Eine Phishing-Simulation ist eine Methode zur Erkennung von Schwachstellen in der Cybersicherheit, bei der Phishing-E-Mails nachgestellt werden. Jahrzehntelang haben Unternehmen Phishing-Simulationen in ihre Sicherheitsschulungen aufgenommen, um ihren Mitarbeitern beizubringen, wie sie sich gegen Cyber-Bedrohungen wehren können.
Obwohl Phishing-Simulationen inzwischen eine gängige Praxis zum Schutz von Unternehmensdaten sind, wird ihre Effektivität noch immer kontrovers diskutiert. Studien und Berichte der Branche können dabei helfen, besser zu verstehen, wie hilfreich Phishing-Simulationen für Unternehmen sein können.
Wie lässt sich Wirksamkeit definieren?
Um zu messen, ob Phishing-Simulationen wirksam sind, müssen wir untersuchen, wie gut sie ihre Ziele erreichen können.
Die Ziele von Phishing-Simulationen können in jeder Organisation unterschiedlich sein. Das National Cyber Security Centre (NCSC) hat uns jedoch eine gute Referenz geliefert. Das NCSC wurde 2016 von der britischen Regierung ins Leben gerufen, um britische Unternehmen speziell im Bereich der Cybersicherheit zu unterstützen. Die Behörde ist eine offizielle Anlaufstelle für Menschen, die nach Ratschlägen zur Cybersicherheit suchen. Die NCSC stellt klar, dass die Erkennung und Meldung potenzieller Bedrohungen durch die Nutzer ein gewünschtes Ergebnis der Anti-Phishing-Abwehr ist.
Vor diesem Hintergrund wollen wir nun untersuchen, ob die Phishing-Simulationen tatsächlich die gewünschten Ergebnisse liefern. Wir werden uns mit einschlägigen Branchenberichten und Studien befassen, um ihre Wirksamkeit wissenschaftlich zu bewerten.
Wissenschaftlich belegte Erfolge von Phishing-Simulationen
Simulierte Phishing-Schulungen scheinen einen bemerkenswerten Einfluss auf die Fähigkeit der Mitarbeiter zu haben, Phishing-Angriffen zu widerstehen.
1. Erhebliche Verbesserung der Fähigkeit der Benutzer, Betrug zu erkennen
In einem kürzlich erschienenen Cybersicherheitsbericht – 2022 Annual State of Phishing Report – wurden Millionen von Kampagnenergebnissen von Nutzern analysiert, die eine simulierte Phishing-Schulung erhalten haben. Die Untersuchung ergab, dass wiederholte Phishing-Simulationen den Mitarbeitern helfen, bösartige E-Mails zu erkennen und damit ihre Anfälligkeit zu verringern. 70 % der Befragten waren bei ihrer ersten Begegnung mit einer simulierten Phishing-E-Mail anfällig. Nachdem die Simulationen fünfmal durchgeführt worden waren, sank der Prozentsatz der Anfälligkeit drastisch auf eine einstellige Zahl. Eine höhere Häufigkeit von Phishing-Simulationen erhöht also die Fähigkeit der Mitarbeiter, Phishing-E-Mails zu erkennen.
- Der Bericht hat auch gezeigt, dass Nutzer, die auf einen betrügerischen Link klickten, eines gemeinsam hatten – sie verbrachten sehr wenig Zeit damit, die Landing Page der Phishing-Simulation zu überprüfen. Die durchschnittliche Verweildauer betrug laut der Studie nur 0-19 Sekunden. Daraus lässt sich schließen, dass die Mitarbeiter umso eher in der Lage sind, die Red Flags in einem simulierten Phishing zu erkennen, je mehr Zeit sie bereit sind, für die Phishing-Aufklärung aufzuwenden.
- Dieser Standpunkt wird auch durch den Digital Defense Report 2022 von Microsoft bestätigt. Eine beliebte Website für Cybersecurity-Nachrichtenquellen hat die Ergebnisse von Microsoft zitiert, die besagen, dass “wenn Mitarbeiter eine simulierte Phishing-Schulung erhalten, die Wahrscheinlichkeit, dass sie auf Phishing hereinfallen, um 50 % geringer ist.”
Beeindruckend hohe Meldequote und Reaktionsfähigkeit
Der erwähnte Jahresbericht zeigt auch, dass 82 % der geschulten Mitarbeiter simuliertes Phishing gemeldet haben. Noch erstaunlicher ist, dass sie dies innerhalb von 60 Minuten nach Erhalt der Nachricht meldeten. Die rechtzeitige Meldung durch die Benutzer verringert nicht nur das Zeitfenster, in dem ein Angreifer auf Daten zugreifen oder sich weiteren Zugang zum Netzwerk verschaffen kann, sondern erhöht auch die Chance des Sicherheitsteams, potenzielle Verstöße zu erkennen und darauf zu reagieren.
Aus den obigen Berichten können wir schließen, dass es eine starke und direkte Beziehung zwischen der Phishing-Simulation und der Fähigkeit der Mitarbeiter gibt, Phishing-E-Mails zu erkennen und zu melden.
Die weithin anerkannte Wirksamkeit von Phishing-Simulationen
Der Einsatz von Phishing-Simulationen ist in den letzten Jahren weithin anerkannt und sehr empfehlenswert. Da die Wirksamkeit von Phishing-Simulationen bewiesen ist, setzen immer mehr Organisationen aus den verschiedensten Branchen sie ein, um ihre Mitarbeiter zu stärken.
Um den Sicherheitsbedrohungen zu begegnen, mit denen der Crown Commercial Service (CCS) konfrontiert ist, hat die britische Beschaffungsbehörde kürzlich einen Vertrag über die Investition in ein Phishing-Simulationstool unterzeichnet. Nach Angaben der Behörde soll dieses Simulationstool “das Sicherheitsbewusstsein” in der gesamten Organisation testen und “Bereiche finden, die zusätzliche Unterstützung benötigen”.
Das Gesundheitswesen gehört zu den Branchen, die am häufigsten Ziel von Phishing-Betrügereien sind, weil sie wertvolle persönliche Daten in ihren Datenbanken haben. Der größte britische Gesundheitsdienstleister, der NHS, setzt Phishing-Simulationen ein, um seine Mitarbeiter proaktiv zu schulen. Ziel der Phishing-Simulationen ist es, das Bewusstsein der NHS-Mitarbeiter für Phishing-E-Mails zu schärfen”.
Es ist leicht zu erkennen, dass Phishing-Simulationstests zu einer vertrauenswürdigen und beliebten Methode geworden sind, mit der Organisationen ihr Unternehmen schützen.
Dem Cybersecurity-Trend anschließen
Also: Viele erfahrene Cybersicherheitsexperten sind der Meinung, dass Mitarbeiter, die an Phishing-Simulationstests teilgenommen haben, verdächtige E-Mails viel eher erkennen und melden als Mitarbeiter, die dies nicht getan haben.
Selbst Microsoft ist ein starker Befürworter des Einsatzes von Phishing-Simulationen. “Regelmäßig Phishing-Simulationen sollten durchgeführt werden, um das potenzielle Risiko im gesamten Unternehmen zu ermitteln und gefährdete Benutzer zu identifizieren und zu schulen”, so lautet eine der Empfehlungen des Digital Defense Report 2022, um die Gefährdung durch Phishing zu verringern.