Spear-Phishing-Angriffe – eine akute Bedrohung

Gerade in Zeiten von Corona machen sich Angreifer verstärkt die „Schwachstelle Mensch“ zunutze und zielen mit verschiedenen Manipulationstechniken darauf ab, Passwörter, Daten oder große Geldsummen zu erbeuten (siehe Presseberichte hier oder hier). Vor einigen Jahren noch waren die Angriffe der Cyberkriminellen ungezielt und unausgereift. Eine unspezifische Phishing-E-Mail, wie beispielsweise eine gefälschte Amazon-Rechnung, wurde mit einer generischen Ansprache an unzählige Empfänger versendet. Heutzutage machen sich die Angreifer jedoch eine Vielzahl von Informationen zunutze, die sie online über die Zielperson einsehen können. Diese Informationen gewinnen sie über soziale Medien wie XING, LinkedIn oder auch Facebook und können sie mit Leichtigkeit für gezielte Spear-Phishing-Angriffe verwenden. Genau das macht diese Angriffe so schwer erkennbar.

Security Awareness Trainings: realitätsnah & regelmäßig schulen

Deshalb stellt sich die Frage, wie Anwender am besten auf gezielte und gut durchdachte Angriffe vorbereitet werden können. Häufig sind es im Alltag angewöhnte Automatismen, die zu gefährlichen Situationen führen. Zunächst einmal ist es daher wichtig zu verstehen, wie Anwender ihre Gewohnheiten dauerhaft ändern können. Philippa Lally und ihr Team vom University College London (Lally, van Jaarsveld, Potts & Wardle, 2010) zeigten, dass es ca. 20-66 Tage der Wiederholung benötigt, bis eine Gewohnheit automatisch abläuft, wobei komplexe Vorhaben mehr Zeit benötigen. Für die Teilnehmer wird es also erst nach einiger Zeit der Wiederholungen zum Alltag, E-Mails kritisch zu überprüfen und Auffälligkeiten festzustellen.

Wie lässt sich Security Awareness trainieren?

Eine der klassischen Methoden zur Wissensvermittlung ist die Präsenzschulung, die den Vorteil hat, alle Teilnehmer direkt einbinden zu können. Klare Minuspunkte ergeben sich jedoch bei der Zeiteffizienz und der Skalierbarkeit. Weiterhin genügt die Frequentierung der Lerninhalte nicht, um eine Verhaltensänderung der Teilnehmer zu bewirken: Selbst bei einem packenden und informativem Training hat nach wenigen Wochen der Alltag wieder überhand gewonnen und die guten Vorsätze sind dahin. Hinzu kommt, dass in Zeiten von Corona Präsenzschulungen aufgrund der Gesundheitsrisiken nicht oder nur in geringem Umfang stattfinden können.

Neben Präsenzschulungen bieten sich E-Learning-Module oder Webinare an, um für Grundwissen bei den Teilnehmern zu sorgen. Diese Maßnahme punktet deutlich bei der Skalierbarkeit und kann deshalb regelmäßig für einen „Stubser“ in die richtige Richtung bei den verschiedensten Themen sorgen. Zudem sind diese digitalen Lernveranstaltungen auch in Homeoffice-Zeiten gut umsetzbar. Jedoch erfährt das Unternehmen auch bei dieser Maßnahme nicht, wie die Mitarbeiter im Alltag mit Phishing-Angriffen umgehen – somit bleibt im Dunkeln, ob die durchgeführten Maßnahmen bereits ausreichen oder weitere Aktivitäten notwendig sind.

Die Tabelle zeigt die Vor- und Nachteile verschiedener Security-Awareness-Maßnahmen auf.

Die Möglichkeit der Phishing-Simulation führt eine Wissensvermittlung und Verhaltensänderung der Teilnehmer herbei. Hierbei handelt es sich um regelmäßig wiederkehrende Herausforderungen im Arbeitsalltag und der Nutzung des „most teachable moments“.  Zudem ermöglicht die Simulation die Messung der Awareness und somit einen Nachweis zur Wirksamkeit der Maßnahme und zum aktuellen Sicherheitsniveau. Der Nachteil, dass hier der Fokus nur auf Phishing-Angriffen liegt, kann ausgeglichen werden, indem diese Maßnahme mit E-Learnings und/oder Präsenzschulungen kombiniert wird. Potentielle Probleme – wie sich häufende, interne Nachfragen und verärgerte Mitarbeiter – können mit Hilfe einer durchdachten Einführung und einer guten Kommunikation verhindert werden. Wenn man dies beachtet, kann diese effektive Trainingsmaßnahme mit positiven Auswirkungen auf die Wahrnehmung der IT-Sicherheitsverantwortlichen kombiniert werden.

Entscheidet man sich für Phishing-Simulationen als Trainingsmethode, ergeben sich daher 5 Must-haves, die für eine erfolgreiche Umsetzung zu beachten sind:

Die 5 Must-haves für Security Awareness Trainings

1. Realitätsnahe Spear-Phishing-Simulationen durchführen
   Simulationen sollten für einen idealen Lerneffekt und einen sicheren Umgang so realitätsnah wie möglich umgesetzt werden. Simple Massen-E-Mails an alle zu versenden reicht heute nicht mehr aus: Angepasst an das reale Vorgehen von Cyberkriminellen, sollten die Angriffe auf Ihr Unternehmen und einzelne Anwender zugeschnitten werden. Dazu können beispielsweise Informationen aus beruflichen und sozialen Netzwerken verwendet werden, um die Simulation realitätsnah zu personalisieren. Damit werden ständig aktuelle Angriffsvektoren und Maschen abgedeckt und die Teilnehmer in einem geschützten Rahmen optimal auf den Ernstfall vorbereitet.

