Phishing-Kampagne
© Shutterstock / Who is Danny

Warum simulierte Phishing-Kampagnen keine gute Idee sind

Die aufwändige Methode hat laut Expertinnen wenig Nutzen - aber Nachteile

Um Mitarbeitende für gefährliche Phishing-Angriffe zu sensibilisieren, überlegen Institutionen, eine simulierte Phishing-Kampagne durchzuführen. Prof. Dr. Melanie Volkamer, Prof. Dr. Franziska Boehm und Prof. Dr. Angela Sasse haben Probleme und Aussagekraft der Methode untersucht.

Phishing-Angriffe sind und bleiben unabhängig von der Größe einer Institution eine große Gefahr. Zunehmend gibt es Anbieter, die simulierte Phishing-Kampagnen bei Mitarbeitenden der beauftragenden Institution als Security-Awareness-Maßnahme durchführen oder Tools anbieten, um diese Kampagnen selbst in der Institution durchzuführen. Aber führen simulierte Phishing-Kampagnen dazu, dass das Risiko für IT-Sicherheitsvorfälle tatsächlich reduziert wird? Was ist zu beachten, damit eine solche Kampagne rechtlich und ethisch vertretbar ist? Welche negativen Auswirkungen auf die Selbstwirksamkeit der Mitarbeitenden sowie auf die Vertrauens- und Sicherheitskultur werden in Kauf genommen? 

Ziele simulierter Phishing-Kampagnen

Simulierte Phishing-Kampagnen können unterschiedliche Ziele verfolgen. Die drei Wesentlichsten sind:

  • den Ist-Zustands der Institution in Bezug auf ihre Resistenz gegen Phishing-Angriffe zu erheben
  • eine Phishing-Nachricht als sogenannte Teachable Moment zu nutzen, um die Angestellten zu schulen
  • die Effektivität der eigentlichen Phishing-Awareness-Maßnahme zu evaluieren

Im Fokus dieses Beitrags steht das zweite Ziel. Hier wird davon ausgegangen, dass jemand, der auf eine simulierte Phishing-Nachricht hereinfällt, durch diese Erfahrung unmittelbar danach besonders aufnahmefähig für Phishing-Training-Maßnahmen ist. Aus diesem Grund erhält die Person genau dann, wenn sie sich in der Rolle des potentiellen Opfers befunden hat, die notwendigen Informationen für den Umgang mit Phishing-Nachrichten und insbesondere wie diese zu erkennen und zu melden sind. Um dieses Ziel zu erreichen, ist es zunächst nicht notwendig, Daten hinsichtlich der Fail-Rates beziehungsweise dem erfolgreichen Melden von Phishing-Nachrichten zu erheben. Häufig werden dennoch bei diesen simulierten Phishing-Kampagnen Daten erhoben, um zu sehen, ob diese sich über die Zeit verändern.

Arten simulierter Phishing-Kampagnen

Simulierte Phishing-Kampagnen können sich hinsichtlich der Art der Nachrichtentypen unterscheiden: nur E-Mail-Nachrichten oder auch andere Nachrichtenformen. Außerdem hinsichtlich der Schwierigkeit, die Nachrichten als Phishing-Nachricht zu erkennen. Wesentlich ist zudem, wer für die Durchführung der Kampagne verantwortlich ist. Die Kampagne kann entweder durch institutionsinterne Personen durchgeführt werden oder durch externe Dritte, die von der Institution beauftragt werden. Werden externe Dritte beauftragt, muss entschieden werden, ob die Nachrichten von intern oder extern verschickt werden. Weitere bedeutende Unterscheidungskriterien von simulierten Phishing-Kampagnen sind der Zeitraum der Durchführung und die Anzahl der in diesem Zeitraum versendeten Nachrichten. Abschließend kann auch das Berichten über die Ergebnisse - zum Beispiel gegenüber der Institutionsleitung - unterschiedlich erfolgen und sich beispielsweise auf alle Mitarbeitenden, einzelne Gruppen oder auf einzelne Nachrichtentypen beziehen.

