Zum Hauptinhalt springen
Blogbeitrag

Simulierte Phishing-Kampagnen: Analyse aus verschiedenen Blickwinkeln

Phishing-Angriffe sind und bleiben unabhängig von der Größe einer Institution eine große Gefahr. Zunehmend gibt es Anbieter, die simulierte Phishing-Kampagnen bei Mitarbeitenden der beauftragenden Institution als Security-Awareness-Maßnahme durchführen oder Tools anbieten, um diese Kampagnen selbst in der Institution durchzuführen. Dier Beitrag diskutiert eine Reihe von Problemen, die mit solchen simulierten Phishing Kampagnen einher gehen.

Ziele und Arten simulierter Phishing-Kampagnen. Simulierte Phishing-Kampagnen können unterschiedliche Ziele verfolgen. Im Fokus dieses Beitrags steht das Ziel, eine Phishing-Nachricht als sogenanntes Teachable Moment zu nutzen, um Angestellte zu schulen. Hier wird davon ausgegangen, dass jemand, der auf eine simulierte Phishing-Nachricht hereinfällt, durch diese Erfahrung unmittelbar danach besonders aufnahmefähig für Phishing-Training-Maßnahmen ist. Aus diesem Grund erhält die Person genau dann, wenn sie sich in der Rolle des potenziellen Opfers befindet, Informationen zum Thema Phishing.

Simulierte Phishing-Kampagnen fokussieren häufig auf Phishing-E-Mails und lassen anderen Nachrichtenformen außer Acht. Sie unterscheiden sich hinsichtlich der Schwierigkeit, die Nachrichten als Phishing-Nachricht zu erkennen. Die Kampagne kann darüber hinaus entweder durch institutionsinterne Personen oder durch externe Dritte durchgeführt werden. Weitere wichtige Unterscheidungskriterien sind der Zeitraum der Durchführung und die Anzahl der in diesem Zeitraum versendeten Nachrichten.

Rechtliche Rahmenbedingungen. Aus rechtlicher Sicht ist zu beachten, dass der Personal- bzw. Betriebsrat in die Gestaltung der Kampagne mit einbezogen werden müssen. Außerdem ist abzuklären, dass die geplante Art der Information für die Mitarbeitenden und die Auswertung der erhobenen Daten arbeits- und datenschutzrechtlich zulässig ist. Es ist auch zu beachten, dass ein schlechtes Ergebnis einzelner Mitarbeitenden keine arbeitsrechtlichen Konsequenzen für diese haben darf. Außerdem müssen Urheber- und Markenrechte für die verwendeten E-Mails (theregister.com) beachtet werden.

Bezüglich der Information an die Mitarbeitenden im Vorfeld der simulierten Phishing Kampagne ist folgendes zu beachten: Umfangreiche Informationen vorab haben eine negative Auswirkung auf die Aussagekraft der Ergebnisse, da die Mitarbeitenden vorgewarnt sind. Bei zu wenige Informationen über die Kampagne fühlen sich Mitarbeitende oft überrumpelt oder vorgeführt, was das Vertrauen der Mitarbeitenden in die Institution reduzieren und letztendlich das Sicherheitsverhalten verschlechtern kann. Darüber hinaus können einzelner der im nächsten Abschnitt beschriebenen Security Probleme verstärkt werden.

Potenzielle Sicherheitsprobleme. Phishing-Kampagnen verfolgen im Allgemeinen das Ziel, das Sicherheitsniveau der Institution langfristig zu erhöhen. Doch insbesondere für den Zeitraum der Durchführung der Kampagnen setzen sie dieses herab. Dies gilt beispielsweise, wenn die Nachrichten von einem externen Dienstleistungsunternehmen verschickt werden und die automatische Security-Prüfung angepasst wird, damit diese Nachrichten bei den Mitarbeitenden ankommen. Ebenso problematisch ist es, wenn keine klaren IT-Sicherheitsmeldeprozesse in der Institution vorhanden sind, und wenn die Phishing-Kampagne und die damit verbundenen Aufgaben und Erwartungen an die Angestellten nicht klar kommuniziert wird, etwa dass sie bei jeglichen verdächtigen Nachrichten nicht mit dieser interagieren sollen. Viele Mitarbeitende klicken aus Neugier – weil sie eben wissen möchten, was denn eigentlich passiert, wenn man mit einer simulierten Phishing-Nachricht interagiert.

