Verhaltensänderungen durch Phishing-Simulationstraining

Originalartikel von Nick Ross, Security Engineer Trend Micro UK

Der Mensch ist das schwächste Glied in der Kette der Cybersicherheit – mittlerweile ein Allgemeinplatz. Daher dürfte es nicht überraschen, dass Cyberkriminelle bei der überwiegenden Mehrheit der Ransomware-Kampagnen auf Social-Engineering-Techniken zurückgreifen, um diese Schwachstelle, den Einzelnen also, auszunutzen. Ein Großteil der Angriffe beginnt mit einer Phishing-Mail. Aus diesem Grund suchen viele Unternehmen nach Produkten und Dienstleistungen, die dieses nicht unerhebliche Cyberrisiko eindämmen können.  Tatsächlich hat sich dieser Bereich zu einem florierenden Segment des Cybersicherheitsmarkts entwickelt, und Gartner einen Magic Quadrant für Sicherheitsschulungen erstellt hat, um Anbieter und ihre Produkte zu bewerten. Wie sehen also Best-Practice-Schulungsprogramme für Mitarbeiter aus?

Erste Schritte

Schulungen zur Sensibilisierung (Awareness) für Phishing sollten als Programm zur kontinuierlichen beruflichen Weiterentwicklung angesehen werden und nicht nur als punktuelle Pflichtübung oder etwas für Neueinsteiger. Doch bevor eine erste Phishing-Simulation auf den Weg gebracht werden kann, bedarf es eines Plans, der bestimmte Punkte berücksichtigt. Für wen ist die Schulung gedacht? Vielleicht sind unterschiedliche Kampagnen für verschiedene Abteilungen erforderlich. Welche Schulungskampagnen werden verwendet, und wie häufig werden sie durchgeführt? Sollen die Ergebnisse aufgezeichnet und der Erfolg dokumentiert werden? Diese Fragen gilt es erst zu beantworten.

Zudem sollten Sie Folgendes beachten:

  1. Kündigen Sie das Programm vor der Durchführung allen Nutzern an, da die Bereitschaft der Mitarbeiter der Schlüssel zu einer effektiven Schulung ist. Teilen Sie per Mail mit, was Sie vorhaben und warum.
  2. Ermitteln Sie den allgemeinen Kenntnisstand der Betroffenen, indem Sie mit allen Benutzern eine Basisbeurteilung durchführen, wobei Sie alles vermeiden sollten, was zu fortgeschritten ist.
  3. Teilen Sie die Ergebnisse dieses Tests mit und ermitteln Sie die verräterischen Phishing-Anzeichen, die die Benutzer hätten erkennen müssen.
  4. Vermeiden Sie bei allen Nachrichten den Eindruck, Sie wollten die Leute überrumpeln. Es geht darum, eine Unternehmenskultur zu schaffen, in der sich die Mitarbeiter sicher fühlen, potenzielle Phishing-Vorfälle zu melden.
  5. Erwägen Sie die Einführung eines Belohnungssystems, um Anreize für die Meldung verdächtiger Mails zu schaffen.

Weitergehende Schritte

Meistens ist es sinnvoll, mit den Simulationen einen Schritt weiterzugehen. Doch seien Sie nicht vorhersehbar. Vermeiden Sie leicht erkennbare Muster, z. B. den Start von Kampagnen am Ersten eines jeden Monats oder die Verwendung derselben Vorlage in aufeinanderfolgenden Quartalen. Wenn Sie die Nutzer im Ungewissen lassen, erhalten Sie die realistischsten Bewertungen. Denken Sie auch daran, dass Sie die Angreifer imitieren. Und die machen sich oft ereignisbedingte Trends zunutze. Februar, März und April etwa eignen sich daher hervorragend für eine Simulation zum Thema Steuern. Ebenso sind November und Dezember ideal für Angriffssimulationen bezüglich des elektronischen Handels. Denken Sie über den Zeitpunkt der Kampagnen nach, um ihre Wirksamkeit zu maximieren.

Unternehmen dürfen sich beim Schutz ihrer kritischen IT-Systeme nicht einfach auf die Awareness der Nutzer verlassen. Wurde die Mail-Infrastruktur in die Cloud verlagert (z. B. Microsoft 365 oder Google Workspace), müssen die Verantwortlichen überlegen, wie sie diese in der Cloud gehosteten Postfächer scannen. Herkömmliche Mail-Gateway-Produkte sind nach wie vor unverzichtbar, wenn es darum geht, eingehende Bedrohungen zu blockieren und zu verhindern, dass kompromittierte Rechner schädliche Inhalte versenden. Aber was ist mit Nachrichten, die das Unternehmen nicht verlassen?

Werden nur ein- und ausgehende Nachrichten gescannt, besteht die Gefahr, dass bösartige Mails, die innerhalb des Unternehmens im Umlauf sind, unentdeckt bleiben. Dies ist vor allem dann eine Herausforderung, wenn das Unternehmen eine BYOD-Richtlinie (Bring Your Own Device) hat oder nicht verwalteten Geräten den Zugriff auf die Cloud-Mail-Plattform des Unternehmens erlaubt. Es gibt keine Möglichkeit, herauszufinden, welche Schädlinge diese Geräte beherbergen könnten.

Lösungen

Trend Micro bietet ein Tool, das bei Ihrem Phishing-Simulationsprogramm unterstützen kann: die kostenlose Plattform PhishInsight. Sie ist intuitiv und enthält umfassende Inhalte, um realistische Phishing-Kampagnen für Mitarbeiter zu simulieren. Außerdem lässt sie sich in Active Directory integrieren, sodass die Einbindung von Benutzern einfach ist. Und sie unterstützt mehrere Mail-Domänen, was insbesondere für größere und komplexere Unternehmen praktisch ist.

Trend Micro schützt Benutzer vor Bedrohungen, die den integrierten Schutz von Cloud-basierten Mail-Anbietern umgehen. Allein im Jahr 2020 blockierte Trend Micro Cloud App Security 16,7 Millionen bösartige Mails, die von Microsoft 365 und Google Workspace übersehen wurden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.