Stellen Sie sich folgendes Szenario vor: Ihre Mitarbeitenden erwarten die kurz bevorstehende Gehaltsauszahlung, denn, wie wir alle, haben sie Rechnungen zu bezahlen und verlassen sich darauf, dass ihr Gehalt pünktlich auf dem Konto ist. Plötzlich entdecken sie eine E-Mail mit dem Betreff „Fehler bei der Gehaltsabrechnung“ im Posteingang. Verständlicherweise beunruhigt öffnen sie die E-Mail, in der sie aufgefordert werden, umgehend über den folgenden Link ihre Bankdaten zu aktualisieren, da die Zahlung sonst nicht möglich sei.
In einer realen Situation könnte dieses Szenario schwerwiegende Folgen haben – für das Security-Team wie auch den Ruf und die Finanzen des Unternehmens. Im Rahmen einer simulierten Phishing-Kampagne wird es jedoch zu einer wertvollen Lernerfahrung. Indem Sie Ihre Mitarbeitenden in einer sicheren und kontrollierten Umgebung mit solchen Szenarien konfrontieren, können Sie sie effektiv befähigen, Phishing-Angriffe zu erkennen und abzuwehren.
Phishing-Mails gibt es schon so lange, man könnte meinen, sie seien inzwischen aus der Mode. Doch allen technologischen Innovationen zum Trotz gelten sie auch heute noch höchsteffizient, da sie auf die menschlichen Emotionen abzielen. Das bestätigt unsere Umfrage für den Human Risk Review 2024: Die Mehrzahl erfolgreicher Cyberangriffe ist immer noch auf Phishing zurückzuführen; 51 Prozent der Security-Beauftragten gaben an, dass ihre Organisation per E-Mail angegriffen wurde.
Damit Ihre Phishing-Kampagnen eine möglichst große Wirkung erzielen, sollten sie sorgfältig geplant werden. Die Planung, die Ankündigung gegenüber den Mitarbeitenden und einige weitere Aspekte können sich maßgeblich auf die Wirksamkeit der Simulation auswirken. In diesem Artikel erfahren Sie, wie Sie in wenigen Schritten erfolgreich eine simulierte Phishing-Kampagne durchführen.
Schritt 1: Planen Sie Ihre Phishing-Simulationsstrategie
Jede erfolgreiche Phishing-Kampagne beginnt mit sorgfältiger Planung. Zuerst muss das Security-Team die Ziele und den Umfang der Simulation festlegen: Wie viele Mitarbeitenden sollen miteinbezogen werden, wie komplex sollen die Phishing-Mails sein und welche Szenarien sollen verwendet werden?
Wenn Sie bisher noch nie eine Simulation geplant haben, fangen Sie am besten einfach an und warten Sie ab, wie Ihre Mitarbeitenden auf die Simulation reagieren. Falls Sie schon zuvor mit Phishing-Simulationen gearbeitet haben, ist jetzt der ideale Zeitpunkt, Ihre Strategie auf verschiedene User-Gruppen anzupassen; zum Beispiel auf neue und langfristigere Mitarbeitende oder auf verschiedene Abteilung.
Um eine klare Strategie zu entwickeln, die die Anforderungen Ihrer Organisation erfüllt, stellen Sie sich am besten die folgenden Fragen, bevor Sie zum nächsten Schritt übergehen:
- Was wollen Sie mit der Phishing-Kampagne erreichen? Häufige Ziele sind das Training von Mitarbeitenden, die Bewertung von Schwachstellen oder das Erfüllen von Compliance-Frameworks.
- Welche Arten von E-Mails kommen bei Angriffen auf Ihre Branche oder Ihren Sektor am häufigsten vor? Diese Frage hilft Ihnen, die Szenarien für Ihre Simulationen zu wählen. Damit das Training relevant und effektiv bleibt, sollten Ihre Simulationen unbedingt die neuesten Phishing-Taktiken aufgreifen.
