Friendly Phishing – Haben wir alles bedacht?

Tipps für die erfolgreiche Begleitung von Phishing Simulationen

Die Bedenken

Gleich vorab: Wir waren nie und sind noch immer keine großen Fans von Phishing-Kampagnen. Das liegt vor allem darin begründet, dass niemand gerne in eine gestellte Falle gelockt wird, und neben einem Grad von Betroffenheit oft auch Kollegen verärgert sind, wenn zu solchen Maßnahmen gegriffen wird. Ob das dieselben Kollegen und Kolleginnen sind, die kurz zuvor – wie bereits so oft – auf das präparierte Mail geklickt haben, ist an dieser Stelle nicht überliefert, wohl aber wahrscheinlich.

Der zweite wesentliche Grund ist, dass der Zeitpunkt der Phishing-Kampagne aus holistischer Awareness-Sicht oft nicht ideal gewählt ist: Der Einsatz einer solchen Maßnahme eignet sich oft besser NACHDEM das Thema geschult wurde bzw. wenn von Seiten der IT-Security bereits gute Schulungs-Angebot oder eine rege Mitarbeiter-Kommunikation vorliegt.

Als gegensätzliches Argument wird oft gegeben, dass durch das Ergebnis erst die notwendige Management-Attention entsteht. Das mag z.T. stimmen, seien Sie sich allerdings bewusst, dass es sich um eine invasive Maßnahme handelt, die ohne ausreichende Begleitung auch „verbrannte Erde“ hinterlässt – Nicht der Effekt, den ich haben möchte, wenn ich gerade dabei bin, das Vertrauen meiner Kollegen zu gewinnen.

Was spricht für den Einsatz von Phishing Tools?

Es gibt natürlich auch eine Latte von Gründen, die für den Einsatz von Phishing-Tools sprechen: Vorranging ist die Messbarkeit zu erwähnen. Phishing-Tests liefern Aussagen über die Click-Rate der Mitarbeiter bzw. auch über die Melde-Rate von Phishing-Mails und die Reaktionszeit, die dem Helpdesk bleiben zwischen dem Öffnen einer Mail durch Mitarbeiter und der Preisgabe von sensiblen Daten auf fingierten Portalen.

Solche Zahlen erfüllen in der Praxis – gemeinsam mit anderen vorhandenen Daten – die Anforderungen um Mitarbeiter-Awareness zu quantifizieren. Tatsächlich ist empirisch oft weit entscheidender welcher Betreff gewählt wurde, wie das Tagesmenü in der Kantine war und ob Freitag oder Dienstag ist. Grundsätzlich sind hier als Benchmark jedenfalls Öffnungs-Raten zwischen 10% und 30% zu erwarten. Der Zugriff erfolgt dabei in der Mehrzahl von Mobilgeräten

Tipps, für erfolgreiche Phishing-Kampagnen

  • Informieren Sie nur die minimal notwendigsten Personen im Unternehmen

Das ist im geringsten Fall zumindest der CISO sowie der Betriebsrat, den es unbedingt zu gewinnen gilt. Ob Sie den Vorstand oder den Helpdesk zusätzlich informieren hängt letztlich davon ab, ob hier gleichzeitig auch Prozesse und Response-Verhalten (Helpdesk) mitgetestet werden sollen.

  • Informieren Sie vorab – aber nur allgemein

Dies gilt sowohl für Vorstand, aber auch Ihre Kollegen ganz allgemein: Die Ankündigung, dass heuer Maßnahmen zum Thema Phishing geplant sind, sollte idR ausreichen um nachher Argumente, dass es vorab keine Informationen gegeben hat zu entkräften.

  • Wählen Sie unterschiedliche Templates und Versandzeitpunkte

Um aussagekräftige Resultate zu bekommen, sollte zumindest auf 3 unterschiedliche Templates und Aussende-Chargen zurückgegriffen werden. Das hilft um im Schnitt repräsentativere Resultate zu bekommen.

  • Wiederholen Sie den Test

Empfohlen wird eine Wiederholung nach einem Jahr bzw. halbjährlich. Wir haben auch vpn Unternehmen gehört, bei denen Phishing-Tests dauerhaft etabliert sind. Auch das ist gangbar, aber eine Gratwanderung: Nach anfänglichen Widerständen stellt sich eine Normalisierung ein. Ob das von den Mitarbeitern als sinnvoll und wertvoll oder eher als laufende Überwachung wahrgenommen wird, hängt dabei letztlich von der Unternehmenskultur ab.

  • Lösen Sie die Kampagne zufriedenstellend auf

Wie auch immer die Click-Raten und Reaktionen darauf waren – Das Informieren ex post über die Kampagne und die Notwendigkeit aufgrund der realen Bedrohungslage ist wichtig. Beschrieben Sie die Ergebnisse und stellen Sie diese in einen Kontext (z.B: Sehr zufriedenstellend – großes Lob; oder: die Ergebnisse erfordern weitere Maßnahmen). Wenn Sie den Betriebsrat gewonnen haben, und er gewillt ist, das Ergebnis und die dahinterliegende Notwendigkeit auch im Rahmen einer Betriebsversammlung zu publizieren – umso besser!

  • Bieten Sie anschließend Schulungs-Möglichkeiten an

Ob E-Learning-Modul, Broschüren, Poster oder Infoblätter: Sie sind jetzt auf dem Höhepunkt der Awareness für das Thema – Nutzen Sie dieses Moment um weiterführende Schulungsangebote nachreichen zu können. Diese sollten selbstredend bereits vor Kampagnen-Start miteingeplant sein.

Ressourcen

Übliche Phishing-Tools  finden Sie in den Lösungen von großen Anbietern wie Cofense (ehem. Phishme), Sophos oder Proofpoint. Wenn Sie Wert auf persönliche Betreuung und hohen Individualisierungsgrad legen, haben wir sehr gute Erfahrung in der Zusammenarbeit mit Florian Bogner (www.bee-itsecurity.at) gemacht.