Halten Sie Ihre Mitarbeiter*Innen Mit Simulierten Phishing-Angriffen Auf Dem Laufenden: Ein Leitfaden Mit Beispielen

Sarah Hofmann
By: Sarah Hofmann IT-Sicherheit | 2 Februar

Phishing ist eine der häufigsten Angriffsmethoden von Cyber-Kriminellen. Deshalb ist die Schulung Ihrer Mitarbeiter*innen zur E kennung von Phishing-E-Mails und zur Reaktion darauf ein wichtiger Bestandteil vieler IT-Sicherheitsmaßnahmen. In diesem Blogbeitrag erfahren Sie, wie Sie Phishing-Tests in Ihrem Unternehmen durchführen können, und erhalten einige kostenlose Beispiel-Phishing-Kampagnen, die Sie bei Ihrer eigenen Arbeit inspirieren können. 

Warum Phishing-Tests wichtig sind 

Phishing ist eines der gefährlichsten IT-Sicherheitsrisiken für Unternehmen und zählt auch zu den häufigsten Angriffen auf Firmen. Hinzu kommt, dass die durch Phishing-Angriffe verursachten Datenschutzverletzungen für Unternehmen extrem teuer sind. In diesem Jahr kosteten Datenschutzverletzungen aufgrund von Phishing-Angriffen ein Unternehmen im Durchschnitt 4,65 Millionen Dollar. Das ist eine Menge Geld, welches man durch einen scheinbar kleinen Fehler im Umgang mit E-Mail verlieren kann. 

Da Phishing eine derart große Bedrohung für Unternehmen darstellt, ist es wichtig, dass Mitarbeiter*innen entsprechende E-Mails erkennen und keine sensiblen Informationen preisgeben. Mit Hilfe von Phishing-Tests können Sie Ihren Mitarbeiter*innen das Erkennen und Reagieren auf gefährliche E-Mails beibringen, und zwar in einer Umgebung mit geringem Risiko. Anhand der Testergebnisse können Sie auch feststellen, ob es in Ihrer Schulung zur IT-Sicherheit noch Lücken gibt, die geschlossen werden müssen. 

Leitfaden: So implementieren Sie Phishing-Tests 

Wenn Sie in Ihrem Unternehmen ein Schulungsprogramm zum Umgang mit Phishing-E-Mails durchführen wollen, sollten Sie zu Beginn etwas Zeit in die Organisation investieren. Das spart Ihnen Zeit, wenn Sie das Programm starten, und trägt dazu bei, dass alles reibungslos abläuft. Lesen Sie weiter, um unsere Vorschläge für den Start eines eigenen Schulungsprogramms zu erfahren!

Smart CTA_phishingcase DE

Vorbereitung des Phishing-Testprogramms 

Entscheiden Sie, ob Sie Ihre Mitarbeiter*innen informieren wollen 

Bevor Sie Ihren Mitarbeiter*innen E-Mails mit Phishing-Simulationen schicken, sollten Sie entscheiden, wie viel diese über das neue Awareness-Training wissen sollen. Je nach Personal können Sie beschließen, nichts über das Programm zu kommunizieren, damit Sie ein völlig realistisches Ergebnis für die Test-E-Mails erhalten. Wenn Sie jedoch wissen, dass Ihre Mitarbeiter*innen bei einem unangekündigten Test empfindlich reagieren könnten, wäre es am besten, wenn Sie die Phishing-Simulation im Voraus ankündigen.

Sollten Sie sich dafür entscheiden, das Programm zunächst geheim zu halten, könnten Sie anfangs von realistischeren Phishing-Testergebnissen profitieren. Da Ihre Mitarbeiter*innen nicht mit einer Phishing-E-Mail rechnen, erhalten Sie einen akkuraten Eindruck von deren Sensibilität und Anfälligkeit gegenüber echten Angriffen. Halten Sie das Programm jedoch vor den Mitarbeiter*innen verborgen, besteht die Gefahr, dass sie sich gemaßregelt oder getäuscht fühlen – vor allem, wenn Sie die Testergebnisse nutzen, um bestimmte Personen herauszufiltern.

