Phishing Simulation → Risiko-Awareness üben

Phishing Simulation
Phishing Simulation

Was ist eine Phishing Simulation?

Bei einer Phishing Simulation lernen und üben Mitarbeitende, wie sie verdächtige E-Mails identifizieren und wie sie darauf zu reagieren haben. Dazu erhalten sie E-Mails, die den echten Angriffen täuschend echt nachgestellt sind und sie verlocken sollen, auf einen Link zu klicken und/oder auf einer ebenfalls präparierten Webseite Ihre persönlichen Zugangsdaten einzugeben. Beides, der Klick auf Links oder die Eingabe von Zugangsdaten ist ohne jede Gefahr und dient allein den Schulungs-/Trainingszwecken.

Die „richtige Reaktion“ umfasst sowohl Dinge, die unbedingt zu tun sind und Dinge, die auf jeden Fall zu vermeiden sind. Phishing Simulationen erfolgen im Auftrag der Geschäftsleitung und dienen der Erhöhung des Risikobewusstseins gegenüber Social Engineering Bedrohungen. Üblicherweise wird das Verhalten der Mitarbeitenden nach der Übung ausgewertet, um einen Status über das faktische Risikobewusstsein der Belegschaft sichtbar zu machen. Mit solchen Übungen wird Ihre Belegschaft zu einer „Human Firewall“.


Wie läuft eine Phishing Simulation ab?

Hinweis: Die nachfolgende Beschreibung bildet den Prozess ab, so wie wir ihn praktizieren.
Wir führen Phishing Simulationen monatlich durch. Die Übungen starten jeweils am Monatsanfang und dauern circa drei Wochen. In der letzten Woche des Monats wird der Report erzeugt, der die Ergebnisse der Übung zusammenfasst und die individuellen Resultate der jeweiligen Vergleichsgruppe gegenüberstellt. Der Versand der Reports erfolgt zum Monatsultimo.

Schritt 1: Quality Gate

Das Quality Gate verfolgt das Ziel, dass in der Simulation die Phishing E-Mails nicht im Spam Ordner der Zielpersonen landen. Nur wenn die E-Mails im regulären E-Mail Posteingang eingehen, ist die Übung aussagekräftig.

Für die Durchführung des Quality Gates benötigen wir eine/n AnsprechpartnerIn in der beauftragenden Firma. Diese/r muss in der Lage und berechtigt sein, die Spam-Regeln zu konfigurieren (konkret: Anpassungen durchzuführen). Für die Dauer der Phishing Simulation müssen einige, wenige IP-Adressen und Absender- E-Mail Adressen vorübergehend auf die “Whitelist” gesetzt werden. Das bedeutet, dass die Spam Filter diese Einträge für die Dauer der Übung nicht abfangen sondern als zulässig kategorisieren.

Das Quality Gate muss vor Beginn der eigentlichen Übung absolviert werden. Es startet zwei Wochen vor Beginn der Simulation und muss bis Monatsende erfolgreich abgeschlossen sein. Im Quality Gate wird die Zustellung von Beispiel E-Mails mit einer “echten” E-Mail Adresse der beauftragenden Firma getestet. Gelingt es während dieser Phase nicht, die Spam-Filter so zu konfigurieren, dass die E-Mails korrekt zugestellt werden, kann die Übung nicht durchgeführt werden. Die Beauftragung ist damit hinfällig oder wird auf eine späteren Zeitpunkt verschoben.

Für die Übung selbst benötigen wir von der beauftragenden Firma eine Tabelle mit allen teilnehmenden Personen (Vorname, Nachname und E-Mail Adresse).
Da die von uns genutzte Software technisch auch für kriminelle Einsatzzwecke genutzt werden könnte, muss die uns beauftragende Firma im Vorwege noch den Nachweis erbringen, dass sie wirklich Inhaberin der Firmendomain ist. Dies kann mit minimalem Aufwand durch einen entsprechenden DNS Eintrag umgesetzt werden. Daraus folgt, wir nur solche E-Mail Adressen in der Übung berücksichtigen können, die die Domain der Firmen beinhalten.
Parallel zum Quality Gates konfigurieren wir die konkrete Kampagne für die beauftragende Firma.

