Google-Security-Manager: Phishing-Tests bringen nichts und nerven Mitarbeiter
In vielen Unternehmen werden heute regelmäßig unangekündigte Phishing-Simulationen durchgeführt, um zu testen, wie zuverlässig Mitarbeiter echte Phishing-Mails erkennen und ob sie auch angemessen darauf reagieren. Matt Linton, ein Security-Manager von Google, hat sich in einem neuen Blogbeitrag(öffnet im neuen Fenster) gegen diese Praxis ausgesprochen und gleich mehrere problematische Begleiterscheinungen, die diese Simulationen mit sich bringen, benannt.
So behauptet Linton unter anderem, es gebe keine Anzeichen dafür, dass die Tests zu weniger erfolgreichen Phishing-Kampagnen führten. Dabei verweist er auf eine Studie von 2021 (PDF)(öffnet im neuen Fenster) , bei der mehr als 14.000 Studienteilnehmer über einen Zeitraum von 15 Monaten simulierte Phishing-E-Mails in ihrem normalen Arbeitsumfeld erhielten.
Die Forscher kamen damals zu dem Schluss, dass diese Simulationen Mitarbeiter nicht widerstandsfähiger, sondern aufgrund unerwarteter Nebeneffekte sogar noch anfälliger für Phishing machen.
Verärgerte Mitarbeiter und weitere Risiken
Linton verweist in seinem Blogbeitrag auch auf den Umstand, dass Phishing-Tests Mitarbeiter verärgern, da sie sich hintergangen fühlen und dadurch das Vertrauen in die jeweiligen Sicherheitsteams verlieren. Dieses Vertrauen sei aber erforderlich, um sinnvolle systemische Verbesserungen vornehmen zu können. Obendrein belasteten die Simulationen die Sicherheitsteams regelmäßig "mit Tausenden von unnötigen Berichten" .
Ein weiteres Problem sieht Linton darin, dass die Phishing-Tests bestehende Anti-Phishing-Maßnahmen umgehen müssen. Daher würden die tatsächlichen Risiken im Rahmen der Simulationen häufig nicht korrekt abgebildet. Außerdem bestehe die Gefahr, dass zur Erleichterung der Tests eingerichtete Allow-Listen nicht ordnungsgemäß entfernt würden, sodass böswillige Akteure diese im Rahmen echter Angriffe missbrauchen könnten.
Linton präferiert "Phishing-Brandschutzübungen"
Anstelle der Durchführung unangekündigter Phishing-Simulationen empfiehlt Linton Unternehmen, ihren Mitarbeitern durch gezielte Übungen beizubringen, wie sie Phishing und Social Engineering erkennen können, damit sie die Sicherheitsteams rechtzeitig alarmieren. Der Security-Manager vergleicht die Vorgehensweise mit einer Brandschutzübung, die nicht unerwartet stattfindet, sondern im Vorfeld angekündigt wird.
"Wir müssen aufhören, Phishing-Tests durchzuführen, und stattdessen mit Phishing-Brandschutzübungen beginnen" , so Linton. Es brauche gezielte und geplante Trainings, in denen vermittelt werde, wie der jeweilige Mitarbeiter eine Phishing-Mail erkennt und wie er sie richtig an die Security-Abteilung meldet. Überraschungen und Tricks sollten dabei nicht im Vordergrund stehen.
Es gebe keinen Grund, die Aufklärung der Mitarbeiter über Phishing-Bedrohungen zu einer "feindseligen Angelegenheit" zu machen, erklärt Linton weiter. "Und wir gewinnen nichts, wenn wir Leute 'erwischen', die bei dieser Aufgabe 'scheitern'." Am effektivsten lassen sich durch Phishing entstehende Risiken laut Linton ohnehin durch technische Schutzmaßnahmen verhindern. Als Beispiel benennt er unter anderem nicht abgreifbare Anmeldeinformationen wie Passkeys.