2. Bei Phishing-Simulationen aussagekräftige Ergebnisse erhalten
   Klickraten allein sind keine gute Maßeinheit, um die Security Awareness einzuschätzen. Sie können sich von E-Mail zu E-Mail sehr unterscheiden – dies gilt vor allem, wenn interne Informationen eingesetzt werden. Leicht kann man eine Phishing-Mail  erstellen, auf die 80Prozent klicken oder eine auf die nur 2 Prozent hereinfallen. Damit ist jedoch noch keine Aussage möglich, wie gut die Mitarbeiter wirklich sind, sondern nur darüber, wie gut die Phishing-Mail vorbereitet war.

   Daher sollte ein standardisiertes Messverfahren eingesetzt werden, bei dem Spear-Phishing-Mails unterschiedlicher Schwierigkeitsgrade gesendet werden. So lässt sich die Security Awareness wirklich messen und bei Wiederholung Veränderungen nachweisen.

   Das wissenschaftlich entwickelte Verfahren des Employee Security Indexes (ESI®) kann hier helfen: Die Security Awareness der Teilnehmer kann dediziert ermittelt und mit Hilfe des ESI® sichtbar gemacht werden. Diese Transparenz ermöglicht es, weitere Maßnahmen zielgerichtet für die unterschiedlich starken Gruppen zu planen und den Erfolg (Return on Security Invest – ROSI) von Trainingsmethoden zu überprüfen.

3. Anhaltenden Lerneffekt produzieren
   Wie Philippa Lally (siehe oben) gezeigt hat, lernen Menschen nicht über Nacht: Antrainierte Verhaltensweisen zu ändern erfordert eine gewisse Hartnäckigkeit. Aus diesem Grund sollte ein automatisiertes Tool eingesetzt werden – durch skalierbare und anhaltende Trainings adaptieren alle Teilnehmer langfristig ein sicheres Verhalten.

   Die Ergebnisse sprechen für sich: Unsere Kunden benötigen in der Regel mindestens 6 Monate, um sicheres Verhalten unternehmensweit zu erreichen.

   
   Security Awareness wird mit dem Employee Security Index (ESI®) von IT-Seal messbar.

    

4. Die Security-Awareness-Kampagne in die Unternehmenskultur einbetten
   Besonders wichtig ist es, Akzeptanz bei den Mitarbeitern für die Security-Awareness-Maßnahmen zu erreichen und ihnen ein gutes Gefühl zu geben. Unter allen Umständen sollte ein Gefühl der Überwachung vermieden werden. Der Tenor sollte nicht „die IT gegen die Mitarbeiter“ lauten, sondern „die IT für die Mitarbeiter“.

   Daher sollte die Simulation vorher angekündigt und den Mitarbeitern bewusst gemacht werden, dass IT-Sicherheit nicht von der Technik alleine erreicht werden kann. Nur gemeinsam – durch Technik und Anwender – können aktuelle Angriffe abgewehrt werden. Jeder muss seinen Teil dazu beitragen. Um die Kollegen dabei zu unterstützen, wird ein interaktives Trainingsprogramm eingeführt, dass den Mitarbeitern auch privat weiterhilft.

   Machen Sie darüber hinaus klar, dass es einen geschützten Rahmen gibt: Die Analysen sollten stets anonymisiert und gruppenbasiert stattfinden und keinen Rückschluss auf das Verhalten einzelner Personen zulassen. Die Mitarbeiter werden sich mit Freude beteiligen und das Thema Security Awareness in ihren Alltag, sowohl den beruflichen als auch privaten, aufnehmen.

5. Betriebs- bzw. Personalrat einbinden
   Der Betriebs- oder Personalrat sollte frühzeitig informiert und seine Fragen eingebunden werden. Es ist seine Aufgabe, die Mitarbeiter zu schützen und daher nur natürlich, dass er Fragen zum Ablauf stellt.

   Zum Umgang mit Betriebs- und Personalräten können wir folgende Punkte empfehlen:

• Fragen klären
• Frühzeitig und transparent kommunizieren gegenüber Gremien, wie z.B. dem Betriebsrat, den Mitarbeitern und Vorgesetzten
• Den Trainingscharakter der Simulation in den Fokus rücken – auch der private Nutzen ist attraktiv
• Ergebnisse nur in anonymisierter Form kommunizieren

  Wenn dies jedoch gut vorbereitet ist und die zuvor genannten Punkte respektiert wurden – vor allem der Mitarbeiterschutz durch Anonymisierung – kann ein reibungsloser Ablauf gewährleistet werden. Die meisten Betriebsräte begrüßen die Maßnahmen sogar ausdrücklich, da sie den Mitarbeitern auch für das Privatleben wichtige Fähigkeiten vermitteln und dabei unterhaltsam bleiben.

  Wenn Sie diese Tipps beachten, steht einer lehrreichen und erfolgreichen Spear-Phishing-Simulation nichts mehr im Wege.