fabioberti.it - stock.adobe.com
Was Phishing-Simulationen in Unternehmen bewirken
Phishing gehört zu den größten Bedrohungen für Unternehmen. Technische Maßnahmen genügen zur Risikominderung nicht, Phishing-Tests können Mitarbeiter zusätzlich sensibilisieren.
Im Frühjahr 2015 wurde der Deutsche Bundestag spektakulär gehackt. Mit einer Phishing-E-Mail drangen Cyberkriminelle in das IT-System des Parlaments ein. Die ganze Geschichte und ihre Aufarbeitung lässt sich im Podcast „Der Mann in Merkels Rechner“ nachhören. Was geblieben ist, ist die Gefahr durch Phishing. Wer über das erforderliche technische und menschliche Wissen verfügt, ist in der Lage, erfolgreich zu manipulieren.
Technische Maßnahmen wie E-Mail-Filter oder Sandboxing bieten allein keinen ausreichend wirksamen Schutz vor Phishing-Angriffen. Das zeigen die ernüchternden Ergebnisse einer Studie zu zehn Anti-Phishing-Tools: Nur 90 Prozent aller Phishing-Seiten wurden korrekt erkannt, die meisten Tools identifizierten sogar weniger als 50 Prozent.
Technik allein reicht nicht aus
Ergänzend zu Tools und Software müssen Anti-Phishing-Maßnahmen den Faktor Mensch berücksichtigen. Technische Lösungen filtern in der Regel Phishing-E-Mails, -Server oder -Webseiten heraus. Kritisch sind jedoch Zeitfenster, in denen ein neuer Server oder eine neue Webseite aufgesetzt wird. Diese können technische Lösungen noch nicht erkennen. Dennoch muss kein Schaden entstehen. Die entscheidende Interaktion bei einem Phishing-Angriff ist der Klick auf einen vermeintlichen Link oder Anhang. Es liegt somit am Menschen, richtig zu handeln, wenn eine E-Mail nicht durch Technik daran gehindert wird, vom Empfangenden abgerufen zu werden.
In Deutschland ist die Phishing-Gefahr weiterhin real. Phishing „ist und bleibt DIE (größte) Bedrohung für Unternehmen und öffentliche Einrichtungen”, heißt es im Cybercrime Report des Bundeskriminalamtes. Ebenso zeigt eine Cybersicherheitsumfrage des BSI (PDF), dass 43 Prozent der befragten Großunternehmen von Cybersicherheitsvorfällen betroffen und mehr als die Hälfte dieser Angriffe erfolgreich waren. Bei den gemeldeten Sicherheitsvorfällen wurde mehr als die Hälfte durch Malware eingeschleust. Mit 90 Prozent waren dabei E-Mails das Haupteinfallstor. Sie beinhalteten schadhafte Links oder Anhänge. Bei den erfolgreich abgewehrten Fällen griffen zur Hälfte technische Maßnahmen. In den anderen Fällen verhinderte das Bewusstsein der Mitarbeitenden eine Infektion. Um genau dieses Bewusstsein zu schärfen, sind simulierte Phishing-Schulungen eine Hilfe.
Den Ernstfall simulieren
Reale Phishing-Attacken erreichen ihr Ziel häufiger, wenn sie auf unaufmerksame Menschen treffen. Daher hilft Phishing-Training, um Mitarbeitende für Angriffe zu sensibilisieren. Dabei werden im Auftrag des eigenen Unternehmens simulierte Phishing-E-Mails verschickt. Reagieren Personen auf den Anhang oder Link, werden diese (anonymisierten) Daten gesammelt und ausgewertet. Dieses Training soll die Anfälligkeit für Phishing-Angriffe verringern und die Aufmerksamkeit für die IT-Sicherheit erhöhen.
Um die betroffenen Personen zu schulen, erhalten diese nach dem Anklicken eines präparierten Anhangs oder Links sofort einen Hinweis zu ihrem Vorgehen sowie Schulungsmaterial zum sicheren Verhalten. Die Trainings-E-Mails sind in unterschiedlichen Schwierigkeitsgraden und Kontexten gestaltbar.
Zwei Beispiele für zweiphasige Studien stammen vom New York State Office und den West-Point-Kadetten. In beiden Fällen wurde in der ersten Phase untersucht, ob und wie gut die Probanden die Phishing-Angriffe erkennen. Die West-Point-Kadetten erhielten im Anschluss ein Präsenztraining und wurden dann erneut getestet. Im New York State Office fand ein Online-Training statt. Das Ergebnis beider Studien: Die Probanden erkannten Phishing-E-Mails besser, schadhafte Links und Anhänge wurden seltener angeklickt.
Eine weitere Studie untersuchte in der realen Umgebung eines portugiesischen Unternehmens ein eingebettetes Trainingssystem namens PhishGuru. PhishGuru sendet an zuvor registrierte Benutzerinnen und Benutzer Phishing-E-Mails und stellt Lernmaterial bereit, falls diese auf die E-Mails reagieren. Das Lernmaterial erklärt die Definition von Phishing und die Form der Angriffe durch visuell ansprechende Comics. Die Kurzzeitstudie wurde mit 311 Teilnehmenden in acht Tagen durchgeführt.
