Aktuelle Entwicklungen

Phishing-Simulation als Instrument zur Verhaltensänderung. Die Do's & Don'ts.

Die Phishing-Simulation gibt Ihrem Unternehmen einen Einblick in die Risiken von Phishing (Spoiler-Alarm: Sie sind gefährdet). Sie ist auch ein perfektes Instrument, um das Bewusstsein zu schärfen, die Mitarbeiter zu sensibilisieren und sie widerstandsfähiger gegen Phishing-Angriffe zu machen. Vorausgesetzt natürlich, es wird richtig gemacht! Gleichzeitig ist es wichtig, dass Sie die Unterstützung Ihrer Mitarbeiter erhalten und dass diese Ihre Bemühungen in Bezug auf das Sicherheitsbewusstsein verstehen und fördern.

Wenn Phishing-Simulationen falsch eingesetzt werden, kann dies den gegenteiligen Effekt bewirken. Die Mitarbeiter fühlen sich gehänselt oder nicht ernst genommen, und sie werden die Unterstützung versagen. Leider gibt es immer wieder Beispiele von Unternehmen, die mit einer Phishing-Simulation völlig daneben gelegen haben. Glücklicherweise überwiegt die Zahl positiver Fälle.

Um Ihnen dabei zu helfen, die Phishing-Simulation als strategisches Instrument zu nutzen, haben wir im Folgenden fünf Massnahmen aufgelistet, die Sie treffen sollten und fünf, die man vermeiden sollte.

07 feb Frau arbeitet am Laptop

Empfehlungen für eine erfolgreiche Phishing-Kampagne

1. Eine starke E-Mail zu Beginn der Kampagne

Zu Beginn der Phishing-Kampagne sollten Sie Ihre Mitarbeiter*innen mit einer klaren Botschaft wach rütteln. Mit einer aussagekräftigen E-Mail demonstrieren Sie die Notwendigkeit eines Programms zur Förderung des Sicherheitsbewusstseins und schaffen somit Akzeptanz bei Ihren Mitarbeitern. Darüber hinaus möchten Sie in Ihrem Unternehmen oder Ihrer Organisation so genau wie möglich und ungeschminkt über den aktuellen Stand der Gefahrenlage informieren. Beginnen Sie also nicht mit einer überdurchschnittlich schwierigen Spear-Phishing-Mail, auf die die meisten Mitarbeiter*innen ziemlich sicher hereinfallen. Ebenso sollte man nicht die einfachste Mail aussuchen, die beinahe jeder kennt. Die beste Mail zum Start liegt in der Mitte.

2. Vorankündigung der Phishing-Kampagne 

Kündigen Sie zu Beginn einer Sensibilisierungskampagne an, dass regelmäßig Phishing-Simulationen durchgeführt werden und warum dies für das Unternehmen wichtig ist. Auf diese Weise weiß jeder, was sie/er zu erwarten hat. Außerdem will niemand scheitern, so dass alle E-Mails künftig kritischer beurteilt werden. Schließlich könnte es sich ja auch um eine echte Phishing-E-Mail handeln. Auf diese Weise haben Sie bereits einen ersten Schritt in Richtung des gewünschten Erfolges getan: Sie haben ein höheres Maß an Wachsamkeit erzeugt.

3. Phishing-Simulation als Lernerfahrung

Fragen Sie sich, wie viel Wert eine Phishing-Simulation hat, wenn sie nur als Messinstrument verwendet wird. Damit die Phishing-Simulation ein wertvolles Instrument zur Bewusstseinsbildung ist, müssen die Mitarbeiter*innen etwas daraus lernen. Geben Sie denjenigen, die auf eine Landing Page geklickt haben, Hinweise zur Erkennung von Phishing-Mails und betonen Sie noch einmal, wie wichtig es ist, diesem Thema besondere Aufmerksamkeit zu schenken.

> Hinweise zur Erkennung von Phishing-Mails finden Sie hier.

4. Belohnen Sie Mitarbeiter *innen für das Melden von Phishing-Attacken

Wenn die Mitarbeiter beginnen, eingehende E-Mails kritischer zu betrachten, wird der Servicedesk oder die IT-Abteilung möglicherweise regelmäßig mit Phishing-Meldungen überschwemmt. Sorgen Sie dafür, dass diese nicht sofort im Papierkorb verschwinden, sondern bedanken Sie sich für die Meldungen. Ein Dankesschreiben sorgt dafür, dass sich die Mitarbeiter gehört fühlen und dass sie zu einem sicheren Arbeitsumfeld beitragen. Und beachten Sie, dass zwischen den Simulationen echte Phishing-E-Mails auftreten können...

5. Kommunizieren Sie die Ergebnisse

Transparenz ist eine wesentliche Voraussetzung für die Schaffung und Aufrechterhaltung der Unterstützung durch die Belegschaft. Informieren Sie die Mitarbeiter*innen daher regelmäßig über die erzielten Ergebnisse und darüber, was sie in der nächsten Zeit an Folgemaßnahmen erwarten können. Hinweis: Teilen Sie die Ergebnisse anonym mit. Nennen Sie keine Namen von Mitarbeitern, die falsch gehandelt haben.

Hinweise zur Vermeidung von Enttäuschungen

1. Keine übertriebenen Phishing-Mails

Das Erreichen einer möglichst hohen Klickrate sollte nicht das Ziel einer Phishing-Simulation sein. Es ist sehr einfach, eine Spear-Phishing-E-Mail mit einer Menge organisationsspezifischer Inhalte zu erstellen, auf die fast alle Benutzer klicken werden. Sie müssen den Mitarbeitern die Möglichkeit geben, sie als Phishing-Mails zu erkennen. Wir raten dazu, Phishing-Mails so allgemein wie möglich zu halten. Natürlich können Sie gelegentlich eine Spear-Phishing-Simulation versenden. Am besten, Sie lassen Sie diese Mails von einer externen Partei erstellen.

