« zurück

Cyber-Security-Awareness messbar machen – Best-Practices und Data-Stories aus Phishing-Simulationen in Unternehmen

Firmen und Ihre Mitarbeiter stehen im Fokus von Betrügern und Hackern. Dabei geht es schon lange nicht mehr nur um Kontodaten. So beginnt z.B. auch der Großteil digitaler Wirtschaftsspionage mit einer Phishing-E-Mail. Hierdurch entsteht alleine in Deutschland ein jährlicher Schaden von 5,6 Mrd. Euro. Technische Schutzmöglichkeiten vor Hacking-Angriffen oder Spam-Mailings werden zwar immer effektiver. Trotzdem gelangen auch mit den besten Filtern und Firewalls durchschnittlich drei schadhafte Mails pro Jahr in die Postfächer von Mitarbeitern deutscher Unternehmen. Zu den hauptsächlichen Gründen für die hohe, o.g. Schadenssumme heißt es daher in einer Studie des wik: “Irrtum, Nachlässigkeit oder Unwissenheit der eigenen Mitarbeiter gelten heute als Hauptursache für Schadensfälle”. Hinzu kommt, dass zeit- und ressourcenaufwändige Taktiken wie Spear-Phishing und Voice-Phishing verstärkt zunehmen, was demonstriert, dass die Akteure aufgrund der lukrativen Erfolgsaussichten bereit sind, ihre Angriffe immer weiter zu verfeinern.

In diesem Kontext gewinnt das Thema Mitarbeiter-Awareness enorm an Bedeutung. Moderne Awareness-Programme sollten hier nicht nur Wissen vermitteln, sondern auch die Übersetzung in tägliches Handeln fördern. In der jüngeren Vergangenheit haben daher praktische Awareness-Methoden immer mehr an Bedeutung gewonnen – hier insbesondere die Simulation von Phishing-Angriffen auf alle Mitarbeiter.

Die Vorteile von Phishing-Simulationen als Bestandteil einer ganzheitlichen Awareness-Strategie liegen auf der Hand: (1) Mitarbeiter müssen sich nicht dediziert Zeit im Kalender blocken, um z.B. an einem Seminar oder einem eLearning teilzunehmen, was eine breitere Einbeziehung aller Mitarbeitergruppen ermöglicht. (2) Das Lernen erfolgt „inzidentell“ und in einem realistischen Kontext, dort wo es relevant ist: im Mailprogramm. (3) Simulationen ermöglichen es, das Awareness-Level der Organisation messbar zu machen. Gerade dieser letzte Punkt wird durch Forderungen nach messbaren Methoden, wie sie z.B. in der ISO 27001 formuliert werden, immer wichtiger.

Im Rahmen des Vortrags würden wir daher gerne aus unserem breiten Datenschatz berichten, den wir im Zuge von zahlreichen Awareness-Projekten und durch unsere Kundenbasis aufbauen konnten. Insbesondere möchten wir Benchmark-Zahlen über verschiedene Branchen und interne Funktionen hinweg präsentieren, also z.B. durchschnittliche Klick- und Interaktionsraten in Organisationen aus dem Gesundheitswesen, der Produktion, im KRITIS-Bereich oder im Finanzwesen bzw. in Personal-, Finance- oder IT-Abteilungen sowie dem Management. Weiterhin möchten wir auf die psychologischen Taktiken eingehen, die „Phisher“ verwenden (z.B. Gier oder Druck) und welche besonders erfolgreich sind.

Gleichzeitig möchten wir Best-Practices i.S.v. „Do’s and Don’ts“ vermitteln – denn immer mehr Firmen denken darüber nach, Phishing-Simulations-Kampagnen (ob intern oder mit externer Unterstützung) durchzuführen. Durch den hohen Einfluss, den eine solche Kampagne aber auf die Organisation haben kann, gilt es verschiedene Punkte zu beachten, beispielsweise die Einbindung des Betriebsrates (hier haben wir umfangreiche Erfahrungen aus Organisationen unterschiedlicher Größen), Aspekte des Datenschutzes bei der Messung, die Vorankündigung einer solchen Kampagne und – noch wichtiger – die nachbereitende Kommunikation und Ableitung von Maßnahmen.

Download