Andererseits kann eine Mitteilung über das Programm vor dem Versand der ersten Phishing-Test-E-Mail die Bemühungen um eine offene Kommunikation innerhalb Ihres Büros fördern. Dies kann auch ein guter Zeitpunkt sein, um alle in Ihrem Büro an wichtige Verhaltensweisen in Bezug auf IT-Sicherheit zu erinnern – z. B. daran, was Phishing ist, wie man es in den Posteingängen erkennt und was passieren kann, wenn man sensible Daten auf unangemessene Weise sendet.

Die Entscheidung, ob Sie Ihr Team über das Programm informieren wollen, kann schwierig sein, aber wenn Sie Ihre Bürokultur und die Interessen Ihrer Mitarbeiter*innen berücksichtigen, können Sie eine für Ihr Team geeignete Lösung finden.

Wir haben festgestellt, dass unsere Kund*innen es in der Regel vorziehen, ihre Nutzer*innen vor dem ersten Test nicht zu informieren, sondern sie erst danach über das Phishing-Testprogramm in Kenntnis zu setzen. Dieser kombinierte Ansatz könnte auch für Ihre Mitarbeiter*innen gut geeignet sein.

Erinnern Sie Ihre Mitarbeiter*innen an Ihr Meldeverfahren 

Wenn Sie Ihre Mitarbeiter*innenim Vorfeld über das Phishing-Testprogramm informieren, ist dies auch der perfekte Zeitpunkt, um alle über die bestehenden Melde- und Reaktionsverfahren zu informieren. Sorgen Sie dafür, dass alle wissen, was sie tun sollen, wenn sie eine betrügerische E-Mail in ihrem Posteingang vermuten: Wem ist die E-Mail zu melden und wie? Was ist mit der E-Mail zu tun bzw. NICHT zu tun? 

Wenn Sie sich dafür entscheiden, das Programm zunächst verborgen zu halten, kann Ihnen die erste Phishing-Test-E-Mail wichtige Erkenntnisse darüber liefern, wie gut Ihr Team das Meldeverfahren versteht. Manchmal denken die Mitarbeiter*innen, dass es 3 oder 4 verschiedene Stellen gibt, an denen sie verdächtige E-Mails melden sollten. Unserer Erfahrung nach ist die Feststellung, wie gut Ihre Mitarbeiter*innen wissen, wie IT-Bedrohungen zu melden sind, eine der wichtigsten Erkenntnisse, die unsere Kund*innen aus Phishing-Testkampagnen gewinnen. Nach Abschluss des ersten Phishing-Tests können Sie ein Meeting einberufen, um das Programm mit Ihren Mitarbeiter*innen zu besprechen und die bewährten Verfahren kurz zu wiederholen. 

Tipps zum Schreiben einer fingierten Phishing-E-Mail 

Wenn Sie nicht mit einem Anbieter von Phishing-Schulungen zusammenarbeiten, werden Sie wahrscheinlich einige Zeit damit verbringen, die Phishing-E-Mails zu erstellen, die an Ihre Mitarbeiter*innen gesendet werden sollen. Um Ihr Team darin zu schulen, diese E-Mails in realen Szenarien zu erkennen, ist es wichtig, dass Sie die E-Mails glaubwürdig gestalten und die gleichen Methoden verwenden, die auch von Cyberkriminellen eingesetzt werden. Bevor Sie sich zu viele Gedanken über die Erstellung der perfekten Test-E-Mails machen, möchten wir Ihnen im Folgenden einige Tipps für den Anfang geben. 