- Welchen Wissensstand haben die meisten Ihrer Mitarbeitenden? Phishing-Simulationen sollten weder zu leicht noch zu schwierig sein; sie müssen dem aktuellen Awareness-Level der Mitarbeitenden Ihrer Organisation entsprechen. Sobald sich das Level hebt, ist es wichtig, auch den Schwierigkeitsgrad der Phishing-Mails zu erhöhen, damit Ihre Mitarbeitenden kontinuierlich gefordert werden und motiviert bleiben.
- Mit welchen Dateiformaten arbeiten Ihre Mitarbeitenden am häufigsten? Bestimmen Sie die geläufigsten Dateiformate, wie PDF, Word oder Excel, und nutzen Sie diese in Ihrer Phishing-Simulation, damit sie möglichst realitätsnah ist.
- Werden manche Abteilungen häufiger angegriffen als andere? Falls ja, identifizieren Sie die Art von Phishing-Angriff, die am meisten vorkommt, und gestalten Sie Ihre Phishing-Simulation dementsprechend.
- Wie oft sollten Sie Phishing-Simulationen durchführen? Durch regelmäßige Phishing-Kampagnen halten Sie die Security Awareness Ihrer Mitarbeitenden langfristig aufrecht. Auf diesen Punkt gehen wir später noch genauer ein.
Sobald Sie die Eckpunkte Ihrer Strategie festgelegt haben, ist es an der Zeit, Ihre Phishing-Kampagne aufzusetzen.
Schritt 2: Erstellen Sie Ihre simulierte Phishing-Kampagne
In diesem Schritt setzen Sie die E-Mail-Templates auf und automatisieren möglichst viele Prozesse – wie die E-Mail-Zustellung, das Onboarding neuer User und die Integration der Daten in das Analytics-Dashboard. Sie können zudem das Schreiben der E-Mails automatisieren, wenn Sie sie nicht von Grund auf neu aufsetzen wollen. Manche Anbieter stellen eine Auswahl an anpassbaren Phishing-Simulations-Templates bereit, die Sie auf die Anforderungen und Schwachstellen Ihrer Organisation abstimmen können. Für einen maximalen Lerneffekt sollten die Simulationen so personalisiert wie möglich sein. Vor diesem Hintergrund entwickelte SoSafe zwei verschiedene Ansätze, um durch die Macht der Personalisierung Phishing-Simulationen effektiv und gleichzeitig motivierend zu gestalten: gezielte Simulationen und verhaltensbasierte Simulationen.
- Gezielte Phishing-Simulationen: Eine der effektivsten Methoden ist, Phishing-Mails auf die Rolle der Zielperson abzustimmen. Finanzabteilungen empfangen beispielsweise häufiger Phishing-Mails mit rechnungsbezogenen Szenarien, während in IT-Abteilungen E-Mails über System-Updates geläufiger sind. Personalisierung ist das A und O für maximale Wirksamkeit. Indem Sie Phishing-Mails auf Rollen beziehungsweise Abteilungen abstimmen, steigern Sie ihre Relevanz für die Aufgaben und Schwachstellen der jeweiligen Zielgruppe. Das Training der Mitarbeitenden zu den für ihre Funktion relevanten Risiken hilft Unternehmen außerdem, die Compliance im Bereich Security-Training zu gewährleisten.
- Verhaltensbasierte Phishing-Simulationen: Dabei geht es darum, den Schwierigkeitsgrad, das Thema und die Häufigkeit der Phishing-E-Mails an das Verhalten und Risikoprofil des Users anzupassen. Dieser fortgeschrittene Ansatz empfiehlt sich vor allem für Organisationen, die bereits Erfahrung mit allgemeinen oder gezielten Phishing-Simulationen haben und ihren Schutz weiter stärken wollen.
