Phishing-Abwehr: Entwicklung effektiver Trainingsprogramme für Mitarbeiter:innen

E-Mails sind das bevorzugte Einfallstor für Schadakteure. Eine Untersuchung von HP Wolf Security aus dem ersten Quartal des Jahres zeigt, dass 53 % aller Angriffe unter Verwendung von E-Mail-Phishing durchgeführt werden, um Malware zu verbreiten (HP Wolf Security – Report). Die Angreifer:innen zielen auf die „Schwachstelle“ Mensch.

Technische Lösungen zur Mitigation von Social-Engineering-Angriffen, wie z.B. E-Mail-Filter, sind unverzichtbar. Sicherheitsexpert:innen wissen jedoch auch, dass diese Produkte niemals eine vollumfassende Sicherheit garantieren können. Daher ist es umso wichtiger, dass Mitarbeiter:innen aufgeklärt sind. Ihre Kompetenz, einen Angriff zu identifizieren und beispielsweise eine schadhafte Email zu entlarven, kann über den Erfolg oder Misserfolg eines Angriffs entscheiden.

Wie befähige ich Mitarbeiter:innen, Social Engineering Angriffe zu erkennen und richtig zu handeln?

Phishing Awareness Training zielt darauf ab, das Bewusstsein der Mitarbeiter:innen gegenüber Social Engineering-Techniken zu stärken. Die Mitarbeiter:innen sollen verstehen:

Die Inhalte können in verschiedenen Formen und über verschiedene mediale Kanäle vermittelt werden. Unternehmen können digitale Self-Learning Kurse einkaufen oder selbst erstellen. Ebenfalls beliebt sind Videos. Neben digitalen Formen führen viele Unternehmen klassische Meetings oder Trainingssessions in Präsenz durch. Für welche Form ein Unternehmen sich entscheidet ist zweitrangig. Wichtiger ist, dass ein Training durchgeführt wird und dass es die Mitarbeiter:innen begeistern kann, mehr über das Thema Phishing erfahren zu wollen. Es empfiehlt sich, anschauliche und praxisnahe Beispiele einzubinden. Dadurch können die Mitarbeiter:innen den Grund der Übung nachvollziehen und die Inhalte besser in ihre alltägliche Arbeit übertragen. Zeigen Sie also Phishing Mails, die Ihr Unternehmen tatsächlich erhalten hat. Übungen schaffen zudem Interaktivität und können durch Gamification-Elemente noch spannender gestaltet werden. Ein gesundes Maß an Wettbewerb kann Mitarbeiter:innen dazu motivieren, sich stärker zu engagieren und Freude an der Aufgabe schaffen. Lassen Sie Ihre Mitarbeiter:innen beispielsweise selbst prüfen, ob eine echte oder eine Phishing-Mail vorliegt. Am Ende wollen Sie, dass die Mitarbeiter:innen mit einem positiven Eindruck aus dem Training gehen und dem Gefühl an etwas sehr Wichtigem mitwirken zu können.

Um zu überprüfen, wie wirksam das Awareness Training war, empfiehlt es sich eine Phishing-Kampagne zu simulieren. Das IT-Sicherheitsteam könnte auf Basis von öffentlich zugänglichen Informationen (z.B. LinkedIn) Phishing Mails erstellen und an die Mitarbeiter:innen versenden. Die E-Mails könnten dann dazu auffordern einen schadhaften Download-Link oder beigefügte Schaddatei zu öffnen. Eine solche Übung wird dazu führen, dass Mitarbeiter:innen den schadhaften Link oder die Datei öffnen werden. Sie wird Ihnen aber auch zeigen, wo Unwissenheit besteht und wie sie die Fähigkeiten Angriffe zu erkennen, verbessern können. Wichtig ist, dass die Mitarbeiter:innen nicht bestraft werden für fehlerhaftes Verhalten. Genauso wenig sollen Mitarbeiter:innen das Gefühl haben, bloßgestellt zu werden. Suchen Sie das Gespräch, versuchen Sie nachzuvollziehen, warum eine Mitarbeiter:in sich so verhalten hat und versuchen sie zu verdeutlichen, dass Phishing verschiedene Formen annimmt.

Die Kompetenz, Social-Engineering Angriffe zu erkennen und sich korrekt zu verhalten, braucht Übung. Deshalb ist es so wichtig, dass Awareness Trainings mehrfach im Jahr durchgeführt werden und entsprechend häufiger im Jahr Phishing Simulationen folgen. Durch Datenerhebung können Sie langfristig die Verbesserung dieser Kompetenz unter den Mitarbeiter:innen belegen.

E-Mail Phishing ist allgegenwertig. Die Kampagnen der Angreifer:innen werden stets raffinierter. Die „Schwachstelle“ Mensch soll ausgenutzt werden. Jedoch ist sie nur dann eine Schwachstelle, wenn sie aus Unwissenheit handelt. Die Investition in Phishing Training sollte damit in keinem Unternehmen zur Frage stehen. Schärfen Sie durch Trainings - egal welcher Form - das Bewusstsein für Social-Engineering-Angriffe bei ihren Mitarbeiter:innen und verdeutlichen Sie, wie wichtig die Mitarbeit jedes Einzelnen bei dieser Aufgabe ist. Wenn sie dies auf eine motivierende Weise schaffen, werden es Angreifer:innen deutlich schwerer haben.

Complion bietet neben weiteren Leistungen im Bereich Cybersecurity auch die Durchführung von Phishing Awareness Trainings an. Sollten Sie an unseren Dienstleistungen im Bereich Cybersecurity interessiert sein, kontaktieren Sie uns einfach hier: mail@complion.de

Verfasser: Jan Philipsen