Cyber Security ist zum Top-Thema für Unternehmen avanciert. Täglich landen mehr als drei Milliarden Phishing-Mails in den Posteingängen der Unternehmen. Der wichtigste Schutzschild gegen solche Angriffe sind geschulte Mitarbeiter. Materna führt im Auftrag von Kunden geplante Phishing-Kampagnen durch, um Mitarbeiter für diese Bedrohung zu sensibilisieren.
Die Erfahrung zeigt, dass 15 bis 20 Prozent aller Mitarbeiter auf Phishing-Mails hereinfallen, wenn sie nicht darin geschult wurden, Angriffe zu erkennen.
Geplante Phishing-Kampagnen finden in einem Zeitraum von etwa einem Jahr statt. Innerhalb dieser Zeit erhalten die Mitarbeiter gezielt vorbereitete Phishing-Mails in ihrem Posteingang. So lässt sich über einen längeren Zeitraum herausfinden, wie Mitarbeiter auf diese reagieren und wie sich das Bewusstsein dafür verändert hat bzw. im Laufe der Zeit geschärft hat. Mithilfe von Ergebnisanalysen lassen sich Maßnahmen ableiten und diese in Form von E-Learning vermitteln.
Eine Phishing-Kampagne beginnt zunächst mit einer Standortbestimmung und einer vorbereiteten Test-Phishing-Mail an die Mitarbeiter. Darin werden Mitarbeiter beispielsweise aufgefordert, auf die E-Mail zu antworten oder es wird alternativ ein sogenanntes CEO-Fraud-Szenario angewendet. Hierbei gaukelt der Absender eine falsche Identität vor, oft die eines Abteilungsleiters oder einer anderen Autoritätsperson, und fordert den Mitarbeiter zu verschiedenen Handlungen auf, etwa die Eingabe persönlicher Daten oder Kennungen.
Nach der Standortbestimmung wird ausgewertet, welche Organisationseinheiten auf die E-Mails hereingefallen sind, um so den individuellen Handlungsbedarf zu ermitteln und optimal anzupassen. Insgesamt besteht eine Phishing-Kampagne aus mehreren Schritten, sodass die Erkenntnisse aus vorherigen Standortbestimmungen einbezogen werden können.
Im Rahmen der Kampagne werden Phishing-Mails zu verschiedenen Zeiten an verschiedene Mitarbeiter an verschiedene Standorte gesendet. Jeder Mitarbeiter bekommt zwei bis vier Mails in unterschiedlichen Schwierigkeitsgraden. Beispielsweise werden Mitarbeiter direkt mit Namen angesprochen, Dateien werden angehängt, mit der Aufforderung, diese zu öffnen, oder es soll eine bestimmte Webseite angeklickt werden. Fällt der Mitarbeiter darauf herein, offenbart sich die Phishing-Kampagne als Test mit dem Hinweis, dass es eine gezielte Phishing-Mail war und an welchen Indikatoren sie hätte erkannt werden können. Mit einem Abstand von einem Jahr kann eine weitere Phishing-Kampagne gestartet werden, um den Reifegrad erneut zu prüfen. Zur Phishing-Kampagne gehört ebenfalls eine Art Alert Button, mit dem Mitarbeiter den Betrug melden können, wenn sie eine Phishing-Mail als solche enttarnt haben.
Materna wendet verschiedene Methoden im Rahmen der Phishing-Kampagne an, die auch ein echter Angreifer verwendet. Dazu gehört auch das Spear-Phishing. Hier besitzt der Angreifer bereits Informationen über das Opfer wie die persönliche E-Mail-Adresse, den Namen, die Abteilung und den Standort. Darüber hinaus gehend ermitteln Angreifer oftmals Informationen aus sozialen Netzwerken, auch als Social Engineering bezeichnet.
Soziale Netzwerke liefern weitere Informationen
Um sehr individuelle und realistische E-Mails und damit verbundene Landing Pages erstellen zu können, werden auch Informationen aus sozialen Netzwerken wie LinkedIn, Xing, Facebook oder WhatsApp in die Kampagnen eingebunden, ganz so wie es ein echter Hacker auch tun würde. Solche Informationen werden automatisiert oder manuell eingeholt und lassen die E-Mails sehr realistisch erscheinen.
Darüber hinaus werden oftmals auch Informationen aus öffentlichen Datenbanken bezogen und in die Phishing-Mails eingebunden. Auch Materna berücksichtigt dies bei den Kampagnen, um zu überprüfen, ob Daten oder Accounts schon einmal gehackt wurden und ggf. sogar schon im Darknet verfügbar sind. Bei manchen Accounts findet sich sogar das Passwort des Mitarbeiters im Klartext in den Datenbanken. Betroffene Mitarbeiter werden informiert, damit sie reagieren können, um beispielsweise Passworte ändern können.
E-Learnings begleiten Phishing-Kampagnen
Und wie passen Phishing-Kampagnen mit E-Learning zusammen? Phishing-Kampagnen werden von E-Learnings begleitet, die sie für das Thema sensibilisieren, um eine langfristige Verhaltensänderung zu bewirken. Wichtig ist dabei ist, zu motivieren und die emotionale Ebene des Lernenden zu aktivieren. Visuelle Medien wie Videos gestalten das Thema sehr ansprechend und werden gut vom Lernenden aufgenommen. Wichtig ist auch ein Medienmix, um den Teilnehmern immer wieder interessante Inhalte bieten zu können.
Hat ein Mitarbeiter innerhalb der Phishing-Kampagne beispielsweise auf eine Phishing-Mail reagiert und einen Link angeklickt, kann diese Mail direkt im E-Learning thematisiert werden. Um Informationen langfristig zu vertiefen, sind die Anwendung und Analyse wichtige Bausteine, um das gelernte Wissen auf sehr viele Situationen transferieren zu können.
Cyber Security ist ein bleibendes Thema und begleitet uns auch in die Zukunft. Schützen Sie sich und Ihre Organisation vor Angriffen.
