Simulierte Phishing-Kampagnen – Ziele, Formen und ihre Probleme

bei

 / 23. July. 2020

Phishing-Angriffe sind nichts neues, aber unabhängig von der Größe des Unternehmens eine große Gefahr für jede Institution, die Phishing-Kampagnen verwenden um die Resistenz ihrer Mitarbeiter gegen Phishing-Angriffe zu testen und zu verbessern. Doch woraus besteht eine Phishing-Kampagne? Eine Phishing-Kampagne ist im Allgemeinen ein Vorgehen, bei dem die Institution Phishing-Nachrichten simuliert und diese an ihre Angestellten versendet. Hier finden Sie die wichtigsten Informationen über Phishing-Kampagnen, ihre Ziele, Ausgestaltungsformen, damit verbundene potentielle Probleme und ihre Aussagekraft.

Welche Ziele verfolgen simulierte Phishing-Kampagnen?

Phishing-Kampagnen können unterschiedliche Ziele verfolgen. Die drei Wesentlichsten sind:

    1. die Erhebung des Ist-Zustands der Institution in Bezug auf ihre Resistenz gegen Phishing-Angriffe,
    2. das Ausnutzen einer Phishing Nachricht als sogenannten Teachable Moment um die Angestellten zu schulen und zuletzt
    3. eine wissenschaftliche Evaluation einer Security-Awareness-Maßnahme.

Ein möglicher Indikator für die Resistenz der Mitarbeiter gegen Phishing-Attacken ist das Melden von entdeckten Phishing-Angriffen. Das Aufweisen hoher Fehlerquoten könnte beispielsweise den Bedarf entsprechender Security-Awareness-Kampagnen oder Schulungen offenbaren und eine Grundlage für eine  Budgeterhöhung des Bereichs IT-/Informationssicherheit und/oder Datenschutz bieten, um solche Maßnahmen zu finanzieren.

Bei der Betrachtung einer Phishing-Attacke als Teachable Moment wird davon ausgegangen, dass jemand, der auf eine simulierte Phishing Nachricht hereinfällt durch diese Erfahrung unmittelbar danach besonders aufnahmefähig für Security-Awareness-Maßnahmen ist. Aus diesem Grund erhält die Person genau dann, wenn sie sich in der Rolle des potentiellen Opfers befunden hat, die notwendigen Informationen für den Umgang mit Phishing-Nachrichten und insbesondere wie diese zu erkennen und zu melden sind. An dieser Stelle ist zu unterscheiden, ob die Security-Awareness-Maßnahme lediglich den Zweck der Aufklärung verfolgt oder bereits eine Evaluation der Security-Awareness-Maßnahme umfasst, indem auch die Anzahl der potentiellen Opfer festgehalten wird. Simulierte Phishing-Kampagnen können ebenfalls der Evaluation von Security-Awareness-Maßnahmen dienen.

Phishing-Kampagne gleich Phishing-Kampagne?

Was sie alle gemeinsam haben: Bei einer Phishing-Kampagne werden unterschiedliche betrügerische Nachrichten über einen bestimmten Zeitraum an die Belegschaft der Institution verschickt. Häufig assoziieren wir mit Phishing-Nachrichten im Unternehmenskontext die Kommunikation per E-Mail. Phishing-Nachrichten können jedoch über unterschiedliche Nachrichtenkanäle erfolgen und so unterscheiden sich auch die Ausführungen der Phishing-Kampagnen je nach Kanal. Unterscheidungskriterium kann somit zum einen der Nachrichtenkanal sein, aber auch die Art der gefährlichen Inhalte, die Schwierigkeitsgrade von Phishing-Angriffen und die von Angreifern verfolgten Strategien. Auch Inhalt der Nachricht und der Absendertyp (z. B. ist der Absender eine Person oder Institution) können variieren.

Wesentlich ist zudem, wer für die Durchführung der Kampagne verantwortlich ist. Die Kampagne kann entweder durch institutionsinterne Personen oder durch externe Dritte, die von der Institution beauftragt werden, durchgeführt werden. Sollten externe Dritte beauftragt werden, bleibt die Entscheidung, ob die Nachrichten von intern oder extern verschickt werden. Weitere bedeutende Unterscheidungskriterien sind der Zeitraum der Durchführung und die Anzahl der in diesem Zeitraum versendeten Nachrichten. Außerdem sind die unterschiedlichen Möglichkeiten des Umgangs mit dem Hereinfallen auf eine Phishing-Nachricht und die Form der Ankündigung der Phishing-Kampagne selbst zu beachten. Die Ankündigung kann mehr oder weniger detailliert erfolgen. Unter anderem sind auch Kontexte denkbar, in denen die Kampagne ohne Ankündigung erfolgt.

