So setzen Sie Phishing-Simulationen als effektives Schulungstool ein
Phishing-Simulationen zählen zum Standardprodukt, wenn es darum geht, Cyber Security in einem Unternehmen umzusetzen. Doch oft werden solche Simulationen als Kontrollwerkzeug und weniger als Schulungsmaßnahme wahrgenommen. Wir zeigen Ihnen, wie Sie Phishing-Simulationen als effektives Schulungswerkzeug im Zuge von Awareness-Maßnahmen verwenden können.
Im Rahmen des strategischen ACR-Projektes „CyberSec“ haben wir uns ausgiebig mit dem Thema Phishing-Simulationen auseinandergesetzt. Wir haben Angebote verglichen und getestet, mit Cyber Security Verantwortlichen in KMUs gesprochen und Literaturrecherche betrieben. Unser Ziel: Wir wollten herausfinden, wie eine effektive Phishing-Simulation aussehen muss.
Unsere Erkenntnis: Phishing-Simulationen sind beliebt, sie sind einfach durchzuführen und skalierbar, dennoch wird zu selten das Beste aus solchen Simulationen geholt. Oftmals bewerben Cyber Security Unternehmen das Tool als Methode, um MitarbeiterInnen zu testen und bereits bestehende Schulungsmaßnahmen auf Ihre Effektivität zu überprüfen. Doch gerade in der Verknüpfung von Simulation, Schulung und Aktivierung der Teilnehmer:innen durch Gamification-Elemente liegt das große Nutzen dieses Tools.
Sicherheitsrelevante Barriere statt Sicherheitsrisiko
Als Best-Practice-Beispiel ist diesbezüglich das deutsche Unternehmen „SoSafe“ hervorzuheben, deren Phishing-Simulation in eine Awareness-Plattform mit Gamification Elementen eingebettet ist. In einem Whitepaper zum Thema Phishing-Simulationen betont das Unternehmen:
„Statt die Mitarbeiter […] als Risiko für die IT-Sicherheit eines Unternehmens einzuordnen, sollte eine Phishing-Simulation von der gegenteiligen Annahme getrieben sein: Der Mensch kann mit einem Bewusstsein für IT-Risiken und für den Umgang mit diesen eine zusätzliche, sicherheitsrelevante Barriere darstellen“.
Das Ziel von Schulungsmaßnamen sollte also das Stärken dieser „sicherheitsrelevanten Barrieren“ sein und nicht das Entlarven einzelner Mitarbeiter:innen als „Sicherheitsrisiko“.
Freiwilligkeit und Anonymität
Um diesen Ansatz auch beim Durchführen einer Phishing-Simulation beizubehalten, sind bestimmte Rahmenbedingungen notwendig:
- Freiwilligkeit: Eine freiwillige Teilnahme wird von der Belegschaft deutlich besser angenommen als „Zwangsbeglückungen“. Gestalten Sie die Phishing-Simulation daher möglichst attraktiv oder setzen Sie zusätzliche Anreize, um die Teilnahmequote zu erhöhen.
- Anonymität: Auch mit dem besten Absichten, ist es schwierig ein besonders schlechtes Abschneiden einzelner Mitarbeiter:innen nicht zu kommentieren. Daher empfehlen wir die Simulation anonym durchzuführen. So fühlt sich von vornherein niemand überwacht.
Schritt für Schritt zur gelungen Phishing-Simulation
-
Auswahl: Angebote gibt es viele, folgende Fragen können Ihnen dabei helfen das geeignete Tool zu finden: Kann die Simulation mit Schulungsmaterialien verknüpft werden? Ist eine anonyme Teilnahme möglich? Gibt es Gamification-Elemente, mit denen das Engagement der Teilnehmer:innen erhöht werden kann?
-
Technische Rahmenbedingungen: Stellen Sie sicher, dass die Phishing-Nachrichten bei den Teilnehmer:innen ankommen, indem Sie die IP-Adresse des Mailservers auf die Whitelist Ihrer Sicherheitssysteme setzen.
-
Ankündigung: Niemand wird gerne von vermeintlich gefährlichen Nachrichten überrascht. Das ruft Verunsicherung hervor und sinkt die Bereitschaft sich mit den Schulungsmaterialien auseinanderzusetzen. Betonen Sie im Vorfeld, dass es sich um eine Möglichkeit des Lernens und nicht um einen Test handelt – erklären Sie gleich zu Beginn wie Phishing-Nachrichten entlarvt werden können. Vergessen Sie außerdem nicht den ungefähren Zeitraum, den Umfang der Simulation sowie Ansprechpartner:innen bei Unklarheiten zu kommunizieren.
-
Durchführung: Lassen Sie die Simulation möglichst kontinuierlich laufen, da punktuelle Schulungsmaßnahmen schlechter im Gedächtnis hängen bleiben. Achten Sie auch darauf, welche E-Mails besonders geklickt werden und kommunizieren Sie erste Ergebnisse der Simulation in regelmäßigen Abständen. So bleibt das Interesse erhalten.
-
Nachbesprechung: Klären Sie an Ende einer Simulationskampagne auf, welche Nachrichten Sie verschickt haben und geben Sie einen Einblick in die Ergebnisse. Fassen Sie nochmal zusammen, wie man sich vor Phishing-Angriffen schützen kann.