IT-Seal Logo Social Engineering Analysis LabsIT-Seal Logo Social Engineering Analysis Labs

Spear Phishing-Simulation im Full Service

Awareness im Alltag vermitteln - kontinuierlich und messbar.

Social Engineering ist Top-Bedrohung - wir gehen vor wie ein echter Angreifer


Der Handlungsbedarf ist dringender denn je. Besonders beim Thema Awareness schlägt das Erfahrungslernen, das heißt "Learning by doing", herkömmliche Schulungsansätze um Längen. Um Ihre Mitarbeiter fit im Kampf gegen Phishing, Ransomware und CEO-Fraud zu machen, simulieren wir Social Engineering-Angriffe - und versetzen uns dabei in die Rolle der Cyberkriminellen.
Unsere Leistungen bieten wir im Full Service an. Sie übergeben uns eine Teilnehmerliste, wir kümmern uns um die Umsetzung. Dabei stehen Mitarbeiter- und Datenschutz im Fokus: Die Auswertung erfolgt stets gruppen-, nie personenbasiert.

Spear Phishing-Simulation vom Experten: So funktioniert's

OSINT-basierte Angriffspotential-Analyse

  • Wie viele Informationen veröffentlichen Ihre Mitarbeiter online? Wir analysen Ihr Angriffspotential (siehe Blogartikel).
  • Kontakte, Hobbies, ehemalige Arbeitgeber?
    Wie ein echter Angreifer nutzen wir öffentlich verfügbare Informationen, um individualisierte Spear Phishing-E-Mails zu erstellen.
  • Im Rahmen einer automatisierten Phishing-Simulation schulen wir Ihre Mitarbeiter und ermitteln Ihren Employee Security Index (ESI®).
phishing demo: kostenfrei testen

Klassifizierung von Social Engineering-Angriffen

Um die Awareness gegenüber Social Engineering-Angriffe vergleichbar und standardisiert messbar zu machen, müssen diese reproduzierbar sein. Dazu erfolgt eine Klassifikation in fünf Level, welche die gesamte Bandbreite von Massen- über Spear Phishing bis hin zu mehrstufigen Angriffen abbildet. Wie viel Zeit muss ein Angreifer zur Vorbereitung und Durchführung eines entsprechenden Angriffs investieren? Detailliert stellen wir in der <kes> unseren Ansatz vor, Awareness messbar zu machen (<kes> Ausgabe 5/2018, S. 14-18).

Wir decken verschiedenste Angriffstaktiken und Motive ab - auf Ihre Branche zugeschnitten

Unsere Phishing-Simulationen beinhalten Angriffe der Level 1-3. Basierend auf der Teilnehmerliste und unserer OSINT-Analyse senden wir jedem Teilnehmer automatisiert 2-3 Phishing-E-Mails pro Monat. Dabei bilden wir das Vorgehen echter Cyberkrimineller ab: Die E-Mails werden zu einem zufälligen Zeitpunkt versendet, jeder Mitarbeiter erhält individualisierte Angriffsszenarien aus unserer umfangreichen Template-Datenbank. Diese enthalten Phishing-Links, Dateianhänge oder leiten auf gefälschte Login-Seiten weiter.
Level 3-E-Mails können dabei auch Bezug auf die Branche und Abteilung des Empfängers nehmen - so erhält beispielsweise der HR-Mitarbeiter eine gefälschte Bewerbung mit Dropbox-Link und die Ärztin eine Rechnungsnachfrage mit Word-Dokument im Anhang. Auch Level 4-Angriffe simulieren wir im Rahmen unserer Zusatzleistungen.

Awareness steigern im Alltag mit "Erfahrungslernen"

Öffnet ein Mitarbeiter einen risikobehafteten Link, Dateianhang oder gibt Login-Daten auf gefälschten Seiten ein, wird er auf die IT-Seal Erklärseite weitergeleitet. Am Beispiel der eben geöffneten E-Mail wird konkret aufgezeigt, wie er den Phishing-Versuch hätte erkennen können.

Auch auf häufig genutzte psychologischen Tricks wird hingewiesen: Versuchen die Kriminellen, Ihre Neugier auszunutzen oder Ihnen Angst einzujagen? Wer die gängigen Tricks kennt, kann Angriffe erkennen.
Unser nicht-invasiver Schulungsansatz schult nur dort, wo Bedarf besteht. Das kontinuierliche Phishing Awareness-Training ermöglicht außerdem jedem Teilnehmer das Lernen im eigenen Tempo: Nach einer Einführungsphase, in der jeder Mitarbeiter Level 1-E-Mails erhält (hier wendet der Angreifer etwa eine Stunde Vorbereitungszeit auf), steigert sich das Schwierigkeitslevel für jeden Teilnehmer abhängig vom eigenen Klickverhalten.
Im IT-Seal Dashboard haben Sie jederzeit Live-Einblick in das Sicherheitsverhalten der einzelnen Gruppen. Lernen Sie unsere Schulungsmethode unverbindlich kennen:
neugierig geworden? kostenfrei testen!

Der Employee Security Index (ESI®): 
Sicherheitsbewusstsein messen und benchmarken.

Awareness ist eine schwierig zu messende Größe: Wie bewerten Sie die Abwesenheit von Sicherheitsvorfällen? Die von IT-Seal entwickelte Kennzahl "Employee Security Index" (ESI®) schafft Transparenz und Vergleichbarkeit. Sie basiert auf der Annahme, dass "perfektes Mitarbeiterverhalten" unternehmsweit nicht realistisch erreichbar ist. Abhängig vom Level des Social Engineering-Angriffs, d.h. von der vom Angreifer aufgewendeten Vorbereitungszeit, haben wir deshalb Toleranz-Klickraten definiert. Diese basieren auf unserer Erfahrung mit kontinuierlichenTrainingsmaßnahmen in Unternehmen verschiedenster Branchen und charakterisieren ein fiktives "vorbildliches" Unternehmen.
Auf einer Skala von 0-100 erreicht dieses "vorbildliche" Unternehmen eine 90. Klickt eine Mitarbeitergruppe doppelt so häufig wie die Toleranzwerte, erreicht sie einen ESI von 80 ("gut"), bei dreifachen Klickraten 70 ("akzeptabel"). Darunter liegende Ergebnisse bewerten wir als kritisch. Der ESI® macht Sicherheitsbewusstsein vergleichbar und gezielte Schulungsmaßnahmen planbar. Gerade als Proof of Concept erleichtert er die Kommunikation mit dem Management und dient als Basis für Zielformulierungen und Handlungsempfehlungen.

Lesen Sie unseren Blogartikel zum Thema. Außerdem stellen wir detailliert in der <kes> unseren Ansatz vor, Awareness messbar zu machen (<kes> Ausgabe 5/2018, S. 14-18).
esi-blogartikel lesen
Erfahrungen & Bewertungen zu IT-Seal GmbH
Logo IT Security Made in Europe

Anfrage stellen:

Vielen Dank! Wir haben Ihr Anfrage erhalten.
Oops! Something went wrong while submitting the form.
Haben Sie Fragen zu unseren Awareness-Lösungen?
Persönliches gespräch vereinbaren