Phishing-Simulationskampagnen sind eine effektive Methode, um den Mitarbeitern zu zeigen, wie sie betrügerische Nachrichten erkennen, und Phishing zu bekämpfen. Diese Kampagnen haben nur Erfolg, wenn sie gut geplant, kommuniziert und analysiert werden.
E-Mail-Phishing ist die Hauptursache des Diebstahls von Anmeldedaten und eine Methode, die erfolgreich zur Infizierung von IT-Netzwerken mit Ransomware eingesetzt wird. Im zweiten Quartal 2021 war Phishing eine der beiden beliebtesten und wirksamsten Methoden, mit denen Cyberkriminelle Firmennetzwerke gehackt haben.
Phishing ist deshalb erfolgreich, weil Cyberkriminelle die bösartigen Inhalte verbergen können, um nicht von Sicherheits-Tools erkannt zu werden. Ein weiterer Grund für diesen Erfolg besteht darin, dass Mitarbeiter durch Täuschung und Manipulation unbeabsichtigt zu Insidern werden.
Hier ein paar Richtlinien, die Ihrer Phishing-Simulationskampagne den Erfolg garantieren.
Methoden für eine erfolgreiche Phishing-Simulationskampagne
Simulierte Phishing-Kampagnen dienen zur Automatisierung der Sicherheitsschulungen und Bereitstellung von Lerninhalten. Diese Schulungspakete mit Phishing-Simulationen enthalten echt aussehende Phishing-E-Mails, die auf reale Phishing-Kampagnen zurückgehen.
Um den vollen Nutzen aus einer Phishing-Simulationskampagne zu ziehen, müssen Sie sie planen, die Phishing-Bedrohungslandschaft kennen, mit allen Mitarbeitern kommunizieren und wissen, inwiefern Ihre geschäftlichen Ziele von Cybersicherheitsproblemen betroffen sein können.
So ziehen Sie den vollen Nutzen aus einer Kampagne:
Die Strategie für die Phishing-Simulationskampagne planen
Jede gute Kampagne beruht auf solider Vorbereitung. Die Vorbereitung sollte folgende Bereiche abdecken:
-
- Recherche der aktuellen Phishing-Trends, um möglichst realistische Phishing-Nachrichten zu generieren: Fragen Sie Ihr Team oder Ihre Berater, von welcher Art E-Mails Ihre Branche oder Ihr Sektor betroffen ist. Werden bestimmte Apps oder Marken (z. B. Microsoft 365) bei Phishing-Kampagnen besonders häufig imitiert? Tragen Sie diese Daten für die Entwicklungsphase Ihrer Kampagne zusammen.
-
- Wie oft werden die simulierten Phishing-E-Mails versendet? Das kann zum Beispiel wöchentlich, monatlich oder vierteljährlich geschehen. Die Häufigkeit der Kampagnen sollte mit Ihrer Gesamtstrategie für Cybersicherheitsrisiken in Einklang stehen.
-
- Kommunizieren Sie mit Ihren Mitarbeitern. Geben Sie ihnen klare Anweisungen, wie sie sich verhalten sollen, wenn sie Phishing-E-Mails und/oder ähnliche Social-Engineering-Angriffe bemerken. Dazu gehören genaue Informationen, wie sie die Bedrohung in allen Einzelheiten erfassen können.
-
- Legen Sie Zusatzschulungen für Mitarbeiter fest, die Phishing-E-Mails nicht erkennen. Dabei sollte es um erweiterte Schulungen gehen, die in einem „Point of Need“ angeboten werden.
-
- Sie müssen bereit sein, Ihre Strategie und die entsprechenden Vorbereitungsarbeiten anzupassen, wenn sich die Phishing-Landschaft ändert.
Die Phishing-Kampagne erarbeiten
Mit einer Automatisierungsplattform für Phishing-Simulationskampagnen können Sie die einzelnen Bestandteile der Kampagne generieren, zum Beispiel die Phishing-Vorlagen. Die Vorlagen auf einer solchen Plattform beruhen auf aktuellen bekannten Phishing-Bedrohungen, bei denen die am häufigsten imitierten Marken gezeigt werden. Da verschiedene Sektoren jeweils bestimmten Bedrohungen ausgesetzt sind, sollten sich die Vorlagen an diese Besonderheiten anpassen lassen.
Achten Sie darauf, dass der Kampagnenmanager die Vorlagen über eine zentrale Managementkonsole auf unkomplizierte Weise anpassen und konfigurieren kann.
