GlobalSign Blog

10 Mai 2017

Wie Sie eine Phishing-Simulation durchführen: Ein Beispiel von GlobalSign

Die Anzahl an Cyberangriffen steigt stetig und Unternehmen kämpfen um sich vor Angriffen zu schützen. Ohne Frage entwickelt sich die Technologie weiter und wird stärker, schwieriger zu brechen und deshalb sind die Menschen mittlerweile oft das schwächste Glied.

Ein unschuldiger Mitarbeiter öffnet in der Mittagspause sein privates E-Mailpostfach und klickt auf einen Link zu einer Phishing-Seite. Oder einer aus der Personalabteilung öffnet eine E-Mail mit dem Betreff „Vertrag“, doch das vermutete Word-Dokument ist ein verstecktes Skript, das Ransomware installiert. Welche Umstände auch immer zu dem Angriff geführt haben, meist haben sie allzu harmlos angefangen.

Aber sorgen Sie sich nicht, es geht nicht nur Ihnen so. Ein Artikel auf Dark Reading lässt vermuten, dass rund 20-30% Ihrer Mitarbeiter auf einem Link in einer Phishing-E-Mail klicken würden. Ziemlich viele!

Mit der Hoffnung diese Zahl auf 0% zu senken, möchten wir Ihnen mit dieser Anleitung zu Phishing-Simulationen, so wie wir Sie hier bei GlobalSign durchführen, helfen. Unser IT Security Manager Jeremy Swee macht unser Team schon seit über einem Jahr auf Phishing Taktiken aufmerksam und führt regelmäßige Tests durch. Wir als Cybersicherheitsunternehmen nehmen diese Dinge sehr ernst, und daher bietet unser Ansatz ein gutes Beispiel für Sie.

Bevor es losgeht

Bevor Sie mit einer Phishing-Simulation in Ihrem Unternehmen beginnen, müssen Sie Ihre Mitarbeiter ins Thema einführen. Das erste Training wird mit allen derzeitigen Mitarbeitern durchgeführt und neue Mitarbeiter durchlaufen das Training zu Beginn (am besten schon bevor Sie Zugang zu ihrem E-Mail-Account bekommen).

Erstellen Sie eine E-Mail-Adresse wie z.B. report-phishing@ihrunternehmen.de. Mitarbeiter können mögliche Phishing-E-Mails darüber melden. Erklären Sie die Schritte, die sie ausführen sollen, um eine E-Mail zu melden und geben Sie Ihnen die notwendige Ausrüstung Phishing-E-Mails zu melden.

Szenarien

Der erste Schritt einer guten Phishing-Simulation beginnt mit der Planung. Wenn Sie Phishing-Tests zu oft schicken, erwarten Leute diese schon und zu selten und Sie haben zu wenige Daten, um daraus Schlussfolgerungen zu ziehen.

Am besten schicken Sie auch nicht an die ganze Firma gleichzeitig Phishing-E-Mails, da dies Verdacht erregen kann. Wir schicken normalerweise eine Phishing-Simulation pro Monat an eine Testgruppe von Mitarbeitern.

Als nächstes müssen Sie sich Szenarien für die Phishing-E-Mails ausdenken und diese für die nächsten 12 Monate planen. Nicht alle müssen vollständig geplant sein, manche entstehen auf Grund von aktuellen Nachrichten und müssen daher spontan entworfen werden, andere können von tatsächlichen Phishing-E-Mails abgeleitet werden, die Sie gesehen haben oder von Mitarbeitern geschickt bekommen haben.

Versetzen Sie sich in den Kopf eines Phishing-Angreifers. Welche E-Mails werden Mitarbeiter am ehesten öffnen und klicken? Können Sie Mitarbeiter dazu überlisten zu klicken?

Hier sind ein paar vergangene Beispiele von GlobalSign.

Der ‚Wir zahlen nicht‘ Test

Phishing

Schicken Sie eine Phishing-E-Mail an Abteilungen die Rechnungen bearbeiten. Formulieren Sie die E-Mail in einem aggressiven Ton, um bei Ihren Mitarbeitern eine Kurzschlussreaktion auszulösen und versuchen Sie diese zu einer schnellen Aktion zu bewegen. Phishing-E-Mails machen sich diese Technik oft zu Nutze, um Leute dazu zu bewegen auf Links zu klicken oder Anhänge herunterzuladen.

Mitarbeiter sollen dadurch in Zukunft auf die Absender-Adresse achten. Wenn sie den Namen oder das Unternehmen nicht erkennen, sollten Sie nicht in Panik handeln, nur weil die E-Mail dazu verleiten versucht.

Der ‚Es gibt etwas umsonst‘ Test

Phishing simulation - get something for free

Ein weiterer psychologischer Trick von Phishing-Angreifern ist es etwas kostenlos zu versprechen. Jeder bekommt gerne etwas umsonst – wer würde da nicht in Versuchung geraten zu klicken?

Mitarbeiter sollen daraus lernen, dass „kostenlos“ eigentlich immer einen Haken hat und alle E-Mails, die etwas umsonst versprechen mit Argwohn betrachtet werden sollten. Fahren Sie mit der Maus über die Links in der E-Mail (ohne zu klicken) und oft sehen Sie verdächtige Links, aber klicken Sie niemals auf die Links in den E-Mails, da man davon ausgehen kann, dass Sie böswillige Absichten haben.

