Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Mit <kes>+ lesen

Phishing for Awareness : Warum simulierte Phishing-Kampagnen negative Auswirkungen auf das Image der Security sowie die Vertrauens- und Fehlerkultur haben können – bei begrenzter Aussagekraft

Phishing ist eine Gefahr, bei der man ohne die Mitarbeiter eher wenig ausrichten kann. Entsprechende Awareness-Maßnahmen werden nicht selten durch Kampagnen eingeläutet, begleitet oder evaluiert, bei denen man die eigene Belegschaft mit fingierten Phishing-Nachrichten konfrontiert. Unsere Autorinnen warnen jedoch davor, dass hier mehr Schadendroht als Nutzen zu erwarten ist.

Lesezeit 14 Min.

Von Melanie Volkamer, Karlsruhe, Martina Angela Sasse, Bochum, und Franziska Boehm, Karlsruhe

Security ist beim Endanwender in den meisten Institutionen kein besonders beliebtes Thema. Es gibt alle möglichen Security-Policies: Von manchen hat man mal gehört, manche hat man vielleicht auch gelesen – allerdings ist es fraglich, ob man sie auch richtig verstanden hat oder überhaupt ohne Nachfragen verstehen konnte. Irgendwie weiß man, dass man sich an bestimmte Vorgaben nicht hält, weil sie bei den Arbeitsabläufen stören – gleichzeitig hat man ein schlechtes Gewissen, weil man sich nicht daran hält, zu wenig nachfragt und so weiter. Nicht selten führen Institutionen heute Kampagnen durch, die den Ist-Zustand hinsichtlich der Resistenz gegen Phishing ergründen, die Security-Awareness erhöhen oder Awareness-Maßnahmen evaluieren sollen. Aus verschiedenen Gründen tragen solche Aktivitäten jedoch nicht zu einem besseren Image der Security bei, wie die folgenden Abschnitte darlegen werden.

Attacke!

Organisatorisch zu Ende gedacht greift letztendlich die Leitung der Institution bei einer simulierten Phishing-Kampagne ihre eigenen Angestellten an. Vor allem wenn eine Kampagne intern durchgeführt wird, greift darüber hinaus eine Gruppe von Angestellten (vermutlich aus der IT-Abteilung) alle anderen an (im Worst Case alle außer der Institutionsleitung). Je nach Gestaltung der vorgeblichen Phishing-Nachrichten greifen sich alle Angestellten quasi auch untereinander an: Denn in der Regel können Angestellte nicht unterscheiden, ob eine erhaltene Nachricht Teil einer simulierten Phishing-Kampagne oder eine wirkliche Phishing-Nachricht ist oder tatsächlich von den entsprechenden Kollegen / der entsprechenden Kollegin verschickt wurde.

Sobald sich gerade die letzte Möglichkeit unter Angestellten herumspricht, wird das Misstrauen untereinander steigen und bereits schwierige Beziehungen zwischen Angestellten verschlechtern sich weiter. Dies wiederum führt zu einer verringerten Produktivität und im Worst Case werden Mediationsgespräche notwendig.

Dabei zeigt sich die erste Zwickmühle von vielen:

  • Falls die Kampagne ausführlich angekündigt wurde, würden potenzielle Absender mehr Rückfragen erhalten. Bei bereits schwierigen Beziehungen könnten diese gegebenenfalls falsch interpretiert werden und so schneller neue Konflikte entstehen.
  • Falls die Kampagne nicht angekündigt wurde, können ebenfalls Konflikte enstehen, wenn der Empfänger einer Phishing-Nachricht davon ausgeht, dass der Kollege / die Kollegin ihn damit reinlegen möchte.

So oder so wirken daher Phishing-Kampagnen, bei denen auch Nachrichten von anderen Angestellten simuliert werden, negativ auf das Betriebsklima und tragen zu Problemen mit der Vertrauenskultur in der Institution bei. Es ist zudem naheliegend, dass Kollegen, die auf (schlecht gemachte) Phishing-Nachrichten hereinfallen, hierfür gehänselt werden – auch das wirkt sich negativ auf das Betriebsklima aus.

