News
🐟 Phishing-Awareness-Kampagne – eine gute Idee?
🛡️ Phishing bleibt eine große Gefahr
Phishing zählt weiterhin zu den häufigsten Cyber-Angriffen. Für Unternehmen stellen Phishing-Angriffe daher ein erhebliches Risiko dar. Deshalb nutzen viele simulierte Phishing-Kampagnen, um Mitarbeitende zu sensibilisieren und das Sicherheitsbewusstsein im Unternehmen zu stärken. Doch solche Kampagnen, bei denen realitätsnahe, aber ungefährliche Phishing-Nachrichten versendet werden, sind durchaus aufwändig und bergen bei mangelnder Organisation zudem selbst Risiken.
🎯 Ziele von simulierten Phishing-Kampagnen
• Analyse des aktuellen Sicherheitsverhaltens im Umgang mit Phishing-Nachrichten.
• Schulung der Mitarbeitenden durch praxisnahe Beispielnachrichten.
• Überprüfung und Optimierung bestehender Awareness-Maßnahmen.
🔓 Risiken während einer laufenden Kampagne
• Herabsetzen technischer Sicherheitsprüfungen, um externe Nachrichten durchzulassen, wenn ein Dienstleister für die Kampagne eingesetzt wird.
• Wenn keine Regelungen zur internen Meldung von Phishing-Nachrichten bestehen, kann das zu Chaos und Verunsicherung führen.
• Fehlende interne Kommunikation, die das Vertrauen der Mitarbeitenden schwächt.
• Zu viele Meldungen über einen Meldebutton können dazu führen, dass echte Angriffe in dieser Zeit erst spät bemerkt werden.
• Unsicherheit oder Frust bei Mitarbeitenden, was sich negativ auf die Produktivität auswirkt.
• Riskantes Verhalten, wenn Mitarbeitende aus Neugier oder Frust auf tatsächlich gefährliche Links klicken.
📨 Wichtige Punkte bei der Durchführung einer Phishing-Kampagne:
• Melde- und Rückfrageprozesse: Diese müssen klar definiert und bestenfalls bereits im Arbeitsalltag etabliert sein.
• Gegenseitiges Warnen: Kollegen soll erlaubt sein, sich untereinander bei Eingang einer Phishing-E-Mail auszutauschen.
• Vishing, Smishing, Social Engineering: Es sollten verschiedene Phishing-Methoden eingesetzt werden, um auf alles vorbereitet zu sein.
• Transparente Kommunikation: Mitarbeitende sollten vorab umfassend über die geplante Maßnahme informiert werden, um Vertrauen zu schaffen und Missverständnisse zu vermeiden.
• False Positives: Es soll berücksichtigt werden, dass reguläre E-Mails versehentlich als Phishing erkannt werden könnten.
• Mehrwöchige Durchführung: Die Maßnahme sollte zu unterschiedlichen Tageszeiten durchgeführt werden, um verschiedene Situationen abzudecken.
• Feedback: Am Ende der Maßnahme kann den Mitarbeitenden die Ergebnisse mit Verbesserungsvorschlägen mitgeteilt werden.
• Sofortige Schulung: Den größten Effekt haben Phishing-Kampagnen, wenn die Mitarbeitenden bei einem Fehler sofort z. B. durch ein Programm darauf hingewiesen werden, was sie falsch gemacht haben und wie sie die Phishing-E-Mail hätten erkennen können.
⚖️ Rechtliche und organisatorische Anforderungen
• Einbindung des Betriebsrats vor Start der Phishing-Kampagne aufgrund des Mitbestimmungsrechts sowie bei betrieblichen Schulungs- und Trainingsmaßnahmen.
• Die Ergebnisse der Phishing‑Kampagne dürfen nicht zur Bewertung individueller Arbeitsleistung herangezogen werden und auch nicht als Grundlage für arbeitsrechtliche Maßnahmen wie Abmahnungen, Kündigungen oder negative Leistungsbeurteilungen genutzt werden.