Es ist auch besser, Themen zu vermeiden, die sensible Bereiche berühren könnten. Heben Sie sich die schlimmen Methoden, die Kriminelle anwenden, für eine eventuelle Nachschulung auf. "Aber so machen es die Kriminellen doch auch, oder?” Ja, aber es gibt viele Möglichkeiten, die Mitarbeiter zu beeindrucken ohne sie zu verärgern. Mit einem falschen Ansatz schießen Sie über das Ziel hinaus - nämlich ein Bewusstsein zu schaffen und alle Nutzer wachsam zu halten. Denn so besteht die Möglichkeit, dass sich manche Mitarbeiter*innen weiteren Bemühungen um ein Sicherheitsbewusstsein widersetzen werden.

2. Mitarbeiter*innen nicht in Verlegenheit bringen

Es ist zu einfach, Mitarbeiter, die eine Phishing-Mail angeklickt haben, verantwortlich zu machen. Innerhalb der Organisation sollten Sie die Mitarbeiter*innen ermutigen, Hilfe zu suchen. Geben Sie Mitarbeitern, bei denen es Klick macht, nicht das Gefühl, dass sie versagt haben, indem Sie diese bloßstellen oder mit zusätzlichen Schulungen abstrafen. Wenn Sie so handeln, laufen Sie Gefahr, die Unterstützung zu verlieren. Das kann dazu führen, dass jene Kolleg*innen aus Angst vor den Konsequenzen in Zukunft (potenzielle) Vorfälle verschweigen.

3. Einmaliges Phishing oder zu häufiges Phishing

Eine einmalige Phishing-Simulation ist ein hervorragendes Mittel, um die Notwendigkeit eines Schulungsprogramms zu demonstrieren und das Sicherheitsbewusstsein auf die Tagesordnung der Geschäftsleitung zu setzen. Allerdings werden die Mitarbeiter*innen dadurch nicht auf Dauer das Verhalten ändern. In kürzester Zeit werden die meisten Beteiligten die Simulation vergessen haben und ihre Wachsamkeit wird wieder schwinden.

Phishen Sie allerdings auch nicht zu oft. Wenn Sie zu oft phishen, geraten Sie in die Irritationszone der Nutzer. Achten Sie auf eine ausgewogene Häufigkeit der Phishing-Simulationen. Wir raten unseren Kunden, im Schnitt alle zwei Monate eine Simulation in unregelmäßigen Abständen zu versenden.

4. Konzentrieren Sie sich nicht nur auf die Klickraten

Eine Phishing-Simulation ist eine hervorragende Methode, um den aktuellen Stand der Gefahrensituation im Unternehmen oder der Organisation zu messen. Sie ist aber nicht 100%ig wasserdicht. Personen, die nicht geklickt haben, sind möglicherweise nicht im Büro oder haben die E-Mail einfach übersehen. Bei Phishing-Simulationen spielt der Zufallsfaktor immer eine Rolle. Lassen Sie sich nicht von den Klickraten blenden und beobachten Sie die Anzahl der Meldungen, die beim Service Desk oder der IT-Abteilung eingehen. Stellen Sie fest, dass die Zahl der Meldungen im Laufe der Zeit zunimmt? Dann wissen Sie, dass die Phishing-Kampagne und der Rest des Programms Wirkung zeigen.

5. Phishing-Simulation ohne Nachschulung

Um Phishing erkennen zu können, benötigen die Mitarbeiter ein Grundwissen. Dieses Grundwissen muss allerdings regelmäßig aufgefrischt werden. Deshalb geht eine gute Phishing-Kampagne über eine einzelne Simulation hinaus. Führen Sie Schulungen zum Thema durch und nutzen Sie verschiedene Blickwinkel, um die Aufmerksamkeit und das Interesse der Mitarbeiter zu erhalten. Denken Sie z. B. an Grundschulungen, die sich mit Spielen und Wissenstests abwechseln. Oder berichten Sie von wahren Begebenheiten aus der Praxis (ohne dabei zu übertreiben).

Phishing-Simulationen von Awaretrain

Wir bieten mehrere Möglichkeiten für Phishing-Simulationen in Ihrem Unternehmen. Wir können die Kampagne für Sie verwalten, oder Sie können auch unsere Self-Service-Schulungs- und Phishing-Plattform nutzen. So behalten Sie die volle Kontrolle über die Phishing- und Schulungskampagnen.

Bitte nehmen Sie Kontakt mit uns auf, um die Möglichkeiten zu besprechen.

+49-6035-970 151 r.doerr@awaretrain.com

Entdecken Sie DIE Online-Plattform für Sicherheitsbewusstsein

Kostenlose Demo

Lesen Sie mehr

Sehen Sie sich unsere anderen Blogs und News-Artikel an.

Awaretrain erhält ISO 27001-Zertifizierung 08 dec
Awaretrain erhält ISO 27001-Zertifizierung Lesen Sie mehr
03 aug
Case Study | HORNBACH | Security Awareness ist keine einmalige Aktion Lesen Sie mehr
15 jul
Die Phishing-Mail-Checkliste. 9 Tipps zum Erkennen von Phishing. Lesen Sie mehr
Nachrichtenarchiv