Bei simulierten Phishing-Kampagnen gibt es vieles zu überlegen, etwa ob die E-Mails von einem internen Mitarbeiter oder von extern verschickt werden soll.
© Shutterstock / Wright Studio

Rechtliche Rahmenbedingungen

Aus rechtlicher Sicht ist zu beachten, dass der Personal- bzw. der Betriebsrat in die Gestaltung einer simulierten Phishing-Kampagne mit einbezogen werden müssen. Außerdem ist abzuklären, dass die geplante Art der Mitarbeiterinformation und die Auswertung der erhobenen Daten arbeits- und datenschutzrechtlich zulässig ist.

  • Hierbei ist auch zu beachten, dass die Konsequenzen einer umfangreichen vorhergehenden Kommunikation gegenüber den Mitarbeitenden eine negative Auswirkung auf die Aussagekraft der Ergebnisse hat. Andererseits können wenige Informationen über die Kampagne sich negativ auf das Vertrauen in die Institution auswirken und einzelne Security-Probleme so sogar verstärken.
  • Es ist auch zu beachten, dass ein schlechtes Ergebnis einzelner Mitarbeitenden keine arbeitsrechtlichen Konsequenzen für diese haben darf.

Außerdem müssen Urheberrechte im Fall von simulierten Phishing-Nachrichten überprüft werden, insbesondere wenn Phishing-Kampagnen nicht ausschließlich institutionsintern durchgeführt werden. Auch hier sind die Auswirkungen auf die Aussagekraft der Kampagne zu beachten.

Potentielle Security Probleme

Phishing-Kampagnen verfolgen im Allgemeinen das Ziel, das Sicherheitsniveau der Institution langfristig zu erhöhen. Doch insbesondere für den Zeitraum der Durchführung der Kampagnen setzen sie dieses herab. Besondere Risiken bestehen, wenn

  • die Nachrichten von extern verschickt werden und die Security-Prüfung angepasst wird (und damit herabgesetzt wird)
  • keine klaren Melde- und Rückfrageprozesse in der Institution vorhanden sind, so dass man erst mit der Nachricht interagieren muss, um festzustellen, dass diese zur Kampagne gehört
  • die Phishing-Kampagne und die damit verbundenen Aufgaben und Erwartungen an die Angestellten nicht klar kommuniziert werden, so dass Mitarbeitende zum Beispiel aus Neugier mit einer vermeintlich simulierten Phishing-Nachricht interagieren
  • das Melde- und Rückfragewesen nicht entsprechend auf die Zusatzbelastung durch die Kampagne vorbereitet wird und so nicht zeitnah auf wirkliche Phishing-Angriffe reagieren kann

Vertrauens- und Sicherheitskultur

Bevor eine Phishing-Kampagne simuliert wird, sollten die negativen Auswirkungen auf die Vertrauens- und Sicherheitskultur der Institution durchdacht werden:

  • Wenn simulierte Phishing-Angriffe so gestaltet sind, dass diese aussehen, als kämen sie von anderen Mitarbeitenden, kann sich dies negativ auf das Arbeitsklima auswirken. Wenn diese nicht simuliert werden, dann hat dies einen negative Auswirkung auf die Aussagekraft der erhobenen Daten.

  • Wird die Kampagne nicht ausführlich angekündigt und wird nicht bereits vor der ersten simulierten Nachricht eine entsprechende Schulung angeboten, wird das Vertrauen in die Leitung der Institution herabgesetzt, da dieses Vorgehen als unfair empfunden wird. Diese Haltung der Mitarbeitenden hat eine Auswirkung auf die Aussagekraft der erhobenen Daten.

  • Gleiches gilt für die Tatsache, dass bereits vor der ersten simulierten Phishing-Nachricht entsprechende Melde- und Rückfrageprozesse etabliert sein müssen.

