Cybersecurity-Awareness: Warum Klickraten allein nicht aussagekräftig sind
Fünf Fragen an Security-Experte Jörg Jungblut, Head Information Security Partner, Six Group, und Palo Stacho, Head of Operations und Mitgründer von Lucy Security.
Was sind eigentlich Cybersecurity-Awareness-Massnahmen?
Jörg Jungblut: Mitarbeitende müssen sensibilisiert sein, welche aktuellen Bedrohungsszenarien im Internet lauern könnten. Viele Unternehmen investieren daher nicht nur in professionelle IT-Security-Lösungen, sondern auch in die Fortbildung und in bestimmte Massnahmen für ihre Mitarbeitenden, damit diese sicherheitsbewusster werden. Ziel von Cybersecurity-Awareness-Lösungen ist der allgemeine Schutz des Unternehmens vor den Schäden der Cyberkriminalität. Nur wenn sich ein Angestellter über mögliche Risiken bewusst und in der Lage ist, einen Cyberangriff als solchen zu erkennen, lassen sich unmittelbare Gegenmassnahmen ergreifen und Schäden für das gesamte Unternehmen verhindern. Mit einem einmaligen Training ist es aber noch nicht getan, vielmehr sind langfristige Konzepte gefragt. Hier kommen Cybersecurity-Awareness-Plattformen ins Spiel, mit deren Hilfe Mitarbeitende regelmässig geschult werden können.
Palo Stacho: Durch interne Analysen haben wir von Lucy Security festgestellt, dass richtig durchgeführte Awareness-Programme ein Unternehmen bis zu zehnmal sicherer machen können. Bei den meisten Cyberangriffen steht der Mensch im Fokus der Kriminellen. Viele erfolgreiche Attacken beginnen mit dem sogenannten Phishing, einem Social-Engineering-Trick. Der Angriff erfolgt mit gefälschten E-Mails oder Webseiten. Nur ein geschulter Mitarbeiter kann auf solche Angriffe richtig reagieren.
Wie laufen die Security-Awareness-Kampagnen ab?
Stacho: Eine Awareness-Kampagne beinhaltet entweder Schulungsmodule, simulierte Phishing-Angriffe oder beides. Unternehmen können selbst mithilfe eines Softwareprodukts oder über eine Plattform solche Trainings konfigurieren oder die fiktive Rolle eines Angreifers einnehmen, um typische Phishing-Szenarien nachzustellen. Zum Letzteren gehören SMS-Phishing, Corporate-Phishing oder Spear-Phishing, das auf Mitarbeitende in Führungspositionen abzielt. Die Massnahmen lassen sich abhängig vom gewählten Produkt gezielt auf die individuellen Bedrohungen für das jeweilige Unternehmen zuschneiden. Ist eine standardisierte Berichtsfunktion verfügbar, dann kann über die Ergebnisse der Schulungen und Tests Auskunft gegeben werden.
Jungblut: Vor dem Start der Phishing-Simulation werden zunächst die genauen Erwartungen seitens des Senior Managements abgeklärt, die Aktivitäten sowie der Zeitrahmen, die Häufigkeit der Simulation und die Zielgruppe definiert. Damit besteht auch die Möglichkeit, dass die Personalvertretung die geplanten Awareness-Kampagnen verstehen und unterstützen kann. Zudem sollte ein Kommunikationsplan erarbeitet werden, damit die Mitarbeitenden über den Ablauf, die Erwartungen und den Zeitplan auf dem Laufenden bleiben.
Wie oft müssen die Kampagnen durchgeführt werden?
Stacho: Jüngste Studien zeigen, dass bereits nach zwei bis drei Monaten die Sensibilität der Mitarbeitenden nachlässt. Deshalb sollten Kampagnen nicht nur vereinzelt während des Jahres durchgeführt werden – wir nennen dies "SingleShot-Ansatz" –, sondern kontinuierlich mit verschiedenen Szenarien und unterschiedlichen Gaming-Ansätzen stattfinden. Unsere Kunden bestätigen diesen Ansatz.
Jungblut: Genau, das kann ich bestätigen. Wir bei SIX fingen zunächst mit diesem "Big-Bang-Ansatz" an, aber sahen sofort, dass zwar die Klickraten der Mitarbeitenden auf Test-Phishing-Mails abnahmen, aber Mitarbeitende diese simulierten Phishing-Attacken immer schneller erkannten, sodass der erstrebte Lerneffekt nachliess. So haben wir im Jahr 2020 eine Awareness-Kampagne, die stets geändert wurde, zirka alle drei Wochen an unterschiedlichen Gruppen von jeweils etwa 1100 Mitarbeitenden verschickt. Damit hielten wir die Sensibilität für Cybersecurity-Gefahren der Mitarbeitenden konstant hoch.
