Anti-Phishing-Maßnahmen im Unternehmen: "Haben Sie da etwa draufgeklickt?"
Wer sich mit der Sicherheit von Unternehmensnetzen beschäftigt, der weiß, dass Phishing eine Gefahr ist, die sich nicht allein technisch in den Griff bekommen lässt. Es gibt mittlerweile viele technische Erkennungslösungen und selbstverständlich auch KI-Unterstützung, nur kommen trotzdem noch Phishing-E-Mails bei den Mitarbeitern an. Angreifer werden beim Phishing immer kreativer und Firmen sollten ihre Mitarbeiter dafür sensibilisieren.
Eine Lösung muss also her. Allerdings kostet diese nicht nur Geld, sondern macht auf den ersten Blick sogar mehr Arbeit. Wir erklären, wie Phishing-Awareness-Kampagnen in einem Unternehmen erfolgreich ausgerollt werden können, ohne sich anschließend vor den Kollegen fürchten zu müssen.
Das Thema Informationssicherheit im Blick, stand ich als IT-Projektleiter vor ein paar Jahren vor dieser Fragestellung und verband das Praktische mit dem Nützlichen. Es stand wieder der damals übliche Pentest an und dank guter Verhandlungen mit dem Dienstleister hatten wir ein paar Personentage mehr als benötigt. Diese Chance nutzte ich und vereinbarte mit den Pentestern einen kleinen, einzelnen Phishing-Test für die Mitarbeiter der IT und der Geschäftsführung. Die Geschäftsführung war vorab zum Teil eingeweiht, ebenso der Betriebsrat.
Eine Phishing-Klick-Auswertung sagt mehr als tausend Worte
Es konnte also losgehen, und nach diesem einen Tag, an dem das Phishing lief und die Auswertung zeigte, wie viele klickten - wer klickte, wurde explizit nicht ausgewertet - lösten sich Bedenken hinsichtlich der Kosten von Phishing-Abwehrmaßnahmen mehr oder weniger in Luft auf.
Mit der Erkenntnis, dass die Mitarbeiter für Phishing anfälliger sind als gedacht, stellte sich die Frage, was denn eine pragmatische Vorgehensweise sei. An dieser Stelle folgen nun meine Gedanken zu effektiven Maßnahmen, um die Awareness - ich kenne immer noch keine deutsche Übersetzung, die alle Aspekte des Wortes abdeckt - der Mitarbeiter zu erhöhen.
Bei Klick: Abmahnung
Rein technische Lösungen halte ich für nicht ausreichend. Die Angreifer rüsten auch auf und nutzen mittlerweile selbst KI, um Phishing-E-Mails ohne die üblichen Rechtschreibfehler zu verfassen. Daraus hat sich ein Red-Pill-/Blue-Pill(öffnet im neuen Fenster) -Wettlauf entwickelt, den auf Dauer wohl weder Angreifer noch Verteidiger für sich entscheiden werden.
Wenn es technisch allein nicht lösbar ist, müssen die Mitarbeiter mit ins Boot geholt werden. Nur ist die Frage, wie - und hier gehen die Meinungen teils stark auseinander. Ich kenne Firmen, die auf das Klicken des Links in einer Phishing-Simulations-E-Mail mit einer Abmahnung des Mitarbeiters reagierten. Dabei stellt sich jedoch die Frage, welcher Schaden höher ist: der durch echtes Phishing oder der durch eine Vergiftung der Firmenkultur.
Von diesen Extremfällen abgesehen, machte vor einiger Zeit ein Artikel eines Google-Security-Managers zum Thema die Runde. Quintessenz war, dass normale Phishing-Trainings nichts bringen und das Vertrauen der Mitarbeiter untergraben würden.
Besser wäre es, auf eine Vorgehensweise, die an Brandschutzübungen angelehnt ist, umzusteigen. Es mag Firmen geben, bei denen dies nötig ist, ich halte es für ineffizient, sofern man nicht auf - vom Vorgänger - verbrannter Erde steht.
Vorgesetzte sollten vom Phishing der Mitarbeiter nichts erfahren
Der Plan bestand aus einem pragmatischen Ansatz von regelmäßig wiederkehrenden Kampagnen, bestehend aus Phishing-Simulations-E-Mails und kurzen Onlinetrainings für die Klicker. Nur wer auf ein Phishing hereinfällt, bekommt ein Training.
All dies sollte als Full Managed Service (FMS) ablaufen, der einen Großteil der Arbeit abnimmt. Außerdem war wichtig, dass die Vorgesetzten dabei nichts vom Phishing ihrer Mitarbeiter erfahren. Weder ob sie darauf hereinfallen noch ob sie ein Training absolvierten. Nachdem die Entscheidung für eine Plattform und einen FMS stand, begann mit den Vorbereitungen für die erste Kampagne die eigentliche Arbeit.
Und dann grüßt der Geschäftsführer
Zusammen mit unserem FSM-Partner wählten wir aus dem Pool der Phishing-Templates Themengruppen und Schulungen aus, die wir ausrollen wollten. Außerdem wollten wir die Kampagne bewusst nicht ankündigen, sondern alle unvorbereitet treffen.
Auch dazu gehen die Meinungen auseinander, und jede Firma muss für sich entscheiden, ob sie die Kampagne vorher ankündigen will oder nicht. Darüber hinaus war die allererste Kampagne trotzdem besonders.
Üblicherweise erscheint nach Klick auf den Link einer Phishing-Simulations-E-Mail eine Landingpage, die über das Phishing aufklärt. Für den Start ersetzen wir dies durch ein zuvor gedrehtes Video mit der Geschäftsführung, die kurz erklärt, wie wichtig es sei, sich gegen diese Bedrohung zu schützen und dies zukünftig regelmäßig erfolgen werde.
