Security Awareness

Warum Phishing-Simulationen auch schaden können

07. September 2022
Verfasst von Julia Schreiber

Symbolbild Phishing Simulationen

Bild: © Carl Heyerdahl - Unsplash.com

An sensible Informationen wie Passwörter und Zugangsdaten zu gelangen, ist das Ziel von Cyberkriminellen beim Phishing. Fast jeder kennt die angebliche E-Mail von Banken, in der um die Eingabe der Logindaten für das Online-Banking gebeten wird. Oder die vermeintlich erforderliche Verifizierung des Paypal-Accounts.

Nicht jeder Betrugsversuch ist eindeutig. Unternehmen möchten ihre Mitarbeitenden deshalb verstärkt für solche Cyberangriffe sensibilisieren und setzen auf Phishing Simulationen – auch Phishing Tests oder Phishing Trainings genannt. Dabei verschickt ein Tool harmlose E-Mails, die betrügerischen Phishing-Nachrichten ähneln, an das gesamte Team. Anschließend lässt sich analysieren, wie viele Personen die E-Mail öffnen beziehungsweise die enthaltenen Links anklicken. Doch das Verfahren ist umstritten.

Fehlende Sensibilisierung für IT-Sicherheit kann teuer sein

Grundsätzlich sind Sensibilisierungsmaßnahmen sehr sinnvoll. Das BSI weist in den jährlichen Lageberichten zur IT-Sicherheit auf deren Notwendigkeit hin und empfiehlt im IT-Grundschutz: Mitarbeitende „sollten regelmäßig für Sicherheitsaspekte sensibilisiert werden, um das Bewusstsein für Risiken und Schutzvorkehrungen im alltäglichen Umgang mit Informationen zu schärfen“.

Zugleich entstehen für Unternehmen immense Schäden durch Phishing-Angriffe und andere Cyberattacken. Der Branchenverband Bitkom e.V. beziffert die Schadenssumme durch Cybercrime in seinem Wirtschaftsschutzbericht 2021 mit 223,5 Mrd. Euro jährlich für Deutschland.

Geld, das in Weiterbildungsmaßnahmen rund im IT-Sicherheit besser investiert ist (und in technische Maßnahmen). Aber es sollten die richtigen Maßnahmen sein – und das sind Phishing Simulationen nur bedingt.

Phishing Tests alleine haben wenig Aussagekraft

Phishing Simulationen haben mehrere Defizite:

  1. Phishing passiert nicht nur über E-Mail-Nachrichten: Diese sind der häufigste Kanal, aber auch SMS, soziale Netzwerke und sogar das Telefon werden von Cyberkriminellen für ihre betrügerischen Absichten verwendet. Der Fokus auf E-Mail wird dem großen Spektrum an Cyberangriffen nicht gerecht.
  2. Wissenslücken werden aufgezeigt, aber nicht geschlossen: Weiß das Team nach der Phishing Simulation, wie ich eine verdächtige E-Mail überprüfen kann, mit wem ich bei Zweifeln an der Authentizität einer Nachricht Kontakt aufnehme und wie ich mich im Ernstfall verhalte? Auch bedarf es im Unternehmen einer offenen Fehlerkultur. Wer sich beim Klick auf eine Phishing-Mail „ertappt“ oder an den Pranger gestellt fühlt, ist anschließend nicht selbstbewusster im Umgang mit IT-Sicherheitsbedrohungen.
  3. Schlussendlich besteht die Gefahr statistischer Verzerrungen: Personen öffnen krankheits- oder urlaubsbedingt nicht die Mail. Oder sie wurden von Teammitgliedern gewarnt, dass ein solcher Test erfolgt. All dies schränkt die Aussagekraft solcher Simulationen ein.

Diese drei Blickwinkel sollten beim Einsatz eines solchen Tools bedacht werden – um dann individuell zu entscheiden, ob Phishing Simulationen im eigenen Unternehmen hilfreich sind.

Welche Maßnahmen sind also unverzichtbar? Wichtig ist neben den üblichen technischen Maßnahmen zur IT-Sicherheit, dass die Mitarbeiterinnen und Mitarbeiter über Gefährdungspotenziale informiert werden. Dies kann zum Beispiel im Rahmen von Security-Awareness-Schulungen geschehen. So werden die gefälschten Sparkassen- oder PayPal-Nachrichten als das erkannt, was sie sind: Phishing-Versuche von Kriminellen.