• Phishing-Kampagnen sollten nicht personenbezogen durchgeführt werden, das heißt Anonymisierung der Ergebnisse oder automatische Warnhinweise einsetzen beim Anklicken auf simulierte Links. Die Auswertungsergebnisse können am Ende z. B. wie folgt unterteilt werden:
- Öffnungsrate: Anteil der Mitarbeitenden, die die simulierten Phishing-E-Mails öffnen.
- Klick- und Eingaberate: Anteil der Mitarbeitenden, die auf Links klicken und versuchen Daten (z. B. E Mail Adressen/Passwörter) einzugeben.
- Melderate: Anteil der Mitarbeitenden, die die Phishing-E Mails melden.
🧾 Fazit
Der Aufwand für eine Phishing-Kampagne ist hoch, während der tatsächliche Nutzen weiterhin umstritten bleibt. Gleichzeitig können Nachteile wie Vertrauensverlust, zusätzliche Sicherheitsrisiken und organisatorische Belastungen den Nutzen überwiegen. Phishing-Kampagnen sollte daher im Unternehmen mit Bedacht eingesetzt und gut organisiert werden.
Als Alternative bieten sich andere Maßnahmen an, z. B.:
• regelmäßige Schulungen und kurze Lernmodule
• wiederkehrende Awareness-Hinweise in den Kommunikationsdiensten (z. B. E-Mail)
• technische Schutzmechanismen wie erweiterte E-Mail-Sicherheitsfilter oder Warnmeldungen in verdächtigen oder externen Nachrichten
🔜 Im Slide findest du hierzu alle Infos.
✨ Ich hoffe, die Informationen haben dir weitergeholfen!
Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz
👉 Folge uns für regelmäßige Updates.
Eure Melissa 💙
#comforit #dorfen #kmu #mittelstand #datenschutz #Phishing #Awareness
Phishing zählt weiterhin zu den häufigsten Cyber-Angriffen. Für Unternehmen stellen Phishing-Angriffe daher ein erhebliches Risiko dar. Deshalb nutzen viele simulierte Phishing-Kampagnen, um Mitarbeitende zu sensibilisieren und das Sicherheitsbewusstsein im Unternehmen zu stärken. Doch solche Kampagnen, bei denen realitätsnahe, aber ungefährliche Phishing-Nachrichten versendet werden, sind durchaus aufwändig und bergen bei mangelnder Organisation zudem selbst Risiken.
🎯 Ziele von simulierten Phishing-Kampagnen
• Analyse des aktuellen Sicherheitsverhaltens im Umgang mit Phishing-Nachrichten.
• Schulung der Mitarbeitenden durch praxisnahe Beispielnachrichten.
• Überprüfung und Optimierung bestehender Awareness-Maßnahmen.
🔓 Risiken während einer laufenden Kampagne
• Herabsetzen technischer Sicherheitsprüfungen, um externe Nachrichten durchzulassen, wenn ein Dienstleister für die Kampagne eingesetzt wird.
• Wenn keine Regelungen zur internen Meldung von Phishing-Nachrichten bestehen, kann das zu Chaos und Verunsicherung führen.
• Fehlende interne Kommunikation, die das Vertrauen der Mitarbeitenden schwächt.
• Zu viele Meldungen über einen Meldebutton können dazu führen, dass echte Angriffe in dieser Zeit erst spät bemerkt werden.
• Unsicherheit oder Frust bei Mitarbeitenden, was sich negativ auf die Produktivität auswirkt.
• Riskantes Verhalten, wenn Mitarbeitende aus Neugier oder Frust auf tatsächlich gefährliche Links klicken.
📨 Wichtige Punkte bei der Durchführung einer Phishing-Kampagne:
• Melde- und Rückfrageprozesse: Diese müssen klar definiert und bestenfalls bereits im Arbeitsalltag etabliert sein.