Aufklärung und Ankündigung

Eine Phishing-Kampagne zu starten, ohne Angestellte vorher entsprechend aufzuklären, ist schlicht unfair. Die „Versuchsobjekte“ müssen wissen, wie sie Phishing-Nachrichten erkennen können, wo sie sich melden sollen, wenn sie unsicher sind, wie sie mit erkannten Phishing-Nachrichten umgehen sollten und wo sie sich melden sollen, wenn sie dennoch auf eine Phishing-Nachricht hereingefallen sind.

Eine Phishing-Kampagne fördert nicht das Vertrauen von Angestellten in die Leitung der Institution, was jedoch für die Security-Compliance wichtig wäre. Das Vertrauen wird besonders dann infrage gestellt, wenn eine Kampagne nicht offiziell und ausführlich angekündigt wurde. Stellt man dann fest, dass eine entsprechende Kampagne gerade am Laufen ist, wird sich das schlecht auf die Selbstwirksamkeit auswirken: Die Angestellten merken, dass sie keine Kontrolle über die Situation haben und reagieren schnell mit Resignation – sprich: Sie bemühen sich womöglich nicht mal mehr, Phishing-Nachrichten zu erkennen.

Wenn die Kampagne nicht offiziell angekündigt wird, sich aber über den „Flurfunk“ vereinzelt Informationen verbreiten, entstehen weitere Probleme, wenn im Vorfeld nicht unabhängig von der Kampagne klar kommuniziert wurde, wie die Melde- und Rückfrageprozesse aussehen. Angestellte sind sich oft unsicher, wie sie vorgehen sollen, wenn sie eine Phishing-Nachricht entdeckt haben oder darauf hereingefallen sind: Gilt für das simulierte Phishing der gleiche Meldeprozess? Wieso bekomme ich diese Nachricht und andere nicht? Wer weiß nun, dass ich reingefallen bin? Was ist die Konsequenz davon? …

Entsprechend leicht werden Angestellte durch Phishing-Kampagnen verunsichert und fühlen sich kontrolliert – beides wirkt sich negativ auf die Fehlerkultur aus. Ein weiteres Problem des nicht offiziellen und ausführlichen Ankündigens besteht darin, dass sich dann schnell falsche Informationen verbreiten und diese schwer wieder zu korrigieren sind.

Wenn wirklich versucht werden soll, die Kampagne geheimzuhalten, dann müsste man das Melde- und Rückfragewesen dazu anhalten, simulierte Phishing-Nachrichten genauso im Melde- und Rückfrageprozess zu behandeln. Dies führt dort nicht nur zu einem hohen Aufwand, sondern bedeutet schlichtweg, dass Kollegen und Kolleginnen belogen werden müssen. Offensichtlich hat das keinen positiven Einfluss auf das Vertrauen zum Melde- und Rückfragewesen. Es kann sich zudem sogar negativ auf das Schutzniveau auswirken, wenn Mitarbeiter dort in der Folge allgemein nicht mehr nachfragen oder nichts mehr melden möchten, weil sie diese Art des Umgangs stört. Entsprechend haben Phishing-Kampagnen auch einen negativen Einfluss auf die Fehlerkultur in Institutionen.

Ausgestaltungsformen von simulierten Phishing-Kampagnen

Bei einer Phishing-Kampagne werden unterschiedliche betrügerische Nachrichten über einen bestimmten Zeitraum an die Belegschaft der Institution geschickt. Solche Kampagnen lassen sich sehr unterschiedlich ausgestalten. Sie können verschiedene Nachrichtenkanäle, unterschiedliche Arten gefährlicher Inhalte, diverse Schwierigkeitsgrade von Phishing-Angriffen (mit oder ohne Einbindung psychologischer Tricks) sowie unterschiedliche Strategien von Angreifern abdecken.

Will man auch auf bestimmte Personen gezielte Angriffe adressieren, würde man von einer Spear-Phishing-Kampagne sprechen, sonst von einer (allgemeinen) Phishing-Kampagne. Außerdem können unterschiedliche Arten des Inhalts einer Nachricht und des Absendertyps (z.B. Person oder Institution) abgedeckt, Nachrichten mit oder ohne Bezug zu aktuellen Themen verschickt werden – was wiederum einen Einfluss auf den Schwierigkeitsgrad bei der Erkennung hat.