Der ‚Aktuelle Neuigkeiten‘ Test

phishing simulation - topical news test

Eine E-Mail über aktuelle Themen ist oft schon genug um Konversationen im ganzen Unternehmen anzustoßen. Vor nicht allzu langer Zeit wurde im GlobalSign Büro in Großbritannien fast nur noch über Brexit gesprochen. Dies ist eine gute Möglichkeit eine Phishing-Simulation durchzuführen.

Mitarbeiter sollten merken, dass die Absender-Adresse nicht erkennbar war und wenn sie mit der Maus über den Link in der E-Mail fahren, hätten sie auch dort verdächtige Adressen gesehen. Wir teilen in der Regel keine Informationen wie diese per E-Mail mit. Mitarbeiter die länger im Unternehmen sind, sollten auch deswegen Verdacht schöpfen, da Aufforderungen wie diese in der Vergangenheit bei ähnlichen Geschehnissen nicht durchgeführt wurden.

Der ‚Beliebter Trend‘ Test

phishing simulation - topical news test

Als Pokemon Go zuerst veröffentlicht wurde, wurde wie verrückt gespielt. Es gab bestimmt mindestens einen Mitarbeiter in Ihrem Unternehmen, der in seiner Mittagspause auf Pokemon-Jagd gegangen ist. Wenn beliebte Trends in Unternehmen ankommen, nutzen Hacker dies oft als Weg in Ihr Abwehrsystem. Mitarbeiter sollten den Versuch an der externen Absenderadresse erkennen, und an dem verdächtigen Link.

Reports und Training

Wenn Sie ein gutes Tool für die Phishing-Simulation nutzen, sind Reports Teil des Pakets. Wichtige Statistiken fassen zusammen wie viele Individuen E-Mails öffnen und klicken und wie viele Leute die E-Mail, wie von Ihnen vorgegeben, gemeldet haben.

Ziel ist es die Klickrate zu senken, während die Melderate steigt. Die Ergebnisse helfen die Schwachstellen in Ihrem Unternehmen zu finden. Es ist zum Beispiel möglich das bestimmte Abteilungen oder globale Standpunkte am ehesten auf Links klicken.

Auch welche Individuen am häufigsten klicken sollte unter die Lupe genommen werden. Falls eine bestimmte Person regelmäßig auf Phishing-Links klickt, ist es hilfreich dieser Person zusätzliches persönliches Training mit jemanden aus der IT Abteilung zu geben.

Das Tolle an Phishing-Simulationen ist, dass Sie die Tests je nach Ergebnis anpassen und verfeinern können. Das bietet größere Effizienz in Ihrem Unternehmen, da Sie nicht Mitarbeiter zu wiederholtem Training berufen, die es nicht brauchen.

Schicken Sie eine Folge-E-Mail

Schicken Sie ein paar Tage bis eine Woche nach der Phishing-Simulation eine Folge-E-Mail. Erklären Sie darin wie das Szenario entstanden ist und welche Dinge Mitarbeitern darin aufgefallen sein sollten.

Hier ist ein Beispiel einer Folge-E-Mail von unserem „Wir zahlen nicht“ Test.

Hallo zusammen,

die letzte simulierte Phishing-E-Mail wurde am 20.Dezember 2016 geschickt und ist in Anlehnung einer wirklichen Phishing-E-Mail entstanden, die uns ein Kollege gemeldet hat. Sie war in einem ungewöhnlichen Format, das wir so noch nicht gesehen haben.

phishing simulation - follow up email

Die Phishing-E-Mail erscheint so, als ob die erste E-Mail von uns geschickt wurde, und es sich nun nur um eine Antwort handelt, um zu verhindern, dass der Empfänger Verdacht schöpft.

Einige Phishing-Indikatoren sind auffällig:

  • Anstößigkeiten um den „Empfänger“ zu schocken und mit Dringlichkeit zu antworten
  • Verdächtige Links

Viele Mitarbeiter haben uns mitgeteilt, dass sie ihre eigenen gesendeten E-Mails geprüft haben und daher wussten, dass Sie nie mit dem Absender kommuniziert haben. Einige haben zusätzlich geprüft, ob die Absender-Adresse in unserer Salesforce Kundendatenbank ist.

Wir haben erwartet, dass viele Mitarbeiter auf dieses ausgeklügelte Szenario einer Phishing-E-Mail reinfallen, aber sind froh zu sagen, dass die meisten Mitarbeiter einen Schritt voraus sind und aktiv geprüft haben, bevor Sie geklickt haben.

Bitte meldet uns weiterhin verdächtige E-Mails, auch falls schon geklickt wurde, über die E-Mail-Adresse report-phishing@globalsign.com.

Mit besten Grüßen, Jeremy

Diese E-Mails helfen unseren Mitarbeitern sich kontinuierlich weiterzuentwickeln.

Die richtigen Tools

Für die IT-Abteilung eines jeden Unternehmens ist ein Tool zur Phishing-Simulation wichtig. Phishing-Test-E-Mails machen Mitarbeiter aufmerksam und simulieren verschiedene Umgebungen in denen Angriffe passieren können.

Ein weiteres Tool sollten digitale Zertifikate sein. Mit digitalen Zertifikaten werden Benutzer in Ihrem Unternehmen identifiziert und authentifiziert. Digital signierte E-Mails validieren den Absender, und helfen so legitime E-Mails von gefälschten zu unterscheiden. Zusammen mit Training hilft dies das Risiko von Phishing-E-Mails, die scheinbar von Kollegen kommen zu senken.

Falls Sie wissen wollen, wie Sie digitale Zertifikat für interne Unternehmenskommunikation nutzen können, kontaktieren Sie uns.

von Lea Toms

Artikel teilen