Abhängig davon welches Ziel die Phishing-Kampagne letztendlich verfolgt, würde sich die Erhebung der Daten auf unterschiedliche Werte beziehen. Beispiele hierfür wären die Erhebung der Anzahl der Personen, die je Phishing-Nachricht die entsprechende unerwünschte Aktion ausführen (z.B. sensible Daten angeben) oder aber die Erhebung der Anzahl der Personen die eine Phishing-Nachricht melden oder löschen.

Abschließend kann auch das Reporten der Ergebnisse unterschiedlich erfolgen und sich beispielsweise auf alle Angestellten, einzelne Gruppen oder auf einzelne Nachrichtentypen beziehen.

Welche Probleme können Phishing-Kampagnen mit sich bringen?

Phishing-Kampagnen verfolgen im Allgemeinen das Ziel das Sicherheitsniveau der Institution langfristig zu erhöhen. Doch insbesondere für den Zeitraum der Durchführung der Kampagnen setzen sie dieses massiv herab. Besondere Risiken bestehen, wenn

    • die Nachrichten von extern verschickt werden,
    • die Security Prüfung angepasst wird (und damit herabgesetzt wird),
    • keine klaren Melde- und Rückfrageprozesse in der Institution vorhanden sind,
    • die Phishing-Kampagne und die damit verbundenen Aufgaben und Erwartungen an die Angestellten nicht klar kommuniziert werden und
    • das Melde- und Rückfragewesen nicht entsprechend auf die Zusatzbelastung durch die Kampagne vorbereitet wird.

Aus rechtlicher Sicht ist zu beachten, dass Personal- bzw. Betriebsrat in die Gestaltung einer Phishing-Kampagne mit einbezogen werden müssen und auch unter Umständen Informationen bis zum Abschluss der Kampagne geheim gehalten werden müssen. Außerdem ist abzuklären, ob eine anonyme Auswertung der Ergebnisse notwendig ist oder eine pseudonymisierte Auswertung arbeits- und datenschutzrechtlich ausreichend ist. Auch bleibt die Frage zu klären, ob die vorherige Information der Angestellten notwendig ist. Die Konsequenzen einer umfangreichen vorhergehenden Kommunikation gegenüber den Angestellten könnten eine negative Auswirkung auf die Aussagekraft der Ergebnisse sein. Andererseits können wenige Informationen sich negativ auf das Vertrauen in die Institution auswirken und einzelne Security-Probleme so sogar verstärken.

Ein wesentlicher, zu beachtender Aspekt ist, dass ein schlechtes Ergebnis keine arbeitsrechtlichen Konsequenzen haben darf.  Wichtig ist, dass die Angestellten spätestens nach Beendigung der Kampagne ausführlich aufgeklärt werden.

Außerdem müssen Urheberrechte im Fall von simulierten Phishing-Nachrichten überprüft werden, insbesondere wenn Phishing-Kampagnen nicht ausschließlich institutionsintern durchgeführt werden. Auch hier sind die Auswirkungen auf die Aussagekraft der Kampagne zu beachten.

Nicht zuletzt sollten die Auswirkungen auf das Betriebsklima in Betracht gezogen werden. Wie bereits angesprochen kann die Durchführung einer Phishing-Kampagne einen negativen Einfluss auf die Vertrauens- und Fehlerkultur haben.

Unter Berücksichtigung der Security Betrachtungen kann festgehalten werden, dass Angestellte im Vorfeld ausführlich informiert werden sollten. Phishing-Nachrichten sollten weder durch Angestellte selbst simuliert werden, noch von externen Anbietern. Voraussetzung sind funktionierende Melde- und Rückfrageprozesse. Ebenso muss den Mitarbeitern ausreichend Zeit eingeräumt werden, um ihre Nachrichten zu bearbeiten und mögliche auftretende Sicherheitsprobleme zu handhaben, auch wenn dies die Produktivität der Angestellten reduzieren kann.

Wie aussagekräftig sind Phishing Kampagnen wirklich?