Untersucht wurde, wie allgemeines gegenüber Spear Phishing abschneidet, wenn es darum geht, Phishing zu erkennen und persönliche Informationen nicht weiterzugeben. Ein Ergebnis war, dass das eingebettete Training effektiv zu sein scheint, die Klickraten lagen jedoch deutlich niedriger als bei Studien im universitären Umfeld. So gaben vor der Schulung 79 Prozent der Personen im Labor ihre Daten weiter, nachdem sie auf eine Phishing-E-Mail geklickt hatten. In der realen Umgebung waren es mit 41 Prozent deutlich weniger. Nach der Schulung gaben 35 Prozent im Labor und nur 13 Prozent in realer Umgebung ihre Daten weiter. Eine weitere Erkenntnis der Studie war, dass auch nicht geschulte Personen ihre Ergebnisse verbessern konnten. Dies wurde auf die Tatsache zurückgeführt, dass sich die Mitarbeitenden über die Schulung austauschten. Die Wirksamkeit des Trainings zog so weitere Kreise. Eine weitere Folgerung war, dass es kaum einen Unterschied zwischen dem Lernen mit den generischen und dem Spear-Phishing gab.
„Als neuere Problematik und großes Einfallstor für Phishing haben sich Social-Media-Plattformen herausgestellt. Sind die zugehörigen Apps auf Betriebsgeräten installiert, hat dies Einfluss auf die IT-Sicherheit von Unternehmen.“
Vivien Schiller, adesso SE
Eine weitere einphasige Studie mit 1359 Probanden untersuchte ebenfalls die Wirksamkeit von Spear-Phishing-E-Mails. In diesem Fall kamen diese mit eingebetteten Schulungen daher. Die Hypothese war, dass nach einem Phishing-Training die Meldungen nach verdächtigen realen Phishing-E-Mails steigt. Im Zuge der Studie wurden Trainings-E-Mails mit kleinen Fehlern vorbereitet, sodass die Probanden die Phishing-E-Mails mit gehobener Aufmerksamkeit erkennen konnten. Dieses eingebettete Training war jedoch nicht wirksam. Die Teilnehmenden gaben an, dass sie die Website seltsam fanden und unmittelbar wegklickten. Das brachte die Forschenden zu der These, dass die Schulungswebseite nicht gut gestaltet war. Bei dieser Studie handelte es sich um die größte jemals unter realen Bedingungen durchgeführte Studie.
Im Jahr 2019 hat adesso eine einphasige Phishing-Studie durchgeführt. Insgesamt wurden Phishing-E-Mails in vier verschiedenen Schwierigkeitsstufen versendet. Die anonym ausgewertete Klickrate über alle Trainings-Mails hinweg betrug 26,4 Prozent. Wobei am Ende des ersten Tages die Klickrate der schwierigsten Phishing-E-Mail bei 52,6 Prozent lag.
Fazit
Verschiedene Studien widmeten der Wirksamkeit simulierter Phishing-Trainings – in allen waren die Phishing-Versuche erfolgreich. Allein diese Tatsache zeigt die Relevanz des Themas. Folgende Schlussfolgerungen lassen sich aus den Studien zusammenfassen:
- Simuliertes Phishing-Training mit eingebettetem Schulungsmaterial reduziert unerwünschte Klickraten.
- Austausch über das Training erhöht das Bewusstsein.
- Die Qualität des Schulungsmaterials ist entscheidend für die Akzeptanz und den Trainingseffekt.
Es gibt jedoch Grenzen des simulierten Phishing-Trainings. Ein Training über acht Tage zieht kurzfristig den gewünschten Effekt nach sich. In den längeren, zweiphasigen Studien gab es hingegen Personen, die sowohl im ersten als auch im zweiten Durchlauf auf eine simulierte Phishing-E-Mail reinfielen. Das zeigt: Der Trainingseffekt lässt mit der Zeit nach.
Zudem prägt ein negatives Erlebnis in einem Phishing-Training nicht so stark wie Opfer eines tatsächlich Phishing-Betrugs zu werden. Das bestätigten interviewte Teilnehmende mit Verweis auf reale Erlebnisse im näheren Umfeld. Auch adesso-Mitarbeitende betonten im Interview, dass sie niemals auf ein Phishing-E-Mail reinfallen würden, was sie im Training aber doch taten. Um diese Selbstüberschätzung abzubauen und den Trainingseffekt zu schärfen, sind kontinuierlich durchgeführte Simulationen ratsam. Dabei sollten wenige variierende Trainings-Phishing-E-Mails über einen langen Zeitraum versendet werden. Das erhält den Trainingseffekt, nimmt neue Mitarbeitende mit und stört die Belegschaft im Arbeitsalltag nicht zu sehr.
Als neuere Problematik und großes Einfallstor für Phishing haben sich Social-Media-Plattformen herausgestellt. Sind die zugehörigen Apps auf Betriebsgeräten installiert, hat dies Einfluss auf die IT-Sicherheit von Unternehmen. Ein simuliertes Phishing-Training über diese Plattformen für Mitarbeitende lässt sich jedoch ohne deren Einverständnis nicht durchführen, es wäre ein Eingriff in die Privatsphäre. Mit wachsender Sensibilität gegenüber Phishing-E-Mails dürfte allerdings auch die Vorsicht gegenüber Phishing-Angriffen über andere Nachrichtendienste steigen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.