Unmittelbar nach Abschluss der ersten Kampagne erfolgte im Intranet die offizielle Ankündigung der Phishing-Awareness-Maßnahme. Ohne diese umfassende Kommunikation, die durch die Geschäftsführung unterstützt wurde, wäre eine solche Maßnahme deutlich schwerer durchzusetzen gewesen.
Die Mitarbeiter trainierten, mehr und mehr E-Mails zu erkennen, die wie Phishing aussehen - eher ungünstig, wenn anschließend echte E-Mails verschickt werden, die viele Merkmale von Phishing-E-Mails erfüllen. Die Palette reicht dabei von fehlerhaft formatierten E-Mails über Buchungsbestätigungen, deren URLs mittels Linkverkürzer nicht mehr zu erkennen sind, bis zu E-Mails an alle Mitarbeiter, die mit ihrem Inhalt alle Phishing-Warnlampen rot leuchten lassen.
Aufgrund dessen starteten wir parallel eine Wissenskampagne, um zu erklären, worauf zu achten ist, damit echte E-Mails nicht wie Phishing aussehen.
Feinjustierung und Aufklärung als dauerhafte Aufgabe
Die Art von Phishing-E-Mail, die wir verschicken, hat darüber hinaus einen starken Einfluss auf die Erfolgswahrscheinlichkeit des Phishing. E-Mails, die vorgaben von der Personalabteilung zu stammen und beispielsweise einen angeblichen Wechsel der Krankenkasse oder einen Urlaubsantrag betrafen, wurden viel häufiger geklickt als Phishing-Simulations-E-Mails zu anderen Themen, etwa einem gesperrten Paypal-Konto.
Gleichzeitig fielen auch der Personalabteilung Rückfragen von Mitarbeitern zu E-Mails auf, die angeblich von ihnen stammten, und sie kam deswegen auf uns zu. Zusammen besprachen wir die Auswirkungen des Phishings auf die Mitarbeiter, insbesondere einen möglichen Vertrauensverlust gegenüber Vorgesetzten und der Personalabteilung.
Durch Beratung direkt in den Fachbereichen konnten wir Verständnis für Sensibilisierungsmaßnahmen gegenüber Phishing schaffen. Angreifer nehmen keine Rücksicht auf Befindlichkeiten der Mitarbeiter oder sogar emotionale Schäden, die manipulative E-Mails anrichten können.
Viel Fingerspitzengefühl nötig
Deshalb müssen wir uns leider derselben Methoden des Social Engineering bedienen und dabei die Mitarbeiter so weit fordern, dass sie die Angriffsmethoden kennenlernen, ohne sich hintergangen oder missbraucht zu fühlen. Dafür ist es notwendig, für die Maßnahmen Verständnis und Vertrauen aufzubauen. Diese Gratwanderung war und ist mit viel Fingerspitzengefühl verbunden und muss für jede Firmenkultur separat herausgearbeitet werden.
Parallel dazu stellten wir nach einiger Zeit fest, dass manche Mitarbeiter nicht viel auf die Einladungen zu Trainings gaben. Wir sorgten uns um die Effizienz der Maßnahme und überlegten bereits Eskalationsschritte für solche Fälle, etwa eine Ansprache des Mitarbeiters durch die Informationssicherheit oder die Führungskraft (die erst durch uns dann davon erfahren hätte).
Vertrauen ist das A und O
Wir entschieden uns vorerst, die Klickrate bei den Phishing-E-Mails weiter zu beobachten, um keine übereilte Entscheidungen zu treffen. Dieser Ansatz erwies sich als richtig, da eine Eskalation letztendlich gar nicht nötig war, weil die Klickrate auch so immer weiter sank und sich von ursprünglich gut zweistelligen Prozentzahlen auf weniger als drei Prozent einpendelte.
Die Phishing-Awareness stieg im Laufe der Zeit stark an, ohne dabei die Informationssicherheit zu verbrennen. Ich machte einige Monate nach Kampagnenstart die Erfahrung, dass ich mir auf der Toilette die Hände wusch und ein mir unbekannter Kollege mich ansprach, " ob ich nicht der mit dem Phishing sei "?
Ich bejahte und schätzte gleichzeitig ab, wie schnell ich es schaffen würde, zu flüchten, als er mir freudig erzählte, dass wir ihn jüngst mit einem Phishing erwischt hätten - und er das für seine persönliche Wahrnehmung des Themas super gefunden habe und jetzt besser aufpasse.
Auch in der weiteren Zeit erzählten Kollegen von sich aus, dass sie beim E-Mails-Checken in einem Meeting auf eine Phishing-Simulation hereingefallen seien und sich seitdem entweder auf das Meeting oder die E-Mails, aber nicht auf mehr beides konzentrierten. Dem Kollegen, der seitdem nicht mehr während der Fahrt auf seinem Handy E-Mails checken will, konnte ich aus mehr als einem Grund nur zustimmen.
Vertrauen ist ein sehr hohes Gut, und wir sind froh, dass uns die Mitarbeiter bei dem Thema so viel davon entgegenbringen. Alle Maßnahmen hinterfragen wir deshalb, ob sie das Vertrauen untergraben könnten.
Maßnahmen können hart sein, aber trotzdem das Vertrauen wahren, wenn klar kommuniziert und gelebt wird, dass geblockte USB-Sticks nicht bedeuten, dass dem Mitarbeiter nicht vertraut wird, sondern es Angreifer gibt, die exakt dieses Vertrauen missbrauchen wollen und sich die Maßnahme letztlich dagegen richtet.
Dr. Aaron Gryzia hat Physik und Informatik studiert und kümmert sich um die Informationssicherheit und das Business Continuity Management in einem weltweit tätigen Unternehmen.