Dr. Niklas Hellemann, Psychologe und CEO von SoSafe und Cyber Samurai-Geschäftsführer Nicolas Leiser verteidigen den Einsatz von Phishing-Simulationen als wirksame Methode. Unlängst hatte der Google Security-Manager Matt Linton Phishing-Simulationen kritisiert.
Matt Linton, Sicherheitsmanager bei Google, hatte gewarnt: “Unsere Kollegen haben die Nase gestrichen voll davon, von solchen Phishing-Tests hinters Licht geführt zu werden. Das schürt nur Frust, anstatt von Nutzen zu sein.”
Linton erläutert in einem Blogeintrag die Schattenseiten simulierter Angriffe: Linton argumentiert, dass es keine überzeugenden Belege dafür gibt, dass simulierte Phishing-Tests die tatsächliche Häufigkeit erfolgreicher Phishing-Angriffe in Unternehmen reduzieren können. Eine Studie aus dem Jahr 2021 käme zu dem Schluss, dass solche Übungen die Mitarbeiter nicht wirklich widerstandsfähiger gegen Phishing-Versuche machen. Seiner Ansicht nach überwiegt der größte Nachteil dieser Praxis – die negativen Auswirkungen auf die Arbeitsmoral.
Wie reagiert die Branche?
Das sehen die einschlägigen Anbieter anders. “Wie überall ist die Befundlage in der Wissenschaft recht differenziert, es gibt aber zahlreiche wissenschaftliche Studien, die die Wirksamkeit eindeutig belegen. William Yeoh und Wang-Sheng Lee weisen in ihrer Studie beispielsweise eine Reduktion von Klickraten durch Phishing-Simulationen nach. Und auch unsere eigenen Daten von mehr als 3,2 Millionen Nutzern und das Feedback unserer Kunden zeigen das: Sie reduzieren ihre Klickraten um bis zu 70%, ihre Interaktionsraten um bis zu 80% und mindestens 70% der User zeigen innerhalb von sechs Monaten aktives Meldeverhalten”, sagt etwa Dr. Niklas Hellemann, Psychologe und CEO von SoSafe
Dr. Hellemann räumt aber ein: “Wichtig ist – und da stimme ich Matt Linton voll und ganz zu – dass Unternehmen von ihren Mitarbeitenden kein fehlerfreies Verhalten verlangen, das Anklicken von Phishing-E-Mails nicht bestrafen und kein Klima schaffen sollten, das Phishing-Simulationen als „Test” für Mitarbeitende positioniert.” Und: “Phishing-Simulationen, die zu diesem Zweck oder nur zur Erfüllung irgendwelcher Compliance-Anforderungen durchgeführt werden, werden das Risiko nicht nachhaltig reduzieren, sondern gegebenenfalls sogar erhöhen. Die Zeiten von einfachen „Phishing-Tests” sollten nun wirklich lange vorbei sein.”
Dr. Hellemann empfiehlt stattdessen: “Wenn Phishing-Simulationen als Teil einer umfassenden Lernstrategie verstanden werden, bei der Mitarbeitende ihr Wissen und Verhalten in einer alltäglichen Angriffssituation und in einem anonymen und angstfreien Raum testen können, können Risiko-Metriken nachhaltig minimiert werden.”
Auch Cyber Samurai-Geschäftsführer Nicolas Leiser meldet sich zu den Kommentaren des Security-Managers gegenüber it-daily.net zu Wort: „Ein schönes Beispiel wie man eine Secuity Awareness Kampagne inklusive Phishing Simulation nicht einführt, da sie offensichtlich zu erheblichen Missverständnissen und Frust bei den Teilnehmern führt”, kommentiert er und führt fort: “Fakt ist, 85 Prozent aller Angriffe beginnen damit, den Menschen zu überlisten und erst dann kommen die Maschinen, wie Clients und Server, ins Spiel.”
