Phishing ist weit verbreitet, weil es einem Hacker große Belohnungen für relativ wenig Aufwand bietet. Das letzte Jahrzehnt der Sicherheitsforschung zeigt, dass Mitarbeiter regelmäßig Opfer von Angriffen werden und Phishing als eine der einfachsten Möglichkeiten gilt, auf die Unternehmensinfrastruktur zuzugreifen. Aktuellen Statistiken zufolge werden 25 % Ihrer Mitarbeiter in den nächsten 12 Monaten Opfer eines Phishing-Angriffs werden, und wenn dies der Fall ist, werden sie unbeabsichtigt in eine dieser böswilligen Aktivitäten verwickelt:

• Klicken Sie auf einen Link, der zu einer Download-Website führt
• Veröffentlichen Sie vertrauliche Informationen auf Websites
• Öffnen Sie Anhänge mit hohem Risiko

Die Messung der Wirksamkeit eines Programms sollte auf Leistungsergebnissen basieren. Bei Programmen zur Sensibilisierung für Sicherheit bedeutet dies, sichere und unsichere Praktiken aufzuzeichnen und diese zu messen – sowohl vor als auch nach dem Programm. Für ein Phishing-Simulationsprogramm könnten folgende KPIs verwendet werden:

Rate der Serienklicker: Der Prozentsatz der Mitarbeiter, die in den letzten Kampagnen sequenziell scheitern (Hochrisikogruppe)
Mitarbeiter-Resilienz-Score: Die durchschnittliche Anzahl erfolgreicher Simulationen zwischen Ausfällen (für die Mitarbeiter, die versagen)
Gruppenrisikoverteilung: Die Verteilung der Mitarbeiter zwischen Gruppen mit hohem, mittlerem und niedrigem Risiko

Bewusstsein wird definiert als „Wissen, dass etwas existiert“. Phishing-Bewusstsein bedeutet, dass sich die Mitarbeiter der Existenz betrügerischer E-Mails bewusst sind.“ Leider führt Bewusstsein nicht zum Handeln. Als Sicherheitsexperten sind wir an sicheren Praktiken und nicht an Überzeugungen interessiert. Aus Sicht der Unternehmenssicherheit besteht das Ziel darin, Jane dabei zu helfen, eine Phishing-E-Mail zu vermeiden, ohne zu wissen, was sie bedeutet, und nicht umgekehrt. Die meisten Sensibilisierungsprogramme zielen darauf ab, die Mitarbeiter zu sensibilisieren, und werden entsprechend gemessen. Wenn Sie Bedenken hinsichtlich Phishing haben, sollten Sie die erforderlichen Schritte unternehmen, um die Wahrscheinlichkeit zu verringern, dass Mitarbeiter tatsächlich zum Opfer fallen.

Der Onboarding-Prozess (Time-to-Value) von CybeReady dauert im Wesentlichen 48 Stunden. Wir benötigen lediglich eine Datei mit dem Adressbuch Ihres Mitarbeiters (Name, E-Mail, Rolle, Region/Sprache) und damit Sie unsere Domains auf die Whitelist setzen können. Die tatsächliche Wertschöpfungszeit hängt jedoch stark von der Zusammenarbeit des Kunden und seiner Bereitschaft ab, innerhalb des gewünschten Zeitfensters den erforderlichen Input zu liefern. Schließlich handelt es sich hierbei um eine gemeinsame Anstrengung!

Die Bedienung von CybeReady erfordert nahezu keinen Aufwand. Es ist vollständig automatisiert und wird von einer intelligenten Daten-Engine angetrieben, die darauf ausgelegt ist, die Simulationen für jeden Benutzer besser auszuwählen, zuzuweisen, anzupassen, zu modifizieren und zu analysieren als jede von Menschen bediente Lösung.

Bei der Berechnung der Gesamtkosten eines Sicherheitsbewusstseinsschulungsprogramms sollten drei Elemente berücksichtigt werden:

(1) Produktkosten (z. B. Abonnementgebühren, Softwarelizenz)
(2) Zeit: Die Zeit, die Ihr IT-Team investieren muss, um die Lösung bereitzustellen und zu betreiben
(3) Anzahl der Simulationen: Wie oft wurde die Lösung zur Wertgenerierung verwendet?

Beim Kauf einer Phishing-Simulationslösung kalkulieren die meisten Unternehmen nur die Produktkosten und berücksichtigen nicht die Kosten für die erforderliche Betriebszeit und vor allem den Wert (Anzahl der Simulationen, die abgerufen werden).

On-the-Job-Schulung (OJT), auch bekannt als JIT (Just in Time), ist ein Schulungsparadigma, das die Schulung von Mitarbeitern durch Leistung in realen Szenarien und sofortiges Feedback erfordert. OJT und erfahrungsorientierte Schulungen sind für die Umsetzung von Praktiken besonders wichtig und nicht für theoretisches Wissen. Da Phishing die Umsetzung sicherer Praktiken erfordert, haben Schulungsmethoden, bei denen das Üben wichtiger ist als das Auswendiglernen, höhere Erfolgsaussichten.

Es stimmt, dass wenn wir alle Phishing-Simulationen zu vordefinierten Tageszeiten planen würden, dies dem Helpdesk-Personal eine bessere Vorbereitung und eine Reduzierung der Gesamtkosten ermöglichen würde. Wenn dies jedoch so durchgeführt wird, kann es zu einer Tendenz zur sozialen Erwünschtheit kommen, bei der sich Mitarbeiter zu sehr an den Helpdesk wenden, weil sie sich nun einer laufenden Übung bewusst sind und bereit sind, eine gute Punktzahl zu erhalten. Die Minimierung von Helpdesk-Anrufen ist eine Kombination aus Simulationsplanung (gleichmäßige Verteilung der Kampagnen über den Monat), Variation des E-Mail-Inhalts und angemessener Schulung des Helpdesk-Teams vor der Simulation.

Es stimmt, dass wenn wir alle Phishing-Simulationen zu vordefinierten Tageszeiten planen würden, dies dem Helpdesk-Personal eine bessere Vorbereitung und eine Reduzierung der Gesamtkosten ermöglichen würde. Wenn dies jedoch so durchgeführt wird, kann es zu einer Tendenz zur sozialen Erwünschtheit kommen, bei der sich Mitarbeiter zu sehr an den Helpdesk wenden, weil sie sich nun einer laufenden Übung bewusst sind und bereit sind, eine gute Punktzahl zu erhalten. Die Minimierung von Helpdesk-Anrufen ist eine Kombination aus Simulationsplanung (gleichmäßige Verteilung der Kampagnen über den Monat), Variation des E-Mail-Inhalts und angemessener Schulung des Helpdesk-Teams vor der Simulation.