Verwenden Sie gängige Phishing-Signale 

Phishing-Mails sehen zwar oft unterschiedlich aus, viele haben jedoch einige Gemeinsamkeiten. Zum Beispiel: 

  • Verwendung von schlechter Grammatik oder falsch geschriebenen Wörtern

  • Allgemeine oder ungewöhnliche Begrüßungen, die nicht üblich sind 

  • Eine Domain oder E-Mail-Adresse des Absenders oder der Absenderin, die ungewöhnlich aussieht

  • Anhänge, die eine unbekannte Erweiterung haben

  • Links, die seltsam aussehen oder in keinem Zusammenhang mit dem verlinkten Text stehen

  • Dringende Anfragen nach sensiblen Daten (z. B. Anmeldedaten oder Kreditkarteninformationen)

Dies sind einige grundlegende Phishing-Signale, die Sie in Ihre E-Mails einbauen können. Sie stellen einen guten Ausgangspunkt dar, den Sie beim Schreiben Ihrer Test-E-Mails berücksichtigen sollten. Wenn Ihr Team ein gutes Verständnis für Phishing hat, könnten diese Hinweise zu einfach für sie sein. So werden beispielsweise schlechte Grammatik oder Rechtschreibfehler in Phishing-E-Mails immer seltener, da die Cyberkriminellen zunehmend besser werden und unsere Spam-Filter immer mehr offensichtliche Phishing-Bedrohungen abfangen. Um das Training effektiver zu gestalten, können Sie andere Signale einstreuen, die die Erkennung der E-Mails erschweren.  

Machen Sie die E-Mails verlockend 

Damit ein Phishing-Angriff erfolgreich ist, muss der Empfänger oder die Empfängerin das Gefühl haben, handeln zu müssen. Kombinieren Sie einige der folgenden Taktiken mit den grundlegenden Phishing-Anzeichen, um Ihre Schulungs-E-Mails noch effektiver zu gestalten: 

  • Fordern Sie zu einer dringenden oder zeitlich begrenzten Handlung auf

  • Machen Sie die E-Mail emotional (Angst und Begeisterung funktionieren gut)

  • Bieten Sie eine wünschenswerte Belohnung an. 

  • Nutzen Sie Autoritätspersonen, um das Vertrauen der Empfänger*innen auszunutzen (lesen sie dazu auch unseren Beitrag über CEO-Betrug) 

Wenn Sie diese Techniken einsetzen, wird es für Ihre Mitarbeiter*innen schwieriger sein, dem Anklicken einer E-Mail zu widerstehen. Denken Sie daran: Je echter Ihre E-Mails aussehen, desto besser wird Ihr Team später schädliche E-Mails erkennen können. 

Sie sollten sich auch über aktuelle Trends bei Phishing-E-Mails informieren, damit Sie diese in Ihre Tests einbeziehen können 

Hier sind vier Beispiele für Phishing-Kampagnen, die wir erstellt und bei unseren Kund*innen getestet haben. 

Stellen Sie einen Zeitplan auf 

Sie sollten auch festlegen, wie oft Sie Phishing-Test-E-Mails an Ihr Unternehmen senden wollen, damit Sie einen kontinuierlichen Schulungsplan erstellen können. Natürlich kann dieser Zeitplan im Laufe des Schulungsprozesses angepasst werden. Abhängig von Ihren Zielen können Sie sogar Phishing-Tests häufiger an Mitarbeiter*innen senden, die frühere Tests nicht bestanden haben.

New call-to-action

Aber wie oft ist genug?  

Wir empfehlen, mindestens zweimal pro Jahr Phishing-Test-E-Mails zu versenden, aber auch vier- bis sechsmal pro Jahr wäre sinnvoll, wenn Sie über die entsprechenden Ressourcen verfügen. Bei der Wahl der Häufigkeit der Tests sollten Sie vor allem darauf achten, dass sie oft genug durchgeführt werden, um eine kontinuierliche Sensibilisierung zu gewährleisten, ohne dass Ihre Mitarbeiter*innen „abgestumpft“ oder überfordert werden. Die Sensibilisierung ist von entscheidender Bedeutung, aber zu häufige Tests bergen die Gefahr, dass Ihre Mitarbeiter*innen nur noch auf den nächsten Phishing-Test warten, anstatt ihre Erkennungsfähigkeiten zu trainieren.

