Phishing, Phishing und nochmals Phishing: Das Ziel ist immer der Mensch. Am Ende des Tages ist es stets dieser eine Klick zu viel, egal ob in einer Stresssituation oder aus Neugierde. Das Problem dabei ist, dass genau dieser Klick den Anfang eines Sicherheitsvorfalls markieren kann, der sogar einen Schaden von mehreren Millionen Euro verursachen könnte. Cybersicherheit geht daher nicht ohne den Einbezug der Mitarbeitenden.
Laut dem Halbjahresbericht des NCSC steht Phishing bei den Cyberbedrohungen an zweiter Stelle der meistgemeldeten Vorfälle. Die Meldungen stiegen im Vergleich zum vorherigen Bericht um über 40 Prozent und machten im ersten Halbjahr 2023 einen Fünftel des Meldeeingangs aus. Einer der Hauptgründe für diesen Anstieg war eine ausgedehnte Phishing-Kampagne gegen Swisspass-Kunden.
Der Bericht verdeutlicht das Problem von Phishing eindrücklich. Phishing-Mails greifen häufig Alltagsthemen auf und nutzen diese in Betreffzeilen und Inhalten. Im Unternehmensumfeld sind vor allem Ereignisse, die persönliche Aspekte betreffen, bei Cyberkriminellen beliebt. So bezogen sich die im dritten Quartal 2023 am häufigsten angeklickten Phishing-Mails auf Personalangelegenheiten oder aktuell wichtige Nachrichten. Diese Inhalte ziehen das Interesse der Mitarbeitenden an, da sie sowohl das Berufs- als auch das Privatleben betreffend können. Beispiele dafür sind Ankündigungen zu Bonuszahlungen, Nicht-Freigabe von geplanten Ferien und vieles mehr. Solche Nachrichten sind deshalb so effektiv, weil sie oft zu einer Reaktion veranlassen, bevor überhaupt über die Legitimität der E-Mail nachgedacht wird. Fast ein Drittel aller Mitarbeitenden in der DACH-Region hat gemäß dem „2023 Phishing by Industry Benchmarking Report“ von KnowBe4 bereits mindestens einmal auf einen verdächtigen Link geklickt oder eine betrügerische Anfrage beantwortet. Hohe Klickraten treten besonders in Unternehmen auf, in denen wenige oder keine Security-Awareness-Schulung durchgeführt wurde.
Human-Centered-Security gehört zwingend in jede Cybersicherheitsstrategie
Um Unternehmen nachhaltig auf die Abwehr von Cyberangriffen vorzubereiten und resiliente Reaktionen in Krisensituationen zu ermöglichen, müssen Mitarbeitende Cybersicherheit verinnerlichen. Obwohl Security-Awareness lange Zeit im Schatten anderer Sicherheitsthemen wie Netzwerk- oder Cloud-Sicherheit stand, hat es sich über die Jahre hinweg von einem Nischenthema zu einem zentralen Bestandteil von Cybersicherheitsstrategien entwickelt.
Frühere Awareness-Programme beschränkten sich häufig auf die Steigerung des Sicherheitsbewusstseins, wodurch selten eine nachhaltige Veränderung von Verhaltensweisen erreicht wurde. Vor allem fehlte die Möglichkeit, das Gelernte in der Praxis zu vertiefen. Ein effektiverer Ansatz ist, analog der Führerscheinprüfung, eine Kombination aus Theorie und Praxis: Wer Autofahren will, muss sowohl eine theoretische als auch eine praktische Prüfung ablegen, die beide auf Erkenntnissen zur Reduzierung von Unfällen im Straßenverkehr basieren.
Das Ziel einer Awareness-Kampagne muss eine dauerhafte Verhaltensänderung sein, was durch die Implementierung des Human-Centered-Security-Ansatzes erreicht werden kann. Dabei geht es darum, das Verhalten der Belegschaft in Bezug auf Cybersicherheit nachhaltig zu verändern, denn reine Phishing-Resistenz reicht nicht aus. Mitarbeitende entwickeln dieses Sicherheitsbewusstsein aber erst, wenn sie die Relevanz des Themas sowohl für das Unternehmen als auch für sich selbst verstehen. Durch Schulungen und Erfahrungen mit Phishing-Simulationen lernen sie, Phishing-E-Mails zu erkennen. Dabei macht es Sinn, verschiedene Formate und Medien zu nutzen – von auditiven bis visuellen Inhalten und ernsthaften sowie spielerischen Ansätzen. Eine Mischung aus Comics, Poster, Quizzen und Erklärvideos sind für die Wissensvermittlung daher ideal. Entscheidend ist schlussendlich jedoch die Qualität des Trainings, nicht die Quantität. Für Rückfragen sollten die Trainer zudem per Chat und Telefon zur Verfügung stehen.
Ein gut konzipiertes Human-Centered-Security-Programm wird ähnlich einer Kommunikationskampagne aufgezogen und involviert sowohl Sicherheitsverantwortliche, Kommunikations- und Marketingspezialisten, die Personalabteilung sowie oftmals auch die Rechtsabteilung. Ein frühzeitiges Einbinden dieser Bereiche sorgt für eine möglichst transparente Begleitung des Programms. Häufig ist es zudem ratsam, eine spezialisierte externe Firma hinzuzuziehen. Unternehmen profitieren dadurch von langjähriger Erfahrung, aktuellem Wissen sowie Methodiken.
Fazit
Welche positiven Verhaltensänderung sich nach einem Programm zeigen können, werden wiederum durch die Ergebnisse im Benchmark-Report deutlich. Zahlreiche Unternehmen, die nach ihrer ersten Messung zu Programmbeginn eine Kombination aus Schulungen und simulierten Phishing-Tests einsetzten, konnten eine positive Veränderung feststellen. Innerhalb von 90 Tagen nach der Durchführung von monatlichen oder häufigeren Security-Awareness-Schulungen sank der durchschnittliche Phish-Prone-Percentage (PPP)-Wert auf 20 Prozent. Nach einem Jahr regelmäßigen Trainings und simulierten Phishing-Tests sank der Wert sogar auf 6 Prozent. Dies zeigt eindrücklich, dass neue Verhaltensweisen zur Normalität werden können – besonders dann, wenn mehrere Abteilungen von Anfang an involviert sind und die Programme sorgfältig geplant und organisiert werden. Und noch eines ist wichtig: am Ball bleiben! Die Bedrohungslage ändert sich täglich. Daher muss das Programm stets flexibel und agil bleiben, um sicherzustellen, dass die Mitarbeitenden stets auf die neuste Gefahrenlage reagieren können.
Von Martin J. Krämer, Security Awareness Advocate bei KnowBe4 und Daniel Keller, Security Consultant bei Infoguard
#KnowBe4