Eine solche Kampagne können entweder institutionsinterne Personen oder beauftragte Externe durchführen. Werden Dritte beauftragt, gilt es zu unterscheiden, ob die Nachrichten intern oder extern verschickt werden.

Phishing-Kampagnen unterscheiden sich zudem hinsichtlich des Zeitraums der Durchführung und der Anzahl der Nachrichten, die (pro Angestelltem) verschickt werden. Phishing-Kampagnen lassen sich so designen, dass man die gleichen Nachrichten gleichzeitig an die gesamte Belegschaft oder an ausgewählte Teile schickt – oder dass alle Mitarbeiter zwar die gleichen Nachrichten aber zu unterschiedlichen Zeitpunkten erhalten. Denkbar wäre auch, dass jeder zu einem anderen Zeitpunkt eine andere Nachricht erhält.

Werden mehrere Nachrichten verschickt, kann die Reihenfolge entweder zufällig sein oder die Kampagne beginnt mit der am schwersten oder am einfachsten zu erkennenden Nachricht. Außerdem kann man den Schwierigkeitsgrad der nächsten Nachricht davon abhängig machen, ob die vorherige Phishing-Nachricht erkannt wurde oder nicht.

Nicht zuletzt gibt es verschiedene Möglichkeiten, wie man mit dem Hereinfallen auf eine Phishing-Nachricht im Rahmen der Kampagne umgeht:

  • Hinweis zur tatsächlichen Situation mit oder ohne Erklärungen: Die Erklärung kann dabei entweder ausführen, wie man zukünftig vermeiden kann, auf Phishing-Nachrichten allgemein reinzufallen oder woran man erkennen konnte, dass die aktuelle Nachricht eine Phishing-Nachricht ist.
  • Allgemeine Fehlermeldung: Hierbei kann es so aussehen, als gäbe es ein allgemeines Problem, ohne dass klar wird, dass man auf eine simulierte Phishing-Nachricht reingefallen ist.
  • Unsichtbarkeit: Das Opfer merkt dabei nicht, dass es auf eine Phishing-Nachricht reingefallen ist, weil es beispielsweise auf die legitime Webseite weitergeleitet wird.

In den letzten beiden Fällen besteht die Möglichkeit, zu einem späteren Zeitpunkt alle Mitarbeiter oder nur die „Opfer“ zu informieren, welche Phishing-Nachrichten verschickt wurden – auch dabei sind weitere Erklärungen denkbar.

Phishing-Kampagnen können mehr oder weniger prominent und mehr oder weniger detailliert angekündigt werden – prinzipiell bis hin zur Option, gar keine Information an die Angestellten zu geben.

Konsequenzen

Kündigt man eine Phishing-Kampagne umfangreich an, werden Angestellte jedoch viel mehr Nachrichten kritisch hinterfragen und eventuell auch beim Absender telefonisch nachhaken. Dies hat nicht nur einen negativen Einfluss auf das Betriebsklima, sondern kostet einfach auch Zeit. Wird den Angestellten im Rahmen der Ankündigung diese Zeit zugesprochen? Erwartet man, dass die eigentliche Arbeit im Laufe der Kampagne genauso effektiv und effizient erledigt wird wie sonst? Ohne zusätzliche Zeit/Ressourcen erhöht sich der Druck auf die Angestellten, was sich ebenfalls negativ auf das Vertrauen in die Leitung der Institution auswirkt. Räumt man zusätzliche Zeit ein, ist zu akzeptieren, dass die Produktivität sinkt – und gleichzeitig der Aufwand beim Melde- und Rückfragewesen steigt.

Hinzu kommt, dass Angestellte übervorsichtig werden können und so auch legitime Nachrichten womöglich als Phishing-Nachrichten bewerten und in der Folge Aufgaben nicht bearbeiten. Dies führt einerseits zu Missverständnissen bis hin zu ganz realen Schäden, weil beispielsweise Rechnungen nicht direkt bezahlt werden. Andererseits ist es wichtig, dass das Melde- und Rückfragewesen darauf vorbereitet ist und entsprechend (schnell) zurückmeldet, wenn ein Angestellter eine legitime Nachricht fälschlicherweise als Phishing klassifiziert hat. Falls Phishing-Nachrichten einfach nur gelöscht werden, steigt das Risiko durch übervorsichtiges Verhalten weiter an.

