02.11.2015

Phishing-Attacken für Ihre Datenschutzschulung

Viele Unternehmen glauben, Phishing als Versuch, Passwörter zu stehlen, sei den Mitarbeitern als Risiko gut bekannt. Phishing-Attacken hätten deshalb kaum Aussicht auf Erfolg. Doch ist das wirklich so? Zahlreiche Tools bieten die Simulation solcher Attacken an. Solche Tests wollen aber gut geplant sein.

Phishing-Simulationen helfen bei der Datenschutzschulung

Haben Sie in letzter Zeit einmal in Ihrer Datenschutz-Mitarbeiterschulung gefragt, was Phishing ist? Wenn ja, kamen wahrscheinlich müde Antworten. Das sei doch der Versuch, über gefälschte E-Mails und Webseiten Passwörter zu stehlen. Meist gehe es darum, die Zugangsdaten zum Online-Banking zu stehlen.

Soweit alles richtig. Aber Phishing ist weit mehr. Doch das ist in den Köpfen vieler Nutzer nicht präsent.

Nicht nur über E-Mail

Zum einen können Phishing-Attacken nicht nur über E-Mail erfolgen, sondern über jeden Kommunikationsweg. Persönliche Gespräche, Handy-Anrufe, SMS und Fax-Sendungen eingeschlossen.

Zum anderen geht es auch nicht „nur“ um das Online-Banking. Für Datendiebe sind viele Arten von Zugangsdaten interessant, so zum Beispiel auch die für soziale Netzwerke. Schließlich lassen sich mit gestohlenen Zugangsdaten für soziale Netzwerke leicht digitale Identitäten übernehmen, um Kontakte des Opfers zu täuschen und anzugreifen.

Anti-Phishing-Filter reichen nicht

Allein schon deshalb, weil Phishing-Attacken deutlich vielschichtiger sind als Phishing-Mails, reichen technische Schutzmaßnahmen wie Anti-Phishing-Filter nicht aus, um dem Risiko zu begegnen. Selbst wenn Filter gegen Social Phishing (Passwort-Attacken bei sozialen Netzwerken) eingesetzt werden, ist der rein technische Schutz unzureichend. Die Filter-Lösungen müssen neue Bedrohungen erst kennen, um sie erkennen zu können. Die Nutzer sind dagegen sehr schnell in der Reaktion auf E-Mails, Facebook Messages und andere Nachrichten:

  • Wie die Studie „The Human Factor 2015“ von Proofpoint zeigt, reagieren zwei Drittel der Nutzer bereits am ersten Tag auf Phishing-Nachrichten.
  • Innerhalb einer Woche steigt die Zahl der Reaktionen auf 96 Prozent.
  • Innerhalb eines Jahres hat dabei die Zahl deren, die bereits am ersten Tag auf einen Link in der Nachricht klicken, um 66 Prozent zugenommen.

Damit ist die Zeit für technische Lösungen sehr knapp, um sich auf neue Attacken einzustellen.

Datenschutz-Unterweisung mit Phishing-Simulation

Ganze 23 Prozent der Nutzer öffnen Phishing-Mails, wie der 2015 Data Breach Report von Verizon ergeben hat. Eine erfolgreiche Sensibilisierung sieht anders aus. Entscheidend für den Schutz ist deshalb in erster Linie die Vorsicht und Wachsamkeit der Nutzer. Hier sind Sie mit Ihrer Datenschutz-Unterweisung am Zug.

Neben einer Präsentation zum Thema Phishing mit all seinen Facetten sollten Sie überlegen, ob Sie eine weitere Schulungsmethode einsetzen: die Simulation von Phishing-Attacken. Hier gibt es inzwischen eine ganze Reihe von Diensten, die Nachrichten generieren, mit denen Sie die Awareness der Empfänger testen können. Beispiele sind

Eine Studie von Carnegie Mellon University CyLab zeigte, dass Phishing-Simulationen durchaus Wirkung zeigen können. Innerhalb eines Monats konnte die Zahl derer, die auf simulierte Mails reagieren, um 50 Prozent gesenkt werden.

Datenschutz bei Simulationen nicht vergessen!

Denken Sie aber daran, nur solche Tests einzusetzen, die nicht ungewollt dazu führen, dass echte Nutzer-Passwörter an Dritte übertragen werden. Zudem sollten Sie die Berichte und Protokolle zu den Simulationen hinterfragen:

  • Werden dort einzelne Mitarbeiter aufgeführt?
  • Ist auf diesem Weg eine Verhaltens- oder Leistungsanalyse möglich?
  • Wo landen die Passwörter, die die Nutzer verraten haben, ohne sich dessen bewusst zu sein?
  • Stehen die Passwörter etwa im Bericht zur Phishing-Simulation?

Sie sehen bereits an diesen Fragen: Ohne genaue Prüfung einer Simulation geht es nicht. Und ohne interne Planung und Information der notwendigen Stellen im Unternehmen sollten keine Sicherheitstests erfolgen.

Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)