Einer der wesentlichsten Einflussfaktoren der Aussagekraft von Phishing-Kampagnen ist der Umfang der Information den Mitarbeitern gegenüber. Unvermeidbar ist, dass ein Großteil der Mitarbeiter in Erwartung einer Phishing-Nachricht skeptischer sein wird als üblich und häufiger die Meinung von Kollegen und Kolleginnen zu Rat ziehen wird. Andere könnten dem Vorgehen gegenüber, dass das Unternehmen seine Mitarbeiter so „angreift“ derart abgeneigt sein, dass sie absichtlich auf Phishing-Nachrichten eingehen (u.a. damit auch nicht nur auf simulierte).

Wichtig ist, dass ein etablierter Melde- und Rückfrageprozess bereits vor dem Beginn der Phishing-Kampagne existiert. Dieser Prozess muss ein Melden und nicht ein Löschen von Nachrichten vorsehen. Denn ein Nicht-Interagieren mit Phishing-Nachrichten kann zahlreiche Gründe haben und ist somit kein eindeutiger Indikator für ein negatives Interagieren. Beispielsweise wurde die Nachricht gar nicht gesehen, weil die Person in Urlaub oder krank war oder aber weil sie für sie nicht relevant war oder ein Kollege sie bereits auf diese Phishing-Nachricht aufmerksam gemacht hat. Ebenfalls sollte Angestellten nicht mitgeteilt werden, dass sie ihre Kollegen nicht informieren sollten, denn genau das ist in der Realität nötig.

Nicht außer Acht zu lassen ist auch die Anzahl der False Positives. Also Nachrichten die als Phishing-Nachricht eingeschätzt wurden, selbst wenn sie legitim waren.

Insbesondere hängt die Aussagekraft einer Phishing-Kampagne von den simulierten Nachrichten ab. Ein grundlegendes Prinzip ist: Umso leichter diese zu erkennen sind, umso „besser“ sind die Ergebnisse. Um die Realität möglichst genau dazustellen müssten die Simulationen wirkliche Angriffe abbilden. Dafür müssten jedoch wiederum Nachrichten von Angestellten und externen Anbietern verwendet werden, deren Nachteile bereits geschildert wurden. Insgesamt gilt, dass die Aussagekraft immer in Bezug auf die simulierten Phishing-Nachrichten sowie in Bezug auf die Änderungen an der Infrastruktur zu sehen ist.

Zusammenfassend ist die Aussagekraft allgemein und insbesondere in konkreten Ausgestaltungsformen äußerst umstritten. Gleichzeitig ist der Aufwand für eine Phishing Kampagne, bei der die dadurch neu generierten Security Probleme minimiert werden und die rechtskonform ist, extrem aufwendig. Dabei ist nicht zu vergessen, dass bei jeder simulierten Phishing Kampagne die Probleme hinsichtlich des Vertrauensverhältnisses und der Selbstwirksamkeit bleiben. Daher überwiegen die unterschiedlichen Kosten dem ohnehin bisher nicht wirklich nachgewiesenem Nutzen. Entsprechend wird empfohlen, andere Maßnahmen zur Steigerung der IT-Sicherheit in der eigenen Organisation umzusetzen.

[Eine Ausführlichere Diskussion der Thematik finden Sie hier:
Melanie Volkamer, Martina A. Sasse, and Franziska Boehm. 2020. Phishing-Kampagnen zur Mitarbeiter-Awareness : Analyse aus verschiedenen Blickwinkeln: Security, Recht und Faktor Mensch. DOI: https://doi.org/]

 

Prof. DrMelanie Volkamer ist Leiterin der Forschungsgruppe SECUSO (Security * Usability * Society) am Institut AIFB am KIT. Sie forscht mit Ihrer Gruppe an benutzbaren Sicherheitstechnologien und effektiven Security-Awarenessmaßnahmen.

Prof. Dr. Franziska Boehm ist Bereichsleiterin für Immaterialgüterrechte in verteilten Informationsinfrastrukturen (IGR) bei FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur und Professorin am Karlsruher Institut für Technologie (KIT), am Zentrum für angewandte Rechtswissenschaft (ZAR).

Prof. Dr. Angela Sasse ist Leiterin des Lehr­stuhls ‚Human-Cent­red Se­cu­ri­ty‘ am Horst-Görtz-In­sti­tut für IT-Si­cher­heit der Ruhr-Uni­ver­si­tät Bo­chum.