Security Awareness Training

So phishen Sie richtig

Phishing-Tests gehören zum Security-Repertoire vieler Unternehmen. Doch bleibt die erhoffte Security Awareness oft aus. Erfahren Sie, woran das liegt.
Von 
CSO | 22. November 2021 05:00 Uhr
Individuelle Test-E-Mails für Führungskräfte, Risikogruppen und Wiederholungs-Klicker können dabei helfen, dass weniger Mitarbeiter die Köder der kriminellen Phisher schlucken.
Individuelle Test-E-Mails für Führungskräfte, Risikogruppen und Wiederholungs-Klicker können dabei helfen, dass weniger Mitarbeiter die Köder der kriminellen Phisher schlucken.
Foto: Minerva Studio - shutterstock.com

Viele Unternehmen richten Phishing-Testprogramme ein, um ihre Mitarbeiter fortlaufend über Sicherheitsthemen zu schulen. Oft tun sie das als Teil einer Compliance-Anforderung. Mitarbeiter sollen dadurch bösartige Links erkennen können und diese nicht anklicken, sondern an die zuständige Stelle innerhalb des Unternehmens weiterleiten. Die meisten dieser Programme versagen allerdings. Erfahren Sie, woran das liegt und wie sich das vermeiden lässt.

Genervte Mitarbeiter

Die meisten Testprogramme verschicken gefühlt wahllos Test-Phishing-E-Mails an alle Mitarbeiter. Das raubt denjenigen Zeit und Energie, die bereits mehr oder weniger das Richtige tun. Obwohl es nützlich und stellenweise auch gefordert ist, solche Tests zu wiederholen, kann es zu einem gewissen Grad an Sicherheitsblindheit führen, wenn alle Mitarbeiter ohne spezifische Zielsetzung immer wieder geprüft werden.

Besser ist es, weniger Tests an alle zu versenden und anschließend einen Blick auf die Fehler zu werfen. Gibt es Cluster und wenn ja, wo befinden sie sich? Welche Geschäftsbereiche sind am häufigsten betroffen und wie lässt sich dies dem allgemeinen Sicherheitsrisiko zuordnen? Ein wiederholter Ausfall im Marketing hat andere Auswirkungen als ein Ausfall in der Finanzabteilung.

Wenn diese Problembereiche erkannt wurden, können Unternehmen anspruchsvollere und häufigere Tests einsetzen, die genau auf diese Bereiche zugeschnitten sind. In der Finanzabteilung könnte der Phishing-Test etwa wie eine Rechnung aussehen, die ein (gefälschter) Anbieter an eine ausgewählte Gruppe in der Buchhaltung schickt.

Ungetestete Führungskräfte

Führungskräfte nutzen oft SMS oder private IT-Geräte für die Unternehmenskommunikation. Das ist riskant, denn erfolgreich gephishte Manager verursachen die größten finanziellen Schäden innerhalb eines Unternehmens. Während gestohlene Anmeldedaten von Angestellten in der Regel relativ leicht unschädlich gemacht werden können, stellen kompromittierte Geschäfts-E-Mailkonten auf der Führungsebene ein großes Risiko dar. So konnte beispielsweise ein Betrüger innerhalb von zwei Jahren bei zwei US-Internetfirmen Verluste in Höhe von insgesamt 121 Millionen Dollar verursachen.

Daher sollten auch Führungskräfte regelmäßig getestet werden. Um sie erfolgreich zu schulen, müssen Phishing-Tests gut gestaltet und individuell sein sowie Taktiken aus dem Arbeitsalltag anwenden. Die IT-Abteilung im Unternehmen sollte sich vergewissern, dass ihr Test-Anbieter einen Markup-Editor anbietet, der benutzerdefinierte Phishing-Mails erlaubt. So kommt keine Routine auf, wenn Test-Phishs versendet werden.

Verwendet ein Unternehmen ein bestimmtes Test-Phishing-Format zu oft, kann das Personal unaufmerksam werden, Cyberbedrohungen mit diesem Format assoziieren und gegebenenfalls Gefahren übersehen oder nicht ernst nehmen. Ein Wechsel zwischen verschiedenen Pitch- und Bedrohungstypen, wie bösartige Links, Anhänge oder Ransomware-Mails, fordern Mitarbeiter heraus, aufmerksam zu bleiben. Tests sollten als Sensoren betrachtet werden, die Schwachstellen im Unternehmen erkennen. Daher ist es wichtig, sie regelmäßig auf ihre Genauigkeit hin zu überprüfen.

Testdaten liegen brach

Die Vorschriften werden eingehalten, ein Testplan, der Unternehmensschwachstellen mit der Zeit aufdeckt, ist erstellt und Führungskräfte erhalten individuelle Test-Phishs. Sind diese Punkte erreicht, haben Unternehmen bereits einen großen Sicherheitsvorteil erlangt. Um die Vorteile eines Sicherheitstrainingsprogramms voll auszuschöpfen, müssen die gesammelten Daten aber auch gesichtet und genutzt werden.

Als Einstieg bietet es sich an, nachzusehen, wo es Schwachstellen gibt. Sind sie gleichmäßig verteilt oder konzentrieren sie sich in bestimmten Abteilungen? Handelt es sich um einzelne Mitarbeiter oder ist das Management mit betroffen? Auf welche Art von Phishing fallen die Kollegen am häufigsten herein?

Über diese Fragen lassen sich Bereiche mit hohem Risiko identifizieren und Prioritäten setzen, welche Sicherheitskontrollen zuerst implementiert werden sollten. Anstatt Sicherheitsentscheidungen "top down" zu treffen, gilt es, die Auswirkungen eines simulierten Angriffs zu betrachten. Das liefert eine klare Vorstellung davon, wo ein umfassenderes Programm, um die Unternehmenssicherheit zu verbessern, ansetzen sollte.

Spaß muss sein

Zu guter Letzt sollen die Tests auch Spaß machen. Je mehr Kreativität und Abwechslung das Sicherheitspersonal in den Prozess einbringt, desto effektiver werden die Mitarbeiter sensibilisiert. Das gilt nicht nur für die Phishing-Vielfalt. Tests sollten vielmehr auch das Feedback der Nutzer berücksichtigen.

Die IT-Security-Experten können Benutzer beispielsweise einbeziehen, indem sie eingeladen werden, Phish-Pitches oder Unternehmensziele vorzuschlagen. Einige Test-Anbieter liefern auch Statistiken nach Abteilungen oder Managern, die sich für den freundschaftlichen internen Wettbewerb eignen. Mitarbeiter über das bloße "Tu dies nicht, tu das nicht" hinaus einzubeziehen, führt nicht nur zu besseren Sicherheitsergebnissen, sondern auch zu besserer Kommunikation im gesamten Unternehmen.

Erfolgreich phishen

Die meisten Phishing-Programme erreichen nicht die gesetzten Ziele. Das liegt unter anderem daran, dass Compliance-Ziele übergewichtet und andere Ziele ausgeschlossen werden. Daneben kann der Test-Anbieter der falsche sein oder es werden keine speziellen Ressourcen für das Testen bereitgestellt.

Diese Probleme lassen sich lösen, wenn Unternehmen aufhören, ihre Testprogramme als Kontrollkästchen zu sehen, die abgehakt werden müssen. Stattdessen sollten Cybersicherheitstests als Risikoanalyse betrachten werden. So kann das Testprogramm das eigene Sicherheitskonzept vorantreiben und die Akzeptanz für das Thema Cybersecurity im Unternehmen erhöhen. (jd)

Pieter Arntz ist Malware-Analyst bei Malwarebytes.