolg gering ist. Denn beim Phishing handelt es sich in der Regel um Massenangriffe, und die gefälschten Mails landen in den Postfächern der unterschiedlichsten Empfänger. Natürlich sind Opfer in Unternehmen und Behörden für Cyberkriminelle wesentlich lohnender als Privatpersonen, schließlich fallen die drohenden Konsequenzen dort in der Regel ungleich drastischer aus.
Nicht zuletzt, weil gesetzliche Anforderungen, wie die zweite Auflage der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2), explizit verlangen, dass „allen Mitarbeitern regelmäßig entsprechende Schulungen anzubieten“ sind, sollten betroffene Organisationen spätestens jetzt handeln. Denn in der Realität zeigt sich täglich, dass gut geschulte Mitarbeitende trotz Einsatz technischer Schutzmaßnahmen noch immer die entscheidende Sicherheitsbarriere sind, um Cyberangriffe abzuwehren.
Dabei kann es je nach Größe und Diversität des Unternehmens zur Herkulesaufgabe werden, wirklich alle Mitarbeitenden regelmäßig zu schulen. Zudem sollten mögliche Defizite und dadurch erforderlich werdende Maßnahmen immer wieder identifiziert und neu bewertet werden.
Phishing-Tests
Eine effektive Möglichkeit, das aktuelle Sicherheitsniveau zu prüfen, sind Phishing-Tests. Dabei werden Phishing-Mails an die eigene Belegschaft versendet und ausgewertet, wie die Empfänger auf dieses Experiment reagieren. Im Rahmen unserer Phishing-Tests machen wir bei 8com im Auftrag unserer Kunden genau das: Wir verschicken manipulierte E-Mails an alle Mitarbeitenden und messen die Reaktionsraten. Wie viele Empfänger klicken auf einen dubiosen Hyperlink? Wie viele Downloads werden auf gefälschten Webseiten getätigt? Und wie viele Mitarbeiter geben sogar ihre internen Benutzerdaten auf externen Webseiten ein?
Solche Phishing-Tests werden in der Regel in mehreren Wellen durchgeführt, wobei sich die versendeten E-Mails hinsichtlich ihrer Raffinesse unterscheiden. Während die erste Phishing-Mail bereits mit geringem Vorwissen als solche zu erkennen ist, wird den Mitarbeitenden später sukzessive mehr Kenntnis und Sorgfalt abverlangt. Schlussendlich können aber alle E-Mails von aufmerksamen Nutzern als Fälschung erkannt werden.
Durch die Erfassung der Reaktionsraten wird schließlich sichtbar, wie ein Unternehmen in Sachen Security Awareness aufgestellt ist. Wurden im Unternehmen bislang keinerlei Sensibilisierungs- oder Schulungsmaßnahmen durchgeführt, sind die Ergebnisse häufig ein Schock. Genau der kann und sollte dazu genutzt werden, die Mitarbeitenden für Veränderungen zu motivieren. Und so beobachten wir regelmäßig bereits nach der Durchführung weniger Schulungsmaßnahmen erheblich bessere Ergebnisse.
Die 8com Academy: Regelmäßig wiederkehrende Schulungen für alle
Nicht nur weil es gesetzliche Bestimmungen verlangen, sollten Schulungen regelmäßig für alle Mitarbeitenden durchgeführt werden. Neu hinzugekommene Kollegen, der Umstand, dass Erlerntes in Vergessenheit gerät und vor allem die Tatsache, dass auch die Kriminellen ihre Methoden immer weiter verfeinern, machen es erforderlich, Security Awareness als fortwährenden Prozess zu begreifen.
Genau aus diesem Grund setzen Verantwortliche in Unternehmen daher immer häufiger auf webbasierte Lernplattformen. Auch 8com bietet mit der 8com Academy eine solche Schulungsplattform. In einem abwechslungsreichen Medienmix finden Mitarbeitende dort alle Informationen rund um sichere Passwörter, E-Mail-Sicherheit, Social Engineering, Datenschutz & Co. Die Inhalte orientieren sich dabei sowohl an der Arbeitspraxis als auch an der privaten Lebensrealität der Lernenden. Das erhöht die Akzeptanz der Nutzer und steigert die Bereitschaft zum Mitmachen.
Scheinbar trockene Themen wie das Prüfen von Hyperlinks werden hier in lockeren Story-Videos anschaulich zusammen mit Handlungsanweisungen vermittelt. In kleinen Transferaufgaben können die Nutzer ihr neu erworbenes Wissen dann spielerisch unter Beweis stellen. Mit Nutzung der 8com Academy erfüllen Verantwortliche ganz nebenbei auch gesetzlich vorgeschriebene Schulungspflichten.
Vor allem im Vergleich zu Frontalschulungen bietet eine Lernplattform wie die 8com Academy eine besonders effiziente und kostengünstige Möglichkeit, Mitarbeitende in kurzen Lerneinheiten zu schulen, und zwar immer wieder. Mit dem Blended-Learning-Ansatz können Live-Hacking-Vorträge oder themenbezogene Trainings außerdem nahtlos in ein Online-Lernkonzept integriert werden.
Messbare Erfolge feiern
Nur mit einer langfristigen Awareness-Strategie in der Hand lässt sich eine menschliche Firewall etablieren. Dass das tatsächlich funktioniert, zeigen die Ergebnisse zahlreicher 8com-Kunden, die bereits seit mehreren Jahren die 8com Academy nutzen und Phishing-Simulationen mit uns durchführen:
Die Wiederholung von Phishing Tests hat einen entscheidenden Vorteil: Sichtbar wird nicht nur das aktuelle Awareness-Niveau, sondern auch der Erfolg zwischenzeitlich durchgeführter Schulungsmaßnahmen. So zeigt sich bei langjährigen Kunden mit einer abgestimmten Security-Awareness-Strategie über die Jahre eine erhebliche Verbesserung der Ergebnisse. Durch die anonyme Messung etabliert sich zudem eine positive Fehlerkultur, die nicht durch Angst und Finger-Pointing, sondern durch Reflexion und Überwindung der eigenen Schwächen geprägt ist.
Belohnt werden Unternehmen mit einem erheblich geringeren Risiko, zum Phishing-Opfer zu werden.
--
Grafik (c) Caphira Lescante