Lernen zu einem Erlebnis machen, das im Gedächtnis bleibt
Das Ziel einer Phishing-Simulation besteht darin, den Mitarbeitern klarzumachen, wie sie Phishing-E-Mails erkennen und das „klickfreudige“ Verhalten ablegen, auf das die Betrüger hoffen. Damit das Lernen zu einem denkwürdigen Erlebnis wird und Wirkung zeigt, empfiehlt es sich, die Phishing-Simulationsplattform als „Point of Need“ zu gestalten.
Bei dieser Art von interaktivem Lernen gibt es in der Regel einen Warnhinweis, entsprechende Infografiken, eine Befragung zur Erfassung von Kennzahlen für individuellere Schulungsmaßnahmen usw., wenn ein Mitarbeiter eine Phishing-E-Mail nicht erkennt.
Dieser „Point of Need“ erklärt, was geschehen ist und welche Gefahren eine Phishing-E-Mail birgt. Höher entwickelte Systeme gehen einen Schritt weiter und informieren den Mitarbeiter über Strategien zur Vereitelung zukünftiger Phishing-Versuche.
Kennzahlen erfassen und analysieren
Im Laufe der Phishing-Simulationskampagne sollten die Mitarbeiter dazu aufgefordert werden, Meldung zu erstatten, wenn sie Phishing-E-Mails erhalten. Die während der Planungsphase erarbeiteten Anweisungen dienen als Grundlage für die Berichterstattung der Mitarbeiter zu Phishing-Versuchen.
In manchen automatisierten Phishing-Simulationsplattformen gibt es ein Dashboard mit Kennzahlen, in dem die Erfolgsquote der Kampagne anhand der während der Phishing-Simulationskampagne erfassten Daten analysiert wird.
Diese Kennzahlen spielen eine wichtige Rolle bei der Optimierung der Schulungen. Kennzahlen sind auch wichtig, um der Führungsetage und dem Aufsichtsrat zu beweisen, dass die Sicherheitsschulungen wirksam sind..
In manchen Simulationsplattformen wird angezeigt, welcher Prozentanteil der Benutzer anfällig für Angriffe ist und auf welchen Geräten der Zugriff auf die Phishing-E-Mails erfolgt ist. Je größer die Detailgenauigkeit dieser Kennzahlen, desto individueller können die Kampagnen gestaltet werden. Außerdem ermöglichen diese Kennzahlen eine kontinuierliche Verbesserung der Effektivität simulierter Phishing-Kampagnen, bei denen Phishing-E-Mails mit immer raffinierteren Inhalten zum Einsatz kommen.
Die Phishing-Simulationskampagne aktualisieren und wiederholen
Die Phishing-Landschaft ist in stetiger Veränderung, und die Betrüger arbeiten immer weiter, um unerkannt zu bleiben. Dementsprechend müssen auch die Phishing-Simulationskampagnen entsprechend aktualisiert werden. Das bedeutet, dass sie wahrscheinlich im Laufe der Zeit immer wieder Änderungen unterworfen wird, die denen in der Phishing-Landschaft Rechnung tragen.
Wie oft das der Fall ist, hängt von Ihrer Gesamtanalyse der Sicherheitsrisiken ab. Es gibt unterschiedliche Empfehlungen bezüglich des Abstands zwischen den Kampagnen, aber alle 4–6 Wochen ist eine gute Grundregel. Wenn erhebliche Veränderungen in der Phishing-Landschaft auftreten, wie dies zum Beispiel während der Covid-19-Pandemie der Fall war, sollten die Zeitabläufe der Kampagne allerdings ebenfalls angepasst werden.
Zeit für Phishing
Einer Literaturrecherche des Schwedischen Forschungsinstituts der Verteidigung ufolge klicken 24 % der Empfänger von Phishing-E-Mails einen Link an und 21 % geben anschließend ihre Passwörter auf gefälschten Websites ein. Diese alarmierenden Zahlen zeigen die große Bedeutung angemessener und zielgerichteter Mitarbeiterschulungen auf.
Diese Maßnahmen sind aber nur wirksam, wenn ihnen ein Plan zugrunde liegt. Mit den Empfehlungen von MetaCompliance können Sie für den Erfolg Ihrer Phishing-Simulationskampagne sorgen und reale, böswillige Phishing-Versuche aufhalten, bevor Ihr Unternehmen geschädigt wird.