Der Schwierigkeitsgrad simulierter Phishing-Nachrichten kann ebenfalls einen negativen Einfluss auf die Stimmung haben: Ist die Herausforderung zu leicht, kann schnell der Eindruck entstehen, die Leitung der Institution denkt, man würde solche offensichtlichen Phishing-Nachrichten nicht als solche erkennen können. Bekommt man vom gleichen Typ Phishing-Nachricht eine zweite, nachdem man auf die erste bereits hereingefallen war, entsteht schnell der Eindruck, dass die Leitung wohl denkt, man hätte es immer noch nicht verstanden. Auch dies wirkt sich nicht positiv auf das Vertrauen in die Leitung aus.

Hat eine Kampagne den Nachweis zum Ziel, dass die Kombination mit einer nachgelagerten Security-Awareness-Maßnahme einen Effekt erzielt, dann müssten Angestellte – rein aus Sicht der Kampagne – nur zu den Informationen aus der Awareness-Maßnahme geführt werden, wenn sie einen Fehler gemacht haben. Dies führt leicht zu Irritationen und Verunsicherung. Denn wenn man mehr wissen möchte (z. B. weil man denkt, man weiß nicht genug), müsste man mit Phishing-Nachrichten interagieren – was man ja eigentlich gerade nicht tun soll. Dies hat eine negative Auswirkung auf die Selbstwirksamkeit der Angestellten (vgl. [2]) und reduziert das Schutzniveau.

Überdies gilt es auch zu prüfen, ob die „Opfer“ nicht vor Schock das angesteuerte Dokument oder die Webseite möglichst schnell schließen, damit keiner merkt, dass sie auf ein Phishing reingefallen sind. In diesem Fall würden sie vermutlich gar nicht bemerken, dass an dieser Stelle auch Informationen hinterlegt sind, wie man zukünftig Phishing-Nachrichten besser erkennen könnte.

Und selbst, wenn man mit einer Kampagne nur den Ist-Zustand erheben will, um beispielsweise anschließend auf eine Security-Awareness-Maßnahme hinzuarbeiten oder diese zu begründen, bleibt es problematisch: Denn niemand findet es nett, auf seine eigenen Schwächen hingewiesen zu werden – man fühlt sich danach erst einmal schlecht. Genau das ist es aber, was bei Kampagnen passiert, wenn man früher oder später erfährt, dass man auf Phishing-Nachrichten reingefallen ist.

Gerade sehr gut gemachte Phishing-Nachrichten werden mit hoher Wahrscheinlichkeit Opfer finden – bei all diesen Angestellten wird zunächst ein negativer Effekt erzeugt. Es ist fraglich, ob und wie anschließend die Bereitschaft steigt, zu erfahren, wie man zukünftig Phishing-Nachrichten erkennen kann, denn es wurde mehrfach gezeigt, dass fehlende Selbstwirksamkeit einen negativen Einfluss auf das Security-Verhalten hat (vgl. [2]).

Aussagekraft

Die Validität der Ergebnisse wird durch die Vorab-Informationen über die simulierte Phishing-Kampagne stark beeinflusst: Ein Teil der Angestellten wird, wie bereits angesprochen, skeptischer sein als üblich und eher nachfragen, Kollegen und Kolleginnen informieren oder allgemein darüber reden, wenn eine vermeintliche oder wirkliche Phishing-Nachricht entdeckt wurde. Andere Mitarbeiter finden den Ansatz, Angestellte derart anzugreifen, womöglich so schlecht, dass sie absichtlich mit jeder Phishing-Nachricht interagieren – oder sie möchten einfach herausfinden, was passiert, wenn man interagiert, sprich wie die Kampagne aufgebaut ist.