  • Mitarbeitenden muss ausreichend Zeit eingeräumt werden, um ihre Nachrichten zu bearbeiten und mögliche auftretende Sicherheitsprobleme zu handhaben, auch wenn dies die Produktivität der Angestellten reduzieren kann. Sonst wird die Kampagne schnell als zusätzliche Belastung gesehen.

  • Mitarbeitende haben Angst Fehler zu machen, werden verunsichert und ihre Produktivität sinkt.

Vor Beginn einer Phishing-Kampagne sollte ein Melde- und Rückfrageprozess etabliert werden.
© Shutterstock / fizkes

Aussagekraft von simulierten Phishing-Kampagnen

Einer der wesentlichsten Einflussfaktoren auf die Aussagekraft von Phishing-Kampagnen ist der Umfang der Information, die die Mitarbeitenden erhalten. Unvermeidbar ist, dass ein Großteil der Mitarbeitenden in Erwartung einer Phishing-Nachricht skeptischer sein wird als üblich und häufiger die Meinung von Kollegen und Kolleginnen zu Rat zieht. Andere könnten dem Vorgehen gegenüber, dass das Unternehmen seine Mitarbeiter so „angreift“ derart abgeneigt sein, dass sie absichtlich auf Phishing-Nachrichten eingehen - unter anderem damit auch nicht nur auf simulierte.

Wichtig ist, dass ein etablierter Melde- und Rückfrageprozess bereits vor dem Beginn der Phishing-Kampagne existiert. Dieser Prozess muss ein Melden und nicht ein Löschen von Nachrichten vorsehen. Denn ein Nicht-Interagieren mit Phishing-Nachrichten kann zahlreiche Gründe haben und ist somit kein eindeutiger Indikator für ein negatives Interagieren. Beispielsweise wurde die Nachricht gar nicht gesehen, weil die Person in Urlaub oder krank war oder aber weil sie für sie nicht relevant war oder ein Kollege sie bereits auf diese Phishing-Nachricht aufmerksam gemacht hat. Ebenfalls sollte Angestellten nicht mitgeteilt werden, dass sie ihre Kollegen nicht informieren sollten, denn genau das ist in der Realität nötig.

Nicht außer Acht zu lassen ist auch die Anzahl der False Positives. Also Nachrichten, die als Phishing-Nachricht eingeschätzt wurden, selbst wenn sie legitim waren.

Insbesondere hängt die Aussagekraft einer Phishing-Kampagne von den simulierten Nachrichten ab. Ein grundlegendes Prinzip ist: Umso leichter diese zu erkennen sind, umso „besser“ sind die Ergebnisse. Um die Realität möglichst genau darzustellen, müssten die Simulationen wirkliche Angriffe abbilden. Dafür müssten jedoch wiederum Nachrichten von Angestellten und externen Anbietern verwendet werden, deren Nachteile bereits geschildert wurden. Insgesamt gilt, dass die Aussagekraft immer in Bezug auf die simulierten Phishing-Nachrichten sowie in Bezug auf die Änderungen an der Infrastruktur zu sehen ist.

Fazit

Zusammenfassend ist die Aussagekraft allgemein und insbesondere in konkreten Ausgestaltungsformen äußerst umstritten. Gleichzeitig ist der Aufwand für eine Phishing-Kampagne, bei der die dadurch neu generierten Security-Probleme minimiert werden und die rechtskonform ist, extrem aufwändig. Dabei ist nicht zu vergessen, dass bei jeder simulierten Phishing-Kampagne die Probleme hinsichtlich des Vertrauensverhältnisses und der Selbstwirksamkeit bleiben. Daher überwiegen die unterschiedlichen Kosten dem ohnehin bisher nicht wirklich nachgewiesenem Nutzen. Entsprechend wird empfohlen, andere Maßnahmen zur Steigerung der IT-Sicherheit in der eigenen Organisation umzusetzen.

Die vollständige Analyse von Prof. Dr. Melanie Volkamer, Prof. Dr. Franziska Boehm und Prof. Dr. Angela Sasse steht auf den Seiten des Karlsruher Instituts für Technologie zum Download bereit: