Phishing Simulation und Flurfunk: Bloß nicht erwischt werden!

Wenn Sie wie ich in Bayern Abitur gemacht haben, ist Ihnen vielleicht die Abkürzung „Ex“ bekannt. Sie steht für „Extemporale“, auf hochdeutsch „Stegreifaufgabe“ und war während meiner gesamten Schulzeit der Schrecken aller (schlecht vorbereiteten) Schüler. Denn eine „Ex“ ist ein unangekündigter Kurztest über den Stoff der letzten beiden Schulstunden, der in die Bewertung des Gesamtschuljahrs einging.

Phishing Simulation und Flurfunk

Die einzige Möglichkeit, wenigstens ein bisschen Vorlaufzeit – zumindest zum Erstellen des dringend benötigten Spickzettels – zu erhalten, bestand in unserer Schule darin, einen Mitschüler nach der großen Pause in der Nähe des damals einzigen Kopierers am Lehrerzimmer zu platzieren. Denn dort vervielfältigten die Lehrer in der Regel die „Ex“-Testbögen für die nachfolgenden Schulstunden. Stand also ein Lehrer/eine Lehrerin nach der Pause am Kopierer, den man nach der Pause noch hatte, so war zumindest die Wahrscheinlichkeit gegeben, dass eine „Ex“ drohte.

Ich muss gestehen, dass dieses Konzept nur selten erfolgreich war, dennoch gab es uns Schülern die Hoffnung, wenigstens irgendetwas gegen die drohende Pleite tun zu können.

Weshalb ich Ihnen diese Anekdote erzähle? Vor einiger Zeit unterhielt ich mich, mit einem IT-Verantwortlichen eines kleinen Maschinenbauunternehmens, der mir erzählte, dass er im letzten Jahr „Phishing-Simulationen“ als Security Awareness-Maßnahme eingeführt hätte, dies aber nach einigen Simulationen wieder eingestellt hätte. Denn irgendwie hatte der „Flurfunk“ im Unternehmen immer dann angeschlagen, wenn eine neue Simulation anstand. Es wurden wohl sogar private Messenger-Dienste genutzt, um die Information weiterzugeben. Ergebnis: Niemand fiel mehr auf die (simulierte) Phishing-Attacke rein. Lerneffekt gleich null!

Es liegt wohl in der Natur des Menschen, alles zu tun, um nicht als derjenige aufzufallen, der „Mist gebaut“ hat. Im Webinar am Freitag erzähle ich von unserem eigenen Cyberangriff. Die Kollegin, die damals auf den Phishing-Link geklickt hat, arbeitet noch heute für uns, möchte aber bis heute nicht mehr an diesen Vorfall erinnert werden. Allerdings gehört sie zu den eifrigsten Verfechtern aller Security Awareness-Maßnahmen, die wir seitdem eingeführt haben.

Die größte Herausforderung liegt wohl in der Tat darin, dem „Risikofaktor Mensch“ klar zu machen, dass es nichts nützt, wenn er Maßnahmen torpediert, die genau diesen „Risikofaktor Mensch“ adressieren. Dies gilt übrigens nicht nur für die Kolleginnen und Kollegen in den Fachabteilungen. Auf einer Veranstaltung erzählte mir ein IT-Leiter in einem mittelständischen Großhandelsunternehmen, dass die Geschäftsleitung zwar positiv auf die Idee von Phishing-Simulationen reagiert hat, sich es aber verbittet, selbst in den entsprechenden E-Mail-Verteiler aufgenommen zu werden, da dies ja der eigenen Reputation schadet. Stellen Sie sich nur vor, der Chef gehört zu denjenigen, die auf so eine Phishing-Simulation reinfallen …

Security Awareness Toolbox: Umfangreiche Auswahl von Beispielen für aktuelle Phishing-E-Mail-Attacken

In der Security Awareness Toolbox haben wir für Sie eine Auswahl von Beispielen aktueller Phishing-E-Mail-Attacken zusammengestellt. Es handelt sich dabei um reale Beispiele

  • kategorisiert nach Schwierigkeitsgrad und Zielgruppe
  • mit Erkennungsmerkmalen und
  • konkreten Handlungsempfehlungen für deren Abwehr

Sie können diese Beispiele einfach aus der Security Awareness Toolbox herunterladen, an die entsprechenden Kolleginnen und Kollegen weiterleiten und dann beim nächsten Team oder Abteilungsmeeting besprechen.

Und wenn Sie sich dann dazu entscheiden, selbst eine Phishing Simulation durchzuführen, eignen sich die Beispiele hervorragend als Vorlage für eine Simulation.

Der einfache Einstieg : Simulation mit Newsletter-Tools

Für eine professionelle Phishing-Simulation benötigen Sie in der Regel eine professionelle Phishing-Lösung oder die Unterstützung eines externen Dienstleisters. In der Security Awareness Toolbox finden Sie dazu eine entsprechende Checkliste zur Vorbereitung, Durchführung und Auswertung von Phishing Simulationen.

Der Einstieg ist aber auch mit handelsüblichen E-Mail-Newsletter-Tools wie z.B. CleverReach, Brevo, etc. möglich:

Schritt 1: Erstellen Sie eine Phishing Test-E-Mail (z.B. „Ihr Office 365-Passwort läuft ab“)
Schritt 2: Integrieren Sie Tracking-Links (Klicks auf den entsprechenden Link)
Schritt 3: Erstellen Sie eine Landing Page mit dem Hinweis, dass es sich lediglich um einen Test handelte und wie die Phishing E-Mail zu erkennen gewesen wäre (auch dazu können Sie gerne auf die Informationen aus der Security Awareness Toolbox zurückgreifen)
Schritt 4: Werten Sie die Ergebnisse (Öffnungsrate/Klickrate) aus (nach 24-48 Stunden)

Eine noch detailliertere Checkliste zur Planung und Umsetzung einer Phishing Simulation mit einem Newsletter-Tool finden Sie ebenfalls in der Security Awareness Toolbox.

Guided Tour: Wagen Sie einen Blick hinter die Kulissen der Security Awareness Toolbox