• Gegenseitiges Warnen: Kollegen soll erlaubt sein, sich untereinander bei Eingang einer Phishing-E-Mail auszutauschen.
• Vishing, Smishing, Social Engineering: Es sollten verschiedene Phishing-Methoden eingesetzt werden, um auf alles vorbereitet zu sein.
• Transparente Kommunikation: Mitarbeitende sollten vorab umfassend über die geplante Maßnahme informiert werden, um Vertrauen zu schaffen und Missverständnisse zu vermeiden.
• False Positives: Es soll berücksichtigt werden, dass reguläre E-Mails versehentlich als Phishing erkannt werden könnten.
• Mehrwöchige Durchführung: Die Maßnahme sollte zu unterschiedlichen Tageszeiten durchgeführt werden, um verschiedene Situationen abzudecken.
• Feedback: Am Ende der Maßnahme kann den Mitarbeitenden die Ergebnisse mit Verbesserungsvorschlägen mitgeteilt werden.
• Sofortige Schulung: Den größten Effekt haben Phishing-Kampagnen, wenn die Mitarbeitenden bei einem Fehler sofort z. B. durch ein Programm darauf hingewiesen werden, was sie falsch gemacht haben und wie sie die Phishing-E-Mail hätten erkennen können.
⚖️ Rechtliche und organisatorische Anforderungen
• Einbindung des Betriebsrats vor Start der Phishing-Kampagne aufgrund des Mitbestimmungsrechts sowie bei betrieblichen Schulungs- und Trainingsmaßnahmen.
• Die Ergebnisse der Phishing‑Kampagne dürfen nicht zur Bewertung individueller Arbeitsleistung herangezogen werden und auch nicht als Grundlage für arbeitsrechtliche Maßnahmen wie Abmahnungen, Kündigungen oder negative Leistungsbeurteilungen genutzt werden.
• Phishing-Kampagnen sollten nicht personenbezogen durchgeführt werden, das heißt Anonymisierung der Ergebnisse oder automatische Warnhinweise einsetzen beim Anklicken auf simulierte Links. Die Auswertungsergebnisse können am Ende z. B. wie folgt unterteilt werden:
- Öffnungsrate: Anteil der Mitarbeitenden, die die simulierten Phishing-E-Mails öffnen.
- Klick- und Eingaberate: Anteil der Mitarbeitenden, die auf Links klicken und versuchen Daten (z. B. E Mail Adressen/Passwörter) einzugeben.
- Melderate: Anteil der Mitarbeitenden, die die Phishing-E Mails melden.
🧾 Fazit
Der Aufwand für eine Phishing-Kampagne ist hoch, während der tatsächliche Nutzen weiterhin umstritten bleibt. Gleichzeitig können Nachteile wie Vertrauensverlust, zusätzliche Sicherheitsrisiken und organisatorische Belastungen den Nutzen überwiegen. Phishing-Kampagnen sollte daher im Unternehmen mit Bedacht eingesetzt und gut organisiert werden.
Als Alternative bieten sich andere Maßnahmen an, z. B.:
• regelmäßige Schulungen und kurze Lernmodule
• wiederkehrende Awareness-Hinweise in den Kommunikationsdiensten (z. B. E-Mail)
• technische Schutzmechanismen wie erweiterte E-Mail-Sicherheitsfilter oder Warnmeldungen in verdächtigen oder externen Nachrichten
🔜 Im Slide findest du hierzu alle Infos.
✨ Ich hoffe, die Informationen haben dir weitergeholfen!
Für mehr Tipps rund um:
🔍 IT-Forensik
🛡️ IT-Sicherheit
📜 Datenschutz
👉 Folge uns für regelmäßige Updates.
Eure Melissa 💙
#comforit #dorfen #kmu #mittelstand #datenschutz #Phishing #Awareness