Die folgenden Daten können einzeln oder in Kombination zur Erhebung des Ist-Zustands oder zur Rechtfertigung oder Evaluierung von Awareness-Maßnahmen erhoben werden:

  • Anzahl der Angestellten, die pro Phishing-Nachricht die entsprechende unerwünschte Aktion ausführen (z. B. auf einen Link klicken / einen Anhang öffnen), wobei es noch genauer zu definieren gilt, ob beispielsweise bereits das Öffnen eines Links oder erst das Eingeben von Zugangsdaten auf der simulierten Phishing-Webseite gewertet werden soll
  • Anzahl der Angestellten, die eine entdeckte Phishing-Nachricht melden
  • Anzahl der Angestellten, die melden, dass sie auf eine Phishing-Nachricht hereingefallen sind, bevor sie diese als solche erkannt haben
  • Anzahl der Angestellten, die sich mit Rückfragen zu Nachrichten melden

Die letzten drei Ansätze bedingen, dass es bereits vor dem Start der Phishing-Kampagne einen etablierten Melde- und Rückfrageprozess gibt. Dabei wäre es auch notwendig, dass dieser Prozess ein Melden entdeckter Phishing-Nachrichten vorsieht und nicht nur deren Löschen. Teil des Melde- und Rückfrageprozesses muss es ebenfalls sein, auch solche Phishing-Nachrichten verpflichtend zu melden, von denen bekannt ist, dass andere Angestellte (z. B. die Kollegin im gleichen Büro) diese bereits gemeldet haben. Es ist in jedem Fall dringend anzuraten, den eigenen Melde- und Rückfrageprozess kritisch zu analysieren, bevor man eine Phishing-Kampagne plant oder startet.

Keine Aktion ist keine Aussage

Wichtig ist festzuhalten, dass ein Nicht-Interagieren viele Gründe haben kann und daher nicht als Indikator taugt, dass eine Phishing-Nachricht also solche erkannt wurde: Beispielsweise könnte die Nachricht überhaupt nicht wahrgenommen worden sein, weil ihr Empfänger im Urlaub oder krank war, keine Zeit hatte oder sie als grundsätzlich irrelevant eingestuft oder verworfen hat, vielleicht weil er im Zielsystem keinen Account hat oder eine Kollegin ihn bereits auf diese Phishing-Nachricht aufmerksam gemacht hat. Letzteres bedeutet aber ja nicht, dass der Empfänger die Nachricht auch selbstständig als Phishing-Versuch erkannt hätte. Es ist aber auch nicht möglich (bzw. sinnvoll), Angestellten zu sagen, dass sie andere nicht informieren sollen – denn genau das ist es ja, was man im Fall tatsächlicher Phishing-Nachrichten möchte: dass Angestellte reagieren und anderen dabei helfen, sich und ihre Institution zu schützen.

Letztlich müsste man außerdem auch False Positives erfassen, also legitime Nachrichten, die als Phishing-Angriff gemeldet und daher (zumindest zeitweise) nicht bearbeitet wurden. Übertrieben gesagt, wäre eine Phishing-Kampagne nicht erfolgreich, nach der zwar zuverlässig alle Phishing-Nachrichten erkannt werden, die aber auch zur Konsequenz hat, dass jede zweite legitime Nachricht gelöscht wird, weil man sie für Phishing hält.

Weitere Faktoren

Natürlich sind auch die simulierten Phishing-Nachrichten selbst wesentlich: Je leichter sie zu erkennen sind, umso „besser“ fallen die Ergebnisse aus – extrem schwierig zu erkennende simulierte Phishing-Nachrichten würden von kaum jemandem als solche entdeckt. Eigentlich müsste die Simulation möglichst Nachrichten aus einer Vielzahl unterschiedlicher echter Angriffe abbilden, aber dafür müsste man auch Nachrichten mit Angestellten und externen Anbietern als Absender verwenden, was die bereits beschriebenen Nachteile hätte (und evtl. auch markenrechtliche Probleme nach sich ziehen könnte, siehe [1]). Die Aussagekraft der Ergebnisse einer Kampagne ist letztlich immer in Relation zur Qualität der simulierten Phishing-Nachrichten zu bewerten – sowie in Bezug auf möglicherweise für die Kampagne erfolgte Änderungen an der technischen Infrastruktur (siehe [1]).