Da würden zwar technische Maßnahmen wie Passkeys, Hardwareschlüssel und Multi Factor Authentication unterstützen, wie der Google Security-Manager empfahl. “Aber auch diese Techniken lassen sich mit Social Engineering Angriffen leicht aushebeln”, ergänzt er. Ziel einer Awareness Kampagne sollte es daher sein, die Teilnehmer motiviert über die Gefahren zu sensibilisieren. Dadurch werden laut Leiser die Verhaltensweise trainiert, mit unterschiedlichen Gefahren umzugehen.
“Wichtig ist hierbei die richtige Kommunikation zu den Teilnehmern. Wir erklären das gerne so, dass es wie in der Fahrschule einen theoretischen und praktischen Teil gibt. Der theoretische Teil besteht aus kleinen Videotrainings (2-3 Minuten) der praktische Teil besteht aus Phishing oder anderen Social Engineering Angriffen wie Pretexting.”
Um die Motivation der Teilnehmer hoch und die Trainingszeiten sowie deren Kosten kleinzuhalten, rolle Cyber Samurai ihre Trainings bedarfsgerecht auf den einzelnen Teilnehmer aus. “Dies erreichen wir durch Video-Assessments und natürlich über das Verhalten der Teilnehmer bei Phishing Simulationen.”
Es gehe definitiv nicht darum, Mitarbeiter mit Phishing Mails zu testen und mit Videotrainings zu bestrafen, wie das in dem Blogpost beschrieben wird. “Auch kann ich keineswegs die Ergebnisse der nicht benannte Studie nachvollziehen. Wir hören von unseren Kunden eher, wir wurden gephisht und durch die Security Awareness Kampagne konnte der Angriff abgewehrt werden.” Interessant sei zudem, dass die Phishing-Simulationshäufigkeit sowie die Teilnahme an Trainings im direkten Zusammenhang mit der Phishing-Anfälligkeit des Einzelnen steht.
Leiser gibt wie Dr. Hellemann dem Security-Manager in einem Punkt recht: Man dürfe das Vertrauen der Teilnehmer nicht verspielen. “Das bedeutet aus unserer Sicht, die Ergebnisse einer Phishing Simulation nicht zu kommunizieren und nur das zu trainieren, was nötig ist.“
Wie sehen Phishing-Simulationen aus?
Bei Phishing-Simulationen werden den Mitarbeitern gefälschte E-Mails oder andere Nachrichten zugestellt, die so aussehen, als kämen sie von einer vertrauenswürdigen Quelle wie einem Kollegen, Vorgesetzten oder einer bekannten Website. Diese E-Mails enthalten oft einen Link oder eine Aufforderung, auf eine bestimmte Website zu gehen und dort vertrauliche Informationen wie Benutzernamen, Passwörter oder Kreditkarteninformationen einzugeben.
Wenn ein Mitarbeiter auf den gefälschten Link klickt oder die angeforderten Informationen eingibt, wird dies vom Sicherheitsteam des Unternehmens registriert. Der Mitarbeiter fällt sozusagen auf die Simulation herein. Üblicherweise wird ihm dann mitgeteilt, dass es sich um eine Übung gehandelt hat, und er erhält zusätzliche Schulungen oder Hinweise, wie er solche Phishing-Versuche in Zukunft erkennen und vermeiden kann.
Das Ziel dieser Simulationen ist es, das Bewusstsein der Mitarbeiter für Phishing-Angriffe zu schärfen und ihnen beizubringen, verdächtige E-Mails und Websites zu erkennen und richtig darauf zu reagieren. Indem sie in einer kontrollierten Umgebung getestet werden, können die Mitarbeiter aus ihren Fehlern lernen, ohne dass tatsächlich vertrauliche Daten gefährdet wurden.
Gleichzeitig werden durch die Simulationen Schwachstellen in den Sicherheitsmaßnahmen des Unternehmens aufgedeckt, die dann behoben werden können. Die Ergebnisse zeigen, welche Arten von Phishing-Angriffen am erfolgreichsten sind und in welchen Abteilungen oder bei welchen Mitarbeitergruppen noch mehr Schulungsbedarf besteht.