Effektivität von Awareness Training: Phishing Simulation als Mittel der Wahl?

Awareness Training
Phishing Simulationen werden mittlerweile in vielen Unternehmen für Security Awareness Trainings eingesetzt. Obwohl man vorsichtig mit ihnen umgehen muss, entscheiden sich viele Informationssicherheitsbeauftragte (IT-SiBe) und CISO dennoch dafür. Warum?

Phishing Simulation als Teil von Awareness Training

Phishing Simulationen werden teilweise kontrovers diskutiert. Schlecht vorbereitete Phishing Simulationen können problematisch werden. Dennoch kommen wissenschaftliche Studien wie Franz 2020Williams 2018 oder Linus Neumann beim CCC 2019 zu dem Ergebnis, dass Phishing Simulationen positive Effekte auf das Sicherheitsverhalten von Mitarbeitern haben und einen wichtigen Baustein für Awareness Trainings darstellen.

In diesem Blogbeitrag zu einer Customer Fail Story haben wir bereits die wichtigsten Herausforderungen und Erkenntnisse beim Einsatz von Phishing Simulationen beschrieben. Bevor Sie das Thema angehen, raten wir Ihnen zunächst diesen zu Blogbeitrag zu lesen, denn mit den beschriebenen Tipps sind Sie auf der sicheren Seite.

Basierend auf den Erkenntnissen wissenschaftlicher Forschung setzen auch wir von IT-Seal in unseren automatisierten Awareness Trainings seit Jahren auf Spear Phishing Simulationen als einen Baustein. Immer wieder konnten wir den Stand der Forschung erweitern, neue Erkenntnisse gewinnen und so den Ablauf und die Inhalte der Awareness Trainings optimieren. Auf die Phishing Simulationen verzichten wir heute nur noch ungern, da die Vorteile und Stärken dieses Bausteins kaum mit anderen Lernmethoden ausgeglichen werden können.

5 gute Gründe für Phishing Simulationen im Rahmen von Awareness Training

Mit der direkten Betroffenheit des klickenden Anwenders auf eine simulierte Phishing-Mail lässt sich das Mindset “Ich werde eh nicht angegriffen” am besten überwinden. Live-Hackings gehen zwar in eine ähnliche Richtung, agieren jedoch in einer künstlichen Umgebung, die von Anwendern nur selten auf ihren Alltag übertragen werden. Damit bieten Phishing Simulationen eine starke Basis, um die Sicherheitskultur im Unternehmen zu stärken. Nachdem Mitarbeiter, Führungskräfte und Geschäftsführung einmal auf eine Phishing-E-Mail hereingefallen sind, verstehen sie besser, wie wichtig das Awareness Training ist. Dies erhöht anschließend die Bereitschaft, sich mit weiteren Lerninhalten zu beschäftigen und den Stellenwert und die Wichtigkeit des IT-SiBe zu erkennen und wertzuschätzen.

Der Lernmoment, nachdem auf eine Phishing-E-Mail geklickt wurde, kann dazu genutzt werden, interaktive und relevante Lerninhalte in einem Moment hoher Motivation und Aufmerksamkeit zu vermitteln. So wird bei einem gut gemachten Awareness Training noch einmal die Phishing-E-Mail angezeigt, auf die der Anwender eben geklickt hat. Der Anwender kann dann in seinem eigenen Tempo Schritt für Schritt die Phishing-E-Mail durchgehen, um zu lernen, wie er beim nächsten Mal den Angriff enttarnen kann.

Durch das minimalinvasive Training müssen Anwender nur wenig Zeit für das Awareness Training aufwenden. Die Anwender können sich so voll und ganz auf ihre eigentliche Arbeit konzentrieren und investieren lediglich bei Bedarf ein bis drei Minuten, um aus ihrem Fehler zu lernen und beim nächsten, potenziell echten Angriff, richtig zu reagieren.

In den Alltag integrierte Phishing Simulationen führen dazu, dass Anwender ihre Aufmerksamkeit hochhalten und die erlernten Fähigkeiten in den Momenten aktivieren, in denen sie notwendig sind. Statt in künstliche Settings (bspw. bei E-Learnings oder Online-Seminaren) die Fähigkeiten zu trainieren und anschließend in den Kontext des E-Mail-Postfachs zu transferieren, werden sie direkt im richtigen Kontext trainiert und immer wieder nachgeschärft.

Darüber hinaus können die Ergebnisse standardisiert gemessen und verglichen werden. So lässt sich in der IT-Sicherheit erstmals wirklich überprüfen und nachweisen, wie sicher ein Unternehmen ist – wo Schwachstellen liegen, ob das aktuelle Niveau ausreicht und welche Fortschritte erzielt wurden. Diese Kennzahl ist nicht nur für den IT-SiBe und seine Planung wichtig, sondern auch für die Kommunikation mit den Mitarbeitern, Führungskräften und der Geschäftsführung essenziell. So kann leicht dargelegt werden, warum es wichtig ist, dass man weiter Geld in das Thema investiert, technische Einschränkungen vornimmt und jeder Anwender ein paar Minuten Zeit dafür einräumen sollte.

Sicherheitskultur etablieren: Den Kontext von Awareness Training betrachten

Letztlich hat ein Awareness Training immer zum Ziel, das Verhalten der Anwender zu verändern und mehr Sicherheit im Unternehmen zu erreichen. Um dies im Alltag nachhaltig zu schaffen, ist nicht nur ein Awareness Training, sondern eine nachhaltige Sicherheitskultur nötig.

Eine gute Sicherheitskultur muss das richtige Mindset und Skillset der Anwender stärken, sowie benutzbare und sichere Tools und Prozesse im Unternehmen bieten. Phishing Simulationen prägen das Mindset und Skillset der Anwender nachhaltig, um ein sicheres Verhalten zu bewirken. In Kombination mit einem Reporter Button können darüber hinaus einfache und zuverlässige Prozesse umgesetzt werden, um das sichere Verhalten im Alltag zu verankern.

Dabei ist klar: Phishing Simulationen alleine sind kein Allheilmittel. Das Mindset, Skillset und Toolset muss über verschiedene Kanäle geschärft werden. Trainingskonzepte aus Präsenzschulungen, Online-Seminaren, Awareness Materialien, Phishing Simulationen, E-Learning Modulen und Kurzvideos gehören daher bei jedem Awareness Training zum Standard. Der richtige Einsatz der Stärken und Vorzüge der verschiedenen Lernmodule sorgen dafür, dass ein Awareness Programm erfolgreich wird.

 

Über IT-Seal:

Die IT-Seal Awareness Engine berücksichtigt all dies und sorgt für einen einfachen und verlässlichen Workflow, um Ihre Anwender bedarfsorientiert und zuverlässig zu trainieren. Im Rahmen der Awareness Academy können IT-Sicherheitsverantwortliche ihr Ziel-Niveau auswählen – die Awareness Engine kümmert sich anschließend darum, dass das Niveau erreicht und dauerhaft gehalten wird.

Sie wünschen sich Unterstützung bei Awareness Training oder hätten gerne weitere Informationen zu unserer Phishing Simulation? Wir helfen gerne: Vereinbaren Sie einen Termin!