Phishing-Simulation im Unternehmen

Allgemein

Sie haben gerade Ihre jährliche Schulung zum Thema Cybersicherheit absolviert, und Ihre Mitarbeiter wissen jetzt, mit welchen Bedrohungen sie konfrontiert sind. Sie haben die jüngsten Phishing-Beispiele gesehen und haben die Phishing-Versuche im Phishing-Test richtig erkannt. Aber sind Sie sicher, dass sie auch in einem realen Szenario in der Lage wären, diese zu erkennen?

Ein effektives Phishing-Sensibilisierungstraining ist zwar das absolute Minimum, um Ihre Benutzer bei der Erkennung von Phishing-Versuchen zu unterstützen, aber wie können Sie sicher sein, dass das Training zumindest bis zur nächsten jährlichen Schulung beibehalten wird?

An dieser Stelle kann ein Phishing-Test oder eine Phishing-Simulation hilfreich sein. Ein Phishing-Test hilft Ihnen, die Fähigkeit Ihrer Mitarbeiter zu ermitteln, Phishing-Bedrohungen das ganze Jahr über zu erkennen.

Durch Cyber-Sicherheitsschulungen lernen Ihre Mitarbeiter, wie sie Phishing-Bedrohungen erkennen und damit umgehen können. Eine simulierte Phishing-Schulung hilft den Mitarbeitern, das Gelernte zu üben, und ermöglicht es Ihnen, die Mitarbeiter auf Phishing-Versuche vorzubereiten – ohne die tatsächlichen Risiken eines echten Phishing-Angriffs.

Was ist vor einem Phishing-Test zu tun?

Um sicherzustellen, dass Sie das Beste aus Ihrem Phishing-Test herausholen, sollten Sie vor der Durchführung der Übung die folgenden drei Dinge tun.

Mitarbeiter schulen und informieren

Wenn nicht alle Ihre Mitarbeiter ein natürliches Talent haben, ausgeklügelte Betrügereien zu erkennen (was unwahrscheinlich ist), müssen Sie Ihre Mitarbeiter vor dem Test darin schulen, wie sie Phishing-Angriffe erkennen und damit umgehen können. Wie bei jeder Prüfung ist es notwendig, den Kopf mit Theorie zu füllen, um mit Bravour zu bestehen.

Ohne eine umfassende Cybersicherheitsschulung werden Sie nicht in der Lage sein, das volle Potenzial eines Phishing-Tests zu nutzen. Das Einzige, was Sie daraus lernen können, ist, wie anfällig Ihre Endbenutzer für Phishing-Angriffe sind.

Die Durchführung von Phishing-Tests nach der Schulung und Benachrichtigung trägt jedoch dazu bei, dass die Mitarbeiter jedes Mal, wenn sie ihren Posteingang öffnen, wachsam sind. Sie wissen dann, dass sie auf eine Phishing-E-Mail achten müssen, anstatt sich gedankenlos mit ihrer Posteingangsroutine zu beschäftigen.

Darüber hinaus erhalten Sie wertvolle Erkenntnisse darüber, wie anfällig Ihr Unternehmen für Phishing ist, wer besonders gefährdet ist, wie effektiv Ihre Schulungen sind und ob Sie Ihr Schulungsprogramm für Cybersicherheit ändern müssen.

Anhand einer Basiskennzahl können Ihre Sicherheitsteams den Führungskräften die Rentabilität ihrer Investitionen aufzeigen und künftige Schulungsbemühungen ausrichten.

Relevante Abteilungen oder Führungskräfte einbeziehen

Bevor Sie Ihre Mitarbeiter benachrichtigen, sollten Sie sicherstellen, dass auch Ihre Führungskräfte über die Durchführung einer Simulation informiert sind. Halten Sie die Führungskräfte auf dem Laufenden, um unnötige Panik zu vermeiden und die Arbeitsmoral zu erhalten.

Erläutern Sie darüber hinaus den Managern und den beteiligten Mitarbeitern die Ziele des Phishing-Tests und die Auswirkungen auf die allgemeine Cybersicherheitslage des Unternehmens, damit sie eher zur Teilnahme bereit sind.

Transparenz in Bezug auf den Test bedeutet jedoch nicht zwangsläufig, dass Sie das Testmaterial weitergeben müssen. Es reicht aus, die Benutzer und Führungskräfte darüber zu informieren, dass ein regelmäßiger Phishing-Test durchgeführt wird, und sie werden noch vorsichtiger sein, wenn sie ihren Posteingang durchsuchen.

Erstellen Sie einen Phishing-Alias

Bevor Sie einen Phishing-Test durchführen, sollten Sie dafür sorgen, dass Ihre Mitarbeiter einen Ort haben, an den sie die falschen Nachrichten melden können. Dazu können Sie einfach eine E-Mail-Adresse speziell für die Meldung von Phishing-Nachrichten einrichten, z. B. phishing@firma.de.

Einige sichere E-Mail-Gateways bieten sogar eine in den Posteingang eingebettete Schaltfläche „Phishing melden“, damit Ihre Mitarbeiter die E-Mails mit einem Klick weiterleiten können. 

Erst wenn Sie eine Stelle haben, an die Sie verdächtige E-Mails melden können, und wenn Sie sicherstellen, dass Ihre Mitarbeiter wissen, wie sie diese melden können, können Sie eine Ausgangsgrundlage erstellen. So erhalten Sie einen genauen Bericht über die Fähigkeit Ihrer Benutzer, Phishing-E-Mails zu erkennen und dagegen vorzugehen.

Planung einer Phishing-Simulation

Nachdem Sie nun die Zustimmung der Beteiligten eingeholt und diese informiert haben, ist es an der Zeit, den Test zu planen. Im Folgenden finden Sie drei Punkte, die Sie beachten sollten, wenn Sie ein Phishing-Simulationsprogramm auf eigene Faust entwickeln.

Zeitplan

Machen Sie Ihre Simulationen nicht zu einer einmaligen Bewertung, sondern zu einer Kampagne. Machen Sie daraus eine regelmäßige Bewertung, die Sie nach einem festen Zeitplan, z. B. monatlich oder vierteljährlich, durchführen, um die benötigten Daten zu erhalten.

Ziehen Sie außerdem in Erwägung, den Schwierigkeitsgrad Ihrer Tests zu erhöhen, wenn Ihre Mitarbeiter besser darin werden, Phishing-E-Mails zu erkennen. Während Sie die Daten sammeln, können Sie sogar verschiedene Stufen, Methoden oder Blickwinkel ausprobieren, um festzustellen, ob Ihre Mitarbeiter besonders anfällig für eine bestimmte Phishing-Technik sind.

Verwenden Sie verschiedene Phishing-Vorlagen

Wenn Sie Ihre Mitarbeiter verschiedenen Arten von Phishing-Angriffen aussetzen, lernen sie mehr Vorlagen kennen. Wenn sie sich zu sehr an eine Vorlage gewöhnen, werden sie besser darin, eine bestimmte Art von Phishing-Angriffen zu erkennen. Auf andere Arten von Cyberangriffen sind sie dann aber nicht mehr so gut vorbereitet, obwohl Cyberkriminelle ständig neue Vorlagen und Methoden entwickeln.

Zu den gängigen Phishing-Szenarien gehören Nachrichten von Kreditkartenanbietern, dem Finanzamt, ein regelmäßiger Newsletter mit bösartigen Links oder sogar eine regelmäßige Benachrichtigung von einem Dienst, den der Benutzer abonniert hat.

Abgesehen von den verschiedenen Vorlagen sollten Sie auch überlegen, wie Sie die Widerstandsfähigkeit Ihrer Benutzer gegenüber bestimmten Techniken erhöhen können, indem Sie verschiedene Phishing-Methoden wie Dringlichkeit, Spoofing oder die Verwendung einer falschen E-Mail-Adresse miteinander kombinieren.

Beziehen Sie die Geschäftsleitung und Führungskräfte ein

Neben der Zustimmung der Geschäftsleitung und der Führungskräfte hilft die Teilnahme an Phishing-Tests den Mitarbeitern, die Bedeutung regelmäßiger Phishing-Simulationen zu erkennen.

Besonders wichtig ist, dass Personen in leitenden Positionen mit größerer Wahrscheinlichkeit Ziel fortgeschrittener Angriffe werden. Führungskräfte haben mehr Zugang zu den Finanzen, Systemen und Daten Ihres Unternehmens. Eine Sicherheitsverletzung, die durch Whaling-Angriffe verursacht wird, kann einen größeren Einfluss auf Ihr Unternehmen haben als eine, die von nicht leitenden Mitarbeitern verursacht wird. Laut IC3 waren BEC-Angriffe (Business Email Compromise Attacks) oder Angriffe, die auf Führungskräfte abzielten, im Jahr 2021 einer der am stärksten verbreiteten Angriffe.

Nach dem Phishing-Test

Sie haben die E-Mails verschickt. Sie haben gesehen, dass die Leute mit der Phishing-E-Mail interagiert haben. Jetzt zahlt sich Ihre harte Arbeit aus. Im Folgenden erfahren Sie, was Sie tun müssen, um das Beste aus dieser Phase herauszuholen.

Analysieren Sie den Bericht, um Erkenntnisse für die Gestaltung Ihres Phishing-Präventionsprogramms zu gewinnen

Der Bericht zu Ihrer Phishing-Simulation ist das Hauptziel, das Sie mit dem Programm erreichen möchten.