Schritt 2: Versand der Phishing E-Mails

Im Rahmen einer Phishing Simulation versenden wir insgesamt vier unterschiedliche E-Mails an die Mitarbeitenden der beauftragenden Firma. Diese E-Mails werden zeitversetzt gesendet. Das bedeutet, dass nicht jeder Mitarbeitende die gleiche E-Mail in der gleichen Sekunde wie alle anderen KollegInnen bekommt. Der Versand der E-Mails verteilt sich über die drei Wochen der Simulationsdauer.

Die Kampagne wird so konfiguriert, dass es sowohl E-Mails gibt, bei denen der Mitarbeitende auf einen Link klicken muss als auch Vorlagen, bei denen wir dazu “auffordern”, Zugangsdaten auf einer vorbereiteten Webseite einzugeben. Damit werden wir den unterschiedlichen Bedrohungen gerecht und üben alle relevanten Fälle.
Wenn die Mitarbeitenden auf einen Link klicken oder auf einer Webseite Zugangsdaten eingeben, entsteht KEIN Schaden. Etwaig eingegebene Zugangsdaten werden NICHT gespeichert.

Hat ein Mitarbeitender auf einen Link geklickt, landet er/sie auf einer Seite, die ihm/ihr mitteilt, dass dies eine Übung ist und das kein Schaden entstanden ist. Es wird aber auch deutlich darauf hingewiesen, dass, wäre dies keine Übung gewesen, echter Schaden für die Unternehmung hätte entstehen können. Aus unserer Erfahrung und dem Feedback vieler Kunden können wir sagen, dass diese Art des „erfahrungsgestützten Lernens“ deutlich nachhaltiger ist, als Schulungen allein es sein können.

Jeder Link-Klick und jede Eingabe von Zugangsdaten wird registriert – im Sinne von: gezählt. Auswertungen im Ergebnisbericht erfolgen ausschließlich auf Basis gezählter Klicks/Eingaben. Eine Zuordnung zu Personen erfolgt nicht – auch nicht auf Wunsch der beauftragenden Firma. Eine Aussage über das Klick Verhalten namentlich genannter Personen ist damit nicht möglich.

Schritt 3: Ergebnisbericht

Im Ergebnisbericht wird das Klickverhalten der Belegschaft zusammengefasst. Die Ergebnisse werden sowohl absolut als auch relativ (in Prozent) dargestellt. Das erleichtert den Vergleich mit anderen Firmen und der Auftraggeber kann sein Ergebnis besser beurteilen. Außerdem haben wir für die Berichterstattung Größen-Cluster gebildet. Aktuell unterscheiden wir Firmen mit bis zu 20 Personen oder Firmen mit mehr als 20 Personen.
Die Tatsache, dass während der Phishing Simulation mehrere (vier) E-Mails versendet werden, lässt auch einen Schluss zu, ob die ÜbungsteilnehmerInnen während der Übung eine “Lernkurve” durchlaufen. Man könnte annehmen, dass die Klickraten sich von der ersten bis zur vierten E-Mail verringern.
Zu unserer Dienstleistung gehört auch, dass wir anbieten, die Ergebnisse und mögliche Verbesserungsmöglichkeiten in einem Online-Meeting zu besprechen.


Häufig gestellte Fragen

  1. Macht es Sinn, die Phishing Simulation in der Belegschaft anzukündigen?

    Wir empfehlen unseren Kunden, die Phishing Übung anzukündigen. Aus unserer Sicht sprechen zwei Gründe dafür. 1. Letztlich geht es darum, dass die Mitarbeitenden aufmerksam und risikobewusst sind. Ähnlich wie bei einem Hinweisschild, dass ein Blitzer kommt sind wir als Autofahrer sofort in erhöhter “Alarmbereitschaft”. Wir meinen, dass die Ankündigung dem eigentlichen Ziel nicht schadet. 2. Umgekehrt kann es zu “atmosphärischen Verstimmungen” kommen, wenn die Belegschaft ohne Ankündigung solche E-Mails bekommt und erst beim Klicken informiert wird, dass dies eine Übung ist. Es gibt Fälle, in denen die Belegschaft das als Misstrauen wertet. Ohne eine Ankündigung können auch Befürchtungen entstehen, dass das Klickverhalten auf namentlicher Ebene ausgewertet wird. Wir haben daher auch ein kurzes Video erstellt, welches die beauftragenden Firmen ihrer Belegschaft vorab zeigen können. In diesem Video stellen wir als Trainstitute klar heraus, dass wir für die Anonymität garantieren.