Überdies sind auch externe Einflüsse wichtig – zum Beispiel, inwieweit im Zeitraum der Erhebung Medienberichte über Phishing das Problem- und Sicherheitsbewusstsein gestärkt haben könnten.

Fazit

Zusammenfassend ist festzustellen, dass simulierte Phishing-Kampagnen einen negativen Einfluss auf das Betriebsklima, die Vertrauens- und Fehlerkultur haben. Vor allem das Vertrauensverhältnis zur Leitung der Institution sowie zu den Verantwortlichen des Melde- und Rückfragewesen wird verschlechtert. Phishing-Kampagnen können Mitarbeiter verunsichern und in der Regel zusätzlichen Zeit- und Leistungsdruck bewirken.

Inwieweit diesen Problemen mit einer klaren und ausführlichen Information zur Phishing-Kampagne entgegengewirkt werden kann, ist fraglich. Außerdem ist fraglich, ob das „zum Opfer werden“ dazu motiviert, sich weiter mit dem Thema zu beschäftigen, und ob die Betroffenen eventuell bereitgestellte Security-Awareness-Informationen überhaupt wahrnehmen.

Eine ausführliche Information im Vorfeld erscheint dennoch unabdingbar (erst Recht in Kombination mit zusätzlichen Security-Erwägungen – siehe [1]). Simulierte Phishing-Nachrichten von anderen Mitarbeitern und externen Anbietern sollten unterbleiben. Letzteres schränkt die Art der möglichen Phishing-Nachrichten jedoch enorm ein.

Funktionierende Melde- und Rückfrageprozesse (mit einer inhaltlichen Erweiterung und personellen Aufstockung) sowie das Einräumen von mehr Zeit zur Bearbeitung von Nachrichten sind eine Grundvoraussetzung für Phishing-Kampagnen. Entsprechend muss man akzeptieren, dass die Produktivität der Angestellten sinkt. Zudem bleiben die beschriebenen Probleme hinsichtlich des Vertrauensverhältnisses und der Selbstwirksamkeit.

Diese Nachteile und Kosten (Zeit und Geld) wiegen die geringe Aussagekraft einer Phishing-Kampagne nach Meinung der Autorinnen nicht auf. Es wird daher empfohlen Zeit und Geld lieber in die Verbesserung technischer Mechanismen, geeignete Awareness-Maßnahmen und Weiterbildungen für Angestellte sowie eine Verbesserung des Melde- und Rückfrageprozesses zu stecken. Dadurch ist der Aufwand für jeden einzelnen Angestellten vergleichbar gering und umsetzbar. Das Schutzniveau steigt ohne negative Auswirkungen auf Vertrauensverhältnisse und Selbstwirksamkeit.

Hinweis: Dieser Beitrag ist ein Auszug aus einem 23-seitigen, frei verfügbaren Forschungsbericht der Autorinnen [1], der über die hier behandelten Aspekte hinaus auch Probleme und Stolpersteine von Phishing-Kampagnen zur Mitarbeiter-Awareness in Bezug auf (technische) Security, Arbeitnehmerschutz, Datenschutz sowie Marken- und Urheberrecht behandelt.

Prof. Dr. Melanie Volkamer ist Professorin in der Forschungsgruppe Security • Usability • Society (SECUSO) am Karlsruher Institut für Technologie (KIT). Prof. Dr. Martina Angela Sasse leitet den Lehrstuhl Human-Centred Security am Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum. Prof. Dr. iur Franziska Boehm ist Professorin im Zentrum für Angewandte Rechtswissenschaft (ZAR) des KIT.

Literatur

[1] Melanie Volkamer, Martina Angela Sasse, Franziska Boehm, Phishing-Kampagnen zur Mitarbeiter-Awareness, Analyse aus verschiedenen Blickwinkeln: Security, Recht und Faktor Mensch, Forschungsbericht, Mai 2020, https://publikationen.bibliothek.kit.edu/1000119662
[2] European Union Agency for Cybersecurity (ENISA), Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity, April 2019, www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behaviouralaspects-of-cybersecurity

Diesen Beitrag teilen: