Cybersicherheit ist vom Menschen abhängig. Obwohl Unternehmen zunehmend in technologische Lösungen investieren, bleibt der Faktor Mensch eine der häufigsten Ursachen für erfolgreiche Cyberangriffe.
Phishing, d.h. betrügerische E-Mails, die sich als vertrauenswürdige Kommunikation ausgeben, ist nach wie vor eines der effektivsten Werkzeuge von Angreifern. Es ist für sie relativ einfach, an Zugangsdaten und sensible Informationen zu gelangen oder bösartige Prozesse im Netzwerk zu starten.
Phishing-Kampagnen sind heute extrem überzeugend. Es geht nicht mehr um die „Erbschaft eines Prinzen“. Die Angreifer ahmen das Erscheinungsbild und die Sprache echter Unternehmen genau nach, was die Erfolgschancen erheblich erhöht. Ein unvorsichtiger Klick und die Folgen können fatal sein.
Wir haben die Bereitschaft von Unternehmen untersucht
Vor der Einführung des neuen Dienstes für simulierte Phishing-Kampagnen haben wir eine Umfrage unter unseren Kunden durchgeführt. Wir wollten wissen, welche Erfahrungen sie mit Phishing gemacht haben und welche Formen des Schutzes sie schätzen würden. Die Ergebnisse bestätigten, dass dies ein äußerst aktuelles Thema ist: 74 % der Befragten gaben an, dass sie sehr oft oder gelegentlich mit Phishing zu tun haben. Die nützlichsten Dienste waren:
- 36% Erkennung von verdächtigen E-Mails und Links
- 34% simulierte Phishing-Kampagnen
- 30 % regelmäßige Mitarbeiterschulungen
Die hohe Resonanz hat uns in unserer Entscheidung bestärkt, diesen Service in unser Portfolio aufzunehmen. Wir haben sogar einen der Umfrageteilnehmer ausgelost und er erhält eine komplette maßgeschneiderte Simulation, von der Vorbereitung bis zur Auswertung.
Simulation ohne Konsequenzen, Ergebnisse mit Wirkung
Simulierte Phishing-Kampagnen sind ein sicherer Weg, um die Bereitschaft der Mitarbeiter für Angriffe in der Praxis zu testen, ohne die Infrastruktur des Unternehmens zu gefährden.
Statistiken zufolge öffnen durchschnittlich 30 bis 40 Prozent der Benutzer eine betrügerische E-Mail, bevor sie eine Schulung absolviert haben. Regelmäßige Übungskampagnen und die Befolgung der Empfehlungen können jedoch die Fähigkeit der Mitarbeiter, Phishing-E-Mails zu erkennen, im Laufe eines Jahres um bis zu 80 Prozent steigern.
Ziel der Simulationen ist es nicht, Mitarbeiter zu „fangen“, sondern sich ein objektives Bild von den Schwachstellen des Unternehmens zu machen und Teams zu identifizieren, die einem höheren Risiko ausgesetzt sind.
Die Beobachtung eines ethischen Hackers
„Ich weiß aus Erfahrung, dass es mit frei verfügbaren Tools und einer minimalen Investition von Zeit und Geld möglich ist, ein Unternehmen über seine Mitarbeiter zu kompromittieren. Alle Sicherheitsmaßnahmen wie WAF, IDS, IPS oder MFA werden dies nicht verhindern können. Letztendlich steht und fällt auch in dieser Ära der künstlichen Intelligenz und des technologischen Fortschritts alles mit dem Menschen.“
Der Service erfolgt in mehreren wichtigen Schritten:
- Wir bereiten realistische Phishing-E-Mails vor, die auf echten Angriffen basieren. Wir konzentrieren uns auf Design, Sprache und Verhaltenselemente.
- Wir senden sie an ausgewählte Gruppen von Benutzern der getesteten Organisation oder des Unternehmens, um repräsentative Daten zu erhalten.
- Wir verfolgen Öffnungsraten, Klicks und andere Reaktionen.
- Die Ergebnisse werden dann visualisiert und ausgewertet, zusammen mit konkreten Vorschlägen zur Verbesserung des Bewusstseins und der Sicherheitsprozesse der getesteten Partei.
Indem wir Kampagnen in regelmäßigen Abständen wiederholen, erzielen wir eine langfristige Wirkung. Die Mitarbeiter entwickeln die Gewohnheit, jede E-Mail, die sie erhalten, kritisch zu bewerten. Außerdem können Unternehmen durch den Vergleich der Ergebnisse im Laufe der Zeit echte Verbesserungen und die Wirksamkeit der ergriffenen Maßnahmen nachverfolgen.
Mehr als Technologie, es geht um Verhalten
Selbst wenn Unternehmen moderne Technologien wie Firewalls, EDR-Lösungen, Segmentierung oder Backup einsetzen, hängt das Endergebnis immer noch vom täglichen Verhalten der Benutzer ab. Das liegt daran, dass Phishing-Kampagnen keine technischen Schwachstellen angreifen, sondern psychologische Tricks anwenden. Aus diesem Grund sind sie oft erfolgreich. Sie können sogar technologisch gut geschützte Organisationen täuschen.
Der Vorteil von simulierten Phishing-Angriffen ist ihr hoher Vorhersagewert sowohl für das Management als auch für die IT-Abteilung. Das Unternehmen erhält nicht nur ein allgemeines Bild des Risikos, sondern auch spezifische Daten: welche Teams am anfälligsten sind, wie schnell Benutzer verdächtige E-Mails gemeldet haben, wo die interne Kommunikation versagt.
Vorbeugung ist billiger als die Bewältigung der Folgen
Unser Service ist für Unternehmen aller Größen und Branchen geeignet. Er hilft dabei, Schwachstellen zu erkennen und gleichzeitig das Sicherheitsbewusstsein im gesamten Unternehmen zu erhöhen. Simulierte Phishing-Kampagnen fördern eine Unternehmenskultur der Wachsamkeit und des Verantwortungsbewusstseins, was in der Praxis die effektivste Form des Schutzes gegen reale Angriffe ist.
Denn es gibt eine ungeschriebene Regel in der Cybersicherheit: Der beste Angriff ist der, der nie stattfindet.