How to do good phishing simulations - Infographic

Versenden der Phishing-Test-E-Mails 

Sobald Sie die Schulung angekündigt, einige E-Mails verfasst und einen Zeitplan erstellt haben, können Sie mit dem Versand der E-Mails beginnen!  

Die erste Test-E-Mail, die Sie versenden, sollte ein mittleres Niveau haben. So können Sie sich ein realistisches Bild davon machen, wie Ihre Mitarbeiter*innen im Falle einer echten Phishing-E-Mail reagieren würden. Je nachdem, welche Ziele Sie mit dem Phishing-Testprogramm verfolgen, können Sie auch mit einer schwierigen E-Mail beginnen. Dies kann sinnvoll sein, wenn Sie Ihren Mitarbeitern*innen zeigen wollen, wie gefährlich Phishing-E-Mails wirklich sein können. Die Ergebnisse dieses ersten Tests dienen als Richtwert, an dem Sie die Lernfortschritte Ihrer Mitarbeiter*innen messen können. 

Lassen Sie den Test nicht zu einfach werden 

Da Ihre Mitarbeiter*innen mit der Zeit immer besser darin werden, Phishing-E-Mails zu erkennen, können Sie die Tests zunehmend schwieriger gestalten. Dazu können Sie beispielsweise die E-Mail so aussehen lassen, als käme sie von einem internen statt von einem externen Absender. Normalerweise sind wir unvorsichtig, wenn wir glauben, dass eine E-Mail von einem Kollegen oder einer Kollegin stammt, was „interne“ E-Mails vertrauenswürdiger macht. Diese Art von Test ist wichtig, da es für Cyber-Kriminelle in der Regel ein Leichtes ist, die Namen und Funktionen von Personen in Ihrem Unternehmen herauszufinden, insbesondere wenn Ihr Unternehmen eine „Über uns“-Seite hat oder Ihre Mitarbeiter*innen LinkedIn nutzen. Wir beurteilen eine Anfrage nach Bankdaten anders, wenn sie von unserer Finanzabteilung kommt und nicht von einem „nigerianischen Prinzen“! Wenn Sie den Absender oder die Absenderin wechseln, wird die E-Mail gezielter und Ihre Mitarbeiter*innen lernen, eine gefährliche Art von Phishing, das so genannte Spear-Phishing, zu erkennen. 

Eine weitere Strategie, die Sie anwenden können, besteht darin, E-Mails nur an ein paar Mitarbeiter*innen auf einmal zu senden. Auf diese Weise wird vermieden, dass sich das Problem herumspricht, und Ihre Mitarbeiter*innen können ihre Fähigkeiten selbst testen. Wir empfehlen auch, verschiedene Themen für Ihre Phishing-Simulationen zu verwenden, da ein Thema für manche Personen einfach sein könnte und für andere nicht.  

Phishing-Tests sind wie ein Besuch im Fitnessstudio 

Nachdem das Phishing-Simulationsprogramm eine Zeit lang durchgeführt wurde, ist die Versuchung groß, es von der Liste der zu erledigenden Aufgaben zu streichen. Es ist jedoch wichtig, dass Sie das Programm aufrechterhalten, auch wenn Ihre Mitarbeiter*innen bei den Tests immer wieder hohe Punktzahlen erreichen.  

In dieser Hinsicht sind Phishing-Tests mit körperlicher Fitness vergleichbar! Wenn Sie ein halbes Jahr lang jeden Tag Gewichte stemmen, fühlen Sie sich wahrscheinlich stark und denken, dass Sie nicht mehr trainieren müssen. Hören Sie aber plötzlich auf, ins Fitnessstudio zu gehen, werden Ihre Muskeln schwächer, und Sie müssen viel dafür tun, um wieder auf den alten Stand zu kommen. Unser Gehirn funktioniert auf die gleiche Weise – ohne Übung könnten Ihre Mitarbeiter*innen Schwierigkeiten haben, Phishing-Versuche zu erkennen. 

Ein solches Programm dient jedoch nicht nur dazu, Ihre Mitarbeiter auf Trab zu halten. Es ist auch eine Möglichkeit für Sie, Ihre Mitarbeiter*innen über neue Phishing-Methoden zu unterrichten und sicherzustellen, dass alle neuen Mitarbeiter*innen genauso gut geschult sind wie der Rest Ihres Teams.  

Zusammenfassend lässt sich sagen, dass kontinuierliche Tests der beste Weg sind, um Ihre Mitarbeiter*innen auf einen echten Phishing-Angriff vorzubereiten. 

Nutzen Sie die gesammelten Daten zur Verbesserung Ihrer Schulungsmethoden 

Die Daten, die Sie bei diesen Phishing-Tests sammeln, dienen Ihnen als wertvolles Hilfsmittel für die Steuerung Ihrer IT-Sicherheitsmaßnahmen. Folgende Daten sollten Sie bei jeder Kampagne sammeln: 

  • Anzahl der Personen, die auf den Link geklickt haben. 

  • Anzahl der Personen, die die angeforderte Aktion durchgeführt haben (z. B. Weitergabe persönlicher Informationen). 

  • Anzahl der Personen, die die E-Mail korrekt gemeldet haben. 

Mit diesen Informationen können Sie beginnen, Muster zu identifizieren. Die Daten können zum Beispiel für folgende Zwecke verwendet werden: 

  • Um weitere Themen der Sensibilisierungsschulung zu bestimmen. 

  • Um festzustellen, wie gut die Mitarbeiter*innen Ihre internen Melderichtlinien verstehen. 

  • Um zusätzliche Schulungen auf die Personen zu konzentrieren, die am meisten davon profitieren würden

Erwägen Sie die Zusammenarbeit mit einem externen Partner 

Da erfolgreiche Phishing-Tests fortlaufend stattfinden müssen, kann es sehr zeitaufwendig sein, das Programm aufrechtzuerhalten. Aus diesem Grund kann es sinnvoll sein, mit einem externen Schulungsanbieter zusammenzuarbeiten. Dadurch können Sie beim Schreiben der Test-E-Mails, bei der Durchführung der Schulungen und bei der Analyse der Ergebnisse Zeit sparen. 

Unser Phishing-Training tut genau das. Wir erstellen und versenden simulierte Phishing-E-Mails an Ihre Mitarbeiter*innen, Sie bleiben jedoch Teil des Prozesses, haben Zugriff auf eine Live-Tracking-Plattform und erhalten Einblicke in die Leistungen verschiedener Teams. Wenn Sie mehr erfahren möchten, nehmen Sie bitte Kontakt mit uns auf. 

Kombinieren Sie Phishing-Tests mit anderen Arten von Awareness-Training 

Phishing-Tests sind wertvoll für Ihr Team, aber nicht die einzige Maßnahme, die Sie ergreifen sollten! Sie können Phishing-Simulationen als Teil eines größeren Programms zur Sensibilisierung für Sicherheitsfragen betrachten. Wie beim Lernen des Autofahrens kann man ohne Theorie und Praxis nicht erfolgreich sein. Genauso wie Sie sowohl Unterricht im Klassenzimmer als auch stundenlanges Üben auf der Straße brauchen, um ein guter Fahrer zu werden, brauchen Sie auch ein allgemeines Awareness-Training und simulierte Praxis, um eine starke Cybersicherheitskultur zu erreichen. 

Unsere Arbeit im Bereich der IT-Sicherheit zeigt uns, dass ein aufmerksames Team am widerstandsfähigsten gegenüber Cyberangriffen ist. Daher ist es wichtig, eine starke Cybersicherheitskultur in Ihrem Unternehmen zu pflegen. Neben Phishing-Training sollten Sie auch andere Initiativen ergreifen, um das Bewusstsein für IT-Sicherheit in Ihrem Unternehmen zu verbessern und Ihre Mitarbeiter*innen so zu schulen, dass sie Ihre stärkste Verteidigung werden.  

Erfahren Sie mehr: Kostenlose Poster zu DSGVO und Cybersicherheit