Die anfänglichen Simulationen sollten als Grundlage dienen, während die neueren Simulationen Ihnen die Erkenntnisse liefern sollten, die Sie für die Gestaltung Ihres Phishing-Präventionsprogramms benötigen.

Da Ihr Hauptziel darin besteht, die Fähigkeit Ihrer Benutzer, Phishing-Nachrichten zu erkennen, zu verbessern, sollten Sie in dem Bericht vor allem auf folgende Punkte achten:

  1. Wie viele E-Mails werden zugestellt, geöffnet, gemeldet und beantwortet?
  2. Wer hat gut abgeschnitten und wer nicht?
  3. ob es seit dem letzten Test Verbesserungen bei den Fähigkeiten Ihrer Benutzer gibt
  4. Allgemeine Trends und verbesserungswürdige Bereiche
  5. Jedes Szenario, für das Ihre Mitarbeiter besonders anfällig sind

Wenn Sie die Trends im Laufe der Zeit sehen, können Sie den ROI der Tools und Schulungen nachweisen, die Sie zur Bekämpfung von Phishing-Angriffen eingesetzt haben. Außerdem können Sie daraus ableiten, was Sie als Nächstes tun sollten, um die Fähigkeiten Ihrer Benutzer bei der Erkennung realer Phishing-Angriffe durch Hacker zu verbessern.

Belohnen Sie diejenigen, die sich hervorgetan haben

Anerkennung – und vielleicht ein Preis zur Würdigung ihrer Leistungen – hinterlässt einen bleibenden Eindruck.

Anerkennung hilft den Benutzern, Phishing-Tests nicht mehr als eine weitere Aufgabe auf ihrem Teller zu sehen, sondern als Chance. Eine Belohnung für diejenigen, die gut abgeschnitten haben, motiviert Ihre Mitarbeiter, sich die Mühe zu machen, Phishing-E-Mails zu erkennen.

Sie könnten zum Beispiel die Besten in Ihrem regelmäßigen Newsletter hervorheben und ihnen einen Anreiz wie Geschenkkarten, zusätzliche Urlaubstage oder einen Bonus bieten.

Bieten Sie denjenigen, die sich schwer getan haben, mehr Training an

Mit Hilfe von Phishing-Simulationen können Sie herausfinden, wer mit Phishing-Angriffen zu kämpfen hat und wer somit die schwächsten Glieder Ihrer Informationssicherheit sind. Um festzustellen, wie Sie die Schwachstellen am besten beheben können, sollten Sie die betroffenen Benutzer um Feedback bitten. Es kann mehrere Gründe geben, warum sie Probleme haben, zum Beispiel:

  1. Sie haben aus irgendeinem Grund nicht an der Sicherheitsschulung teilgenommen.
  2. Sie haben sich die Schulungsvideos angesehen, aber das Material war veraltet.
  3. Sie wussten, dass es sich um eine Bedrohung handelt, aber sie wussten nicht, was sie damit anfangen sollten.

Das Feedback der Mitarbeiter kann Ihnen dabei helfen, die Lücken in Ihrem Schulungsprogramm für das Sicherheitsbewusstsein oder in Ihren Sicherheitstools herauszufinden.

Bei einer genaueren Analyse können Sie vielleicht sogar herausfinden, für welche Art von Social-Engineering-Methoden Ihre Mitarbeiter besonders anfällig sind. Mit diesem Wissen können Sie einen individuelleren Lehrplan für die zusätzlichen Schulungen erstellen, der auf die Bereiche abzielt, in denen Ihre Mitarbeiter Schwierigkeiten haben.

Schützen Sie Ihr Unternehmen mit Inspired eLearning vor Phishing-Angriffen

Ein Phishing-Simulationsprogramm ist notwendig, damit Ihre Mitarbeiter ihre Fähigkeiten zur Erkennung betrügerischer E-Mails in einer kontrollierten Umgebung schärfen können. Darüber hinaus helfen Ihnen Phishing-Simulationen dabei, Ihre aktuellen Phishing-Präventionsprogramme zu analysieren und Verbesserungen an diesen Programmen vorzunehmen.

Ohne ausreichende Schulung werden sich Ihre Mitarbeiter jedoch nicht verbessern, und die Sicherheitsrisiken werden erhöht.

Nutzen Sie unsere fortlaufenden Schulungsprogramme, um gute Sicherheitsgewohnheiten aufzubauen. Mit regelmäßigen Schulungen zum Sicherheitsbewusstsein können Ihre Mitarbeiter neue Sicherheitsfähigkeiten erlernen, und Phishing-Simulationen helfen ihnen, das Gelernte zu üben und umzusetzen.

Gerne beraten wir Ihr Unternehmen auch im Bereich Datenschutz und Objektschutz.

180° IT GmbH
Hansaallee 321
40549 Düsseldorf
sicherheit@180-grad.de
0211-17607260