Um Mitarbeiter in Unternehmen für Security-Gefahren zu sensibilisieren, werden immer wieder Phishing-Kampagnen herangezogen. Leider geht dieser Schuss allzu oft nach hinten los.

Täglich landen Phishing-Nachrichten in den Mail-Fächern der Mitarbeiter. Die stammen allerdings nicht immer von kriminellen Hackern, sondern manchmal aus dem eigenen Haus. Bei vielen Security-Verantwortlichen gelten Phishing-Kampagnen noch immer als einfache Testmethode, ob Mitarbeiter die Sicherheitsfallen erkennen und die angehängten, schadhaften Dateien öffnen oder auf Links im E-Mail-Text klicken.

Die Hoffnung, Mitarbeiter mit präparierten E-Mails für Phishing-Gefahren zu sensibilisieren, läuft allerdings häufig ins Leere: Viele Mitarbeiter fühlen sich überwacht, hinterlistig auf Glatteis geführt oder haben gar Angst, berufliche Nachteile zu erleiden, falls sie in einem Moment der Unaufmerksamkeit auf eine präparierte Mail hereingefallen sind. Im schlimmsten Fall trifft der Unmut ertappter Mitarbeiter das Security Team – mit der Folge, dass diese sich folgenden Security-Awareness-Maßnahmen versperren, weil sie das Vertrauen in die IT verloren haben.

Nicht wenige Experten halten selbst lancierte Phishing-Aktionen für keine besonders gute Idee. Bei DXC etwa rät man klar davon ab, die eigenen Mitarbeiter in die Falle zu locken. Falls Kunden diese Bedenken ignorieren und dennoch auf eine Phishing-Kampagne bestehen, werden ihnen einige begleitende Maßnahmen ans Herz gelegt.

Vor der Phishing-Kampagne

Sie haben in näherer Zeit eine Phishing-Kampagne zu Awareness-Zwecken geplant? Dann sollten Sie diese begleitenden Maßnahmen in jedem Fall verinnerlichen:

Genehmigung des Betriebsrats: Viele IT-Teams vergessen, dass aus eigenem Antrieb lancierte Phishing-Tests mitbestimmungspflichtig sind. Soll heißen: Der Betriebsrat muss vorab über die geplante Maßnahme informiert werden und seine Zustimmung erteilen.

Mitarbeiter vorab informieren: Die Vorabinformation der Mitarbeiter über eine geplante Phishing-Kampagne ist hingegen nicht verpflichtend. Trotzdem ist es absolut ratsam, die Kollegen im Vorfeld der Aktion einzuweihen und sie über den Sinn und Zweck des Test-Phishings aufzuklären. So lässt sich bereits im Vorfeld dem möglichen Vorwurf einer heimlichen Mitarbeiterüberwachung entgegentreten.

Phishing-Kampagne niemals als Einzelmaßnahme: Wenn Sie einen Phishing-Test in Ihrem Unternehmen anstoßen wollen, sollte das immer Teil einer umfassend angelegten Awareness-Kampagne sein. Eine begleitende, (möglichst kreative) Informationsinitiative, die über die Gefahren des Cyberraumes aufklärt und Verhaltensregeln an die Hand gibt, ist unverzichtbar. In diesem Zusammenhang kann ein spielerischer Ansatz dazu beitragen, Vorbehalte zu überwinden. Geht es um die Analyse der Ergebnisse, sollten Sie das richtig angehen: Streichen Sie nicht die Kollegen heraus, die auf Phishing Mails hereingefallen sind, sondern fokussieren Sie auf diejenigen Mitarbeiter, die die meisten schadhaften E-Mails identifiziert haben.

Meldewege promoten oder installieren: Mitarbeiter brauchen klare Verhaltensregeln, damit sie im Fall der Fälle (oder bei bloßem Verdacht) die richtigen Maßnahmen ergreifen und das IT-Sicherheitsteam informieren. Es ist blauäugig zu glauben, Phishing-Angriffe könnten einhundertprozentig abgewehrt werden. Früher oder später wird ein unaufmerksamer Moment dazu führen, dass ein Mitarbeiter in die Falle tappt. Nur wenn dieser dann richtig reagiert und zudem keine Angst vor Sanktionen hat, wenn er sich meldet, kann das Security-Team schnell die erforderlichen Maßnahmen ergreifen, um Schaden zu minimieren oder abzuwenden. Klar definierte Meldewege sollte übrigens jedes Unternehmen haben – unabhängig davon, ob eine Phishing-Kampagne ansteht oder nicht.

Anonymisierung zusichern: Sie sollten in jedem Fall dafür Sorge tragen, dass Mitarbeiter die auf präparierte Phishing Mails hereinfallen, nicht an den Pranger gestellt werden.

Security Awareness ist Teamarbeit

Um eine langfristig wirksame Sicherheitskultur im Unternehmen zu etablieren, sollten Sie Awareness-Maßnahmen wählen, die einerseits die Unternehmenskultur widerspiegeln und andererseits die Mitarbeiter als Partner im Kampf gegen die Security-Gefahren begreifen.

Geht es um die Abwehr von Cyberangriffen, sind Mitarbeiter nämlich nicht das schwächste Glied in der Kette – sie bilden vielmehr das Fundament einer jeden Security-Strategie. Genau so sollten diese auch behandelt werden – Schuldzuweisungen sind völlig fehl am Platz. IT-Teams, die nach dieser Prämisse handeln, gewinnen so wichtige Verbündete im Kampf für State-of-the-Art-Informationssicherheit.

Autoren: Stefan Gneiting & Anne Lahner // Quelle: THRIVE