Intelligentes Phishing? – Intelligente Abwehr! Teil 3 – Mitarbeiterschulung durch eine Phishing-Awareness-Kampagne in Ihrem Unternehmen

veröffentlicht am 24.03.2022 

von Hannes Hahn, Rödl & Partner Köln, und Martin Gärthöffner

Auch weiterhin weisen die Untersuchungen zu Cybersicherheit, Angriffsmustern und das Verhalten von Angreifern eine weiter steigende Zahl von Angriffen aus. So gibt der “State of the Cybersecurity surveys Wave 4 Report” von Accenture eine Steigerung vom 31% wieder, mit einer gleichbleibenden Erfolgsrate von ca. 10% ist dies auch weiterhin ein für den Angreifer lohnendes Unterfangen​.

Im Vergleich dazu weist der „Data Breach Investigations Report” von Verizon für das Jahr 2021 einen klaren Fokus auf Social Engineering-Attacken und „Basic Web Application Attacks” aus.

In diesem Kontext bleibt der Fokus an die Unternehmensleitung auf einer fundierten Abwehrstrategie. Ein überaus wichtiges Element ist hierbei dem Begegnen der Schwachstelle Mitarbeiter. Wie der „Data Breach Investigations Report” zeigt, sind gerade der Mensch selbst sowie die ihm bekannten und vielfach verwendeten Zugangsdaten von maßgeblicher Bedeutung für erfolgreiches Eindringen.

Diesem begegnen Sie unter anderem mit den in den vorherigen Artikeln schon beschriebenen Maßnahmen. Allerdings bildet gerade für den Menschen ein schlüssiges und nachhaltiges Schulungskonzept das A und O der nachhaltigen Vorsorge.

Rödl & Partner bietet Ihnen ein mehrschichtiges Modell zur Verbesserung ihrer Resilienz gegen Phishing-Attacken. Ihre geschulten Mitarbeitenden, welche ganz bewusst mit dem Phishing-Versuch umzugehen wissen, werden rechtzeitig reagieren und somit einen Vorfall verhindern.
Die Bedeutung von regelmäßiger Schulung wird auch in Compliance-Frameworks wie die DSGVO und die ISO / IEC 27001 sowie CISIS12 / ISIS12, gewürdigt, welche eine regelmäßige Schulung der Mitarbeitenden zu IT-Sicherheitsthemen fordern.

Das Vorgehen bei einer Phishing-Awareness-Kampagne richtet sich konkret auf die bei Ihnen im Unternehmen gelebten Prozesse und Gegebenheiten aus. Es werden Phishing-Emails vorbereitet, welche die im Unternehmen als üblich empfangenen E-Mails nachempfinden. Wir versenden z. B. Log-in-Aufforderungen zu Systemen und Applikationen oder Imitationen von Systemmeldungen, welche bei Ihnen im Einsatz sind und den System- oder Herstelleräquivalenten täuschend ähneln. Reagiert der Mitarbeiter auf den Versuch, kann dieser statt einer Kompromittierung direkt bezüglich der Erkennungsmerkmale geschult werden. Phishing Mails können auch entweder so gestaltet werden, dass diese augenscheinlich von einem im Unternehmen als Vertrauensperson bekannten Absender zu kommen scheinen. Andere, aufgrund ihrer Position und Aufgaben im Unternehmen nach außen bekannte und für Angreifer wertvolle Mitarbeiter können mit Beispielen sogenannter Spear-Phishing Mails personifiziert angeschrieben werden, um auch so die Authentizität der E-Mail zu erhöhen.

Abbildung 1: Beispiel für eine nachempfundene E-Mail

Eine Phishing-Awareness-Kampagne ist langfristig angelegt. Die unterschiedlichen E-Mails werden nach Abstimmung in Wellen über mehrere Monate verteilt versendet. Nur so kann sich ein langfristiger Lerneffekt für die Mitarbeiter des Unternehmens einstellen. Ein abschließendes Reporting zeigt den Lernerfolg über den Zeitraum der Kampagne gegenüber der Unternehmensleitung aus.

Wir freuen uns, wenn Sie sich dazu entscheiden, der stetig steigenden Bedrohungen im Bereich Social Engineering und Phishing gemeinsam mit Rödl & Partner zu begegnen. Schreiben Sie uns an!