  2. Muss der Betriebsrat eingebunden werden?

    Eine eindeutige, verbindliche Aussage hierzu können wir nicht treffen. Gleichwohl empfehlen wir, wenn ein Betriebsrat vorhanden ist, diesen vorab aktiv einzubinden. In Verbindung mit “Ankündigung ja/nein” kann man unseres Erachtens unnötige Konflikte vermeiden. Und mit unserer Gewähr, dass wir auf keinen Fall (auch wenn der Kunde es wünscht) nicht auf Ebene namentlich genannter Personen auswerten, steigt das Vertrauen, dass nicht “inoffiziell” ausgewertet wird.

  3. Warum werden vier E-Mails versendet?

    Wir meinen, dass eine E-Mail allein nicht ausreicht, das Risikobewusstsein der Belegschaft zu bewerten. Umgekehrt ist die Aussagekraft bei vier E-Mails in einem überschaubaren Zeitraum sehr aussagekräftig. Es wird sichtbar, ob eine Lernkurve einsetzt, sprich: ob die Klickrate von E-Mail zu E-Mail kontinuierlich sinkt.

  4. Warum muss der Ansprechpartner für Trainstitute während der gesamten Übung verfügbar sein?

    Die Erfahrung zeigt, dass einige automatische Spam-Konfigurationen sich kontinuierlich ändern. So kann es sein, dass trotz erfolgreicher Absolvierung des Quality Gates, E-Mails vereinzelt doch im Spam-Ordner landen. Hier müssen wir dann gemeinsam mit dem Ansprechpartner gegensteuern.

  5. Braucht es einen Ansprechpartner für die Belegschaft während der Übung?

    Wir halten es für eine gute Idee, wenn (unabhängig von der Phishing Simulation) im Unternehmen ein Prozess etabliert ist, wenn Mitarbeitende verdächtige E-Mails erhalten und dies melden können.

  6. Können auch Sammel-E-Mail Adressen in der Übung teilnehmen?

    Technisch stellt dies kein Problem dar. Wir raten allerdings ab, denn es wird immer nur der “erste Klick” gezählt. Eine Messung, ob bei einer E-Mail an eine Sammel-Adresse einer oder mehrere oder alle Personen geklickt haben ist nicht möglich. Und wenn die Personen die E-Mail zweimal, nämlich einmal an die Sammel-Adresse und einmal an die eigene, spezifische E-Mail Adresse bekommen, sind sie vielleicht schon “vorgewarnt” und der Klick in der Sammel-Email Adresse wurde nur einmal gezählt.

  7. Ist eine regelmäßige Wiederholung der Übung sinnvoll?

    In einer Zeit ständiger Reizüberflutung kann es schwer sein, dass Risikobewusstsein dauerhaft hoch zu halten. Dazu braucht es regelmäßige Auffrischungen. Wir nennen es gern: Wissen ins Bewusstsein holen. Für die Übungen und für die Schulungen gilt gleichermaßen: Wiederholung ist die Mutter allen Lernens. Die Ergebnisberichte geben ein glaubwürdiges Abbild des Risikobewusstseins der Belegschaft im Berufsalltag.

  8. Sind die Berichte und Auswertungen GARANTIERT nicht auf Mitarbeiter-Ebene ausgewertet?

    Wir garantieren, dass Trainstitute – auch nicht auf Aufforderung – Berichte oder Aussagen zum Klickverhalten einzelner, namentlich genannter Personen macht. Wenn allerdings entweder alle oder kein einziger Mitarbeitender geklickt hat, sind natürlich “logische Schlüsse” möglich. Sollte kein einziger Mitarbeitender geklickt halten, wird sich vermutlich niemand beschweren. Sollten alle Mitarbeitenden geklickt haben, hat diese Firma unserer Erachtens “ganz andere Probleme”.

  9. Gibt es Unternehmen, die mit einer Klickrate von 0% abschließen?

    Ja, das gibt es. Es ist aber zugegebenermaßen eher die Ausnahme als die Regel. Mit freundlicher Erlaubnis der betroffenen Firma dürfen wir Namen nennen. Die WGH Hameln hat die Übung mehrfach durchgeführt und in einer Runde mit 0% Klick abgeschlossen (Siehe vdw-magazin 2021-05 Seite 52).

Info-Webinar / Anforderung Angebot