Vertrauens-, Fehler- und Sicherheitskultur. Bevor eine Phishing-Kampagne simuliert wird, sollten sich Institutionen der potenziellen negative, Auswirkungen für Produktivität und die Vertrauens-, Fehler- und Sicherheitskultur bewusst sein. Wenn z.B. simulierte Phishing-Nachrichten so aussehen als kämen sie von anderen Mitarbeitenden, kann sich dies negativ auf das Arbeitsklima auswirken. Wenn diese Art von Angriff aber nicht simuliert wird, hat das Ergebnis wenig Aussagekraft über die Anfälligkeit der Institution.

Wird die Kampagne nicht ausführlich angekündigt und wird nicht bereits vor der ersten simulierten Nachricht eine entsprechende Schulung angeboten, kann das Vertrauen in die Leitung der Institution Schaden nehmen, da dieses Vorgehen als unfair empfunden wird. Dies kann außerdem einige der Sicherheitsprobleme verschärfen. Darüber hinaus ist zu beachten, dass die Durchführung indirekt auch einen Einfluss auf die Produktivität hat: Mitarbeitende, die Angst haben, Fehler zu machen, werden verunsichert, und Fragen mehr nach – wodurch ihre Produktivität sinkt.

Der Vertrauensverlust wird besonders stark, wenn Phishing Nachrichten Belohnungen in Aussicht stellen, diese Erwartungen dann enttäuscht werden, und darüber hinaus auch noch Kritik geübt wird. Zusätzlich zum internen Vertrauensverlust zeigen immer mehr News-Beiträge (kreiszeitung.de, itpro.co.uk, latesthackingnews.com, washingtonpost.com, theguardian.co.uk), dass auch das externe Image der Institution leiden kann, wenn Mitarbeitende ihrem Ärger über soziale Netzwerke Luft machen und dies in den Medien berichtet wird – eine Institution, in der man gerne arbeiten würde, sieht anders aus.

Aussagekraft von simulierten Phishing-Kampagnen. Einer der wesentlichsten Einflussfaktoren auf die Aussagekraft von Phishing-Kampagnen ist der Umfang der Information, die die Mitarbeitenden erhalten. Unvermeidbar ist, dass ein Großteil der Mitarbeitenden in Erwartung einer Phishing-Nachricht skeptischer sein wird als üblich und häufiger die Meinung von Kollegen und Kolleginnen zu Rate zieht. Andere könnten dem Vorhaben gegenüber derart abgeneigt sein, dass sie absichtlich auf Phishing-Nachrichten eingehen – unter anderem damit dann aber auch auf nicht simulierte Phishing-Nachrichten. Beides senkt die Produktivität, die langfristig Kreativität und Innovation.

Eine andere wichtige Frage, noch ungeklärte Frage ist, ob der „Teachable Moment“ (heinz.cmu.edu) funktioniert, die Mitarbeitenden sich anschließend zum Thema Phishing informieren und die bereit gestellten Informationen überhaupt geeignet sind, echte Phishing-Nachrichten zu erkennen.

Darüber hinaus hängt die Aussagekraft einer simulierten Phishing-Kampagne von den simulierten Nachrichten ab. Um die Realität möglichst genau darzustellen, müssten die Simulationen wirkliche Angriffe abbilden. Dafür müssten jedoch wiederum Nachrichten von Angestellten und externen Anbietern verwendet werden, deren Nachteile bereits geschildert wurden.

Fazit. Zusammenfassend ist die Aussagekraft allgemein und insbesondere in konkreten Ausgestaltungsformen äußerst umstritten. Der Aufwand für eine Phishing-Kampagne ist hoch und die unterschiedlichen Kosten wiegen den ohnehin bisher nicht nachgewiesenem Nutzen nicht auf. Entsprechend wird empfohlen, andere Maßnahmen zur Steigerung der IT-Sicherheit umzusetzen (vdz.org). Nicht zuletzt ist es auch wichtig zu sehen, dass es im Kontext von Phishing immer reicht, wenn ein Mitarbeitender einen Fehler macht. Entsprechend ist eine bessere bzw. angemessene technische Absicherung für alle zielführender als die beschriebenen Kampagnen.

Eine ausführlichere Diskussion ist online verfügbar (kit.edu).

Diesen Beitrag haben Prof. Dr. Melanie Volkamer (KIT), Prof. Dr. Franziska Boehm (KIT) und Prof. Dr. Martina Angela Sasse beigesteuert (Ruhr-Universität Bochum) beigesteuert. Vielen Dank!

© Rawpixel.com - Shutterstock