Herr Jungblut, wie messen Sie die Sensibilität ihrer Mitarbeitenden, beziehungsweise wann ist eine Kampagne erfolgreich?
Jungblut: Das ist eine der wichtigsten Fragen überhaupt. Um es kurz zu machen: Es geht nicht um die Klickrate. Mitarbeitende lernen schnell, wie simulierte Phishing-Kampagnen aussehen. Auch könnten wir Phishing-Attacken à la "Viagra" oder andere bekannte E-Mail-Spams durchführen, bei diesen würden die Klickraten jedoch gegen null laufen. Aber das ist nicht der Sinn von Cybersecurity-Awareness-Massnahmen. Erst wenn unterschiedlich gestaltete Szenarien kontinuierlich eingesetzt werden und die Mitarbeitenden diese Mails dann auch an uns aktiv zurückspielen, durch beispielsweise die Verwendung des Phishing-Buttons, können wir erkennen, dass unsere Mitarbeitenden sensibilisiert sind, mitdenken und das Unternehmen aktiv schützen wollen. Das heisst für mich, nicht die Klickrate ist entscheidend, sondern die – bei uns sogenannte – Reporting-Rate. Die Resilienz basiert auf zwei wichtigen Faktoren: das aktive Reporting der Mitarbeitenden und die schnelle Reaktion des Security Operations Centers (SOC) des Unternehmens, um die richtigen Massnahmen einzuleiten.
Stacho: Das SOC ist abhängig von genau diesen Informationen seiner Mitarbeitenden, denn bei einem Angriff ist Schnelligkeit ein wichtiger Faktor. Die gefährlichsten Attacken sind die, die durch die IT und die Filter durchgekommen sind. Die Intelligenz der Mitarbeitenden in Kombination mit Wachsamkeit, also die Schad-Mail zu entdecken, und ihr Engagement, also den Phishing-Button zu nutzen, ist wertvoll und macht das Unternehmen wirklich sicher. Wenn plötzlich fünf Mitarbeitende innerhalb von 20 Minuten die verdächtige E-Mail melden, dann nehmen die Verantwortlichen das viel ernster. Sie können sofort die Filter anpassen und bei allen anderen Mitarbeitenden die gegebenenfalls noch nicht geöffnete Schad-Mail gar aus der Inbox nehmen. So kann die "Phishing Kill Chain" sehr schnell unterbrochen werden.
Welche Bedrohungsszenarien können simuliert werden? Und welche Massnahmen sind noch erfolgreich?
Jungblut: Um eine steigende Lernkurve zu erzielen, kann die Komplexität der ausgewählten Themen schrittweise angepasst und auf ein höheres Niveau gebracht werden. Unter anderem wechseln wir in unseren Szenarien ab zwischen "Drive-by", das heisst Platzierung eines Links in einer E-Mail, "Identity Theft", also interaktives Phishing, um etwa Zugangsdaten abzugreifen, und "bösartigen Anhängen", die Ransomware-Attacken simulieren. Genutzte Szenarien sollten möglichst einfach gestaltet sein, "firmennah" aussehen und an die Emotionen appellieren – etwa mit Druck oder mit persönlicher Betroffenheit.
Stacho: Ausser den wichtigen Phishing-Tests haben in den letzten Jahren die E-Learning-Komponenten an Bedeutung gewonnen, vor allem jetzt in der Pandemie-Zeit, bei der viele Mitarbeitende im Homeoffice sind. Wir von Lucy bieten mehr als 300 interaktive, webbasierte Schulungsmodule, ob in Form von Videos, Tests, Quiz, Spiele usw. zu verschiedenen Sicherheitsthemen, die Mitarbeitende auf Grundlage der Ergebnisse der Angriffssimulationen oder auch unabhängig davon zur Verfügung gestellt werden können. Nutzer erhalten eine Art Schulungsbibliothek, die ihnen personalisiert zur Verfügung gestellt wird. Mitarbeitende können so ihre eigenen Lerninhalte in der Lucy-Lernplattform selbst verwalten, während der IT-Administrator den Lernfortschritt in Echtzeit verfolgen kann. Unter anderem setzen wir bei den Cybersicherheitsschulungen auf den Faktor Gamification, etwa mit einem bekannten Quizformat "Wer wird Security Expert?", um sich mit seinen Kollegen zu messen. Gamification ist auch ein wichtiger Ansatz, um ein nachhaltiges E-Learning-Resultat zu erzielen: Es ist ein Prozess der Einbindung von Mitarbeitenden und deren Verhaltungsänderungen durch Spielmechanismen in einem Nicht-Spiel-Kontext. Der Lerneffekt ist dabei enorm.
LUCY Security AG
Chamerstrasse 44
6300 Zug
+41 44 515 56 35
www.lucysecurity.com