Zwei Möglichkeiten, wie Sie Ihre Phishing-Kampagne automatisieren können, sind die Nutzung von Phishing-Templates und das Erstellen neuer E-Mails mit generativer KI. Damit ersparen Sie sich, jede E-Mail von Hand neu aufzusetzen. Auch das Onboarding ist automatisierbar, sodass Sie schnell neue Mitarbeitende zu Phishing-Simulationen hinzufügen können, ohne manuell eingreifen zu müssen. Sie können außerdem unterschiedliche Zeiten und Abstände für Phishing-Simulationen festlegen. Unterschiedliche Zustellungszeiten ahmen die Unberechenbarkeit echter Phishing-Angriffe nach – die Simulationen werden realistischer und das Training noch wirkungsvoller. Hinzu kommt, dass die Simulation für Mitarbeitende überraschender kommt und sie dadurch besser auf echte Angriffe vorbereitet.
Das automatisierte Tracking und Reporting bietet Ihnen umfassende Erkenntnisse dank detaillierter Analytics zu den Reaktionen der Mitarbeitenden – dazu mehr in Schritt fünf.
Schritt 3: Kündigen Sie die Phishing-Kampagne an
Sobald Sie Ihre Templates erstellt und Ihre Prozesse automatisiert haben, ist es an der Zeit, die Phishing-Simulation anzukündigen. Die vorherige Ankündigung ist ein entscheidender Faktor, denn damit vermeiden Sie Verwirrung und motivieren Ihre Mitarbeitenden, an der Simulation teilzunehmen. Im Idealfall benachrichtigen Sie Ihr Team ein paar Wochen, bevor die Simulation beginnt – zum Beispiel in einer E-Mail an das gesamte Unternehmen oder mittels Bekanntgabe durch den CEO in einem All-Hands Call.
Welchen Weg Sie auch wählen, erwähnen Sie unbedingt die folgenden Details: den Grund für die Kampagne, was Ihre Mitarbeitenden erwartet und wann die Simulation beginnt (ohne ein genaues Datum zu nennen). Verdeutlichen Sie, dass es sich bei der Simulation um keinen Test handelt und es keinen Grund zur Sorge gibt. Es ist wichtig, dass Sie Ihren Mitarbeitenden bewusst machen, dass ein Klick auf eine Phishing-Simulationsmail keine negativen Folgen für sie hat. Erklären Sie außerdem, wie die Simulation funktioniert und an wen sie sich bei Fragen wenden können.
Schritt 4: Starten Sie die Kampagne, befähigen Sie Ihre Mitarbeitenden
Jetzt ist es an der Zeit, Ihre Kampagne zu starten und erste Einblicke in das Verhalten Ihrer Teams zu gewinnen. Damit Phishing-Simulationen über ein reines Prüftool hinaus zum Trainingstool werden, müssen sie Wissen vermitteln und die User befähigen.
Das Bereitstellen von Lerninhalten nach dem Klick auf eine Phishing-Mail ist nicht nur ratsam, sondern unerlässlich, um sicheres Verhalten zu erzielen. Klicken Mitarbeitende auf einen Link in einer Phishing-Mail, sollten sie sofort danach Lerninhalte zu den wichtigsten Merkmalen von Phishing-Mails erhalten sowie Tipps, damit sie Bedrohungen in Zukunft besser erkennen. So erfahren sie in Echtzeit, dass es sich um eine Simulation handelte, was die Wirksamkeit und den Lernerfolg steigert. Es ist außerdem wichtig, die Phishing-Simulation mit einer positiven Note abzuschließen, sodass die Mitarbeitenden keine Schuldgefühle oder Scham für ihre Fehler entwickeln.
Entdecken Sie, wie das Einzelhandelsunternehmen Freudenberg mit SoSafe bemerkenswerte Klickraten erzielte.
Feedback ist aber nicht nur nach einem Fehler wichtig. Regelmäßige Anerkennung und Bestärkung richtigen Verhaltens – gemäß der verhaltenspsychologischen Methode der positiven Bestärkung – fördert das Lernen und wirkt motivierend und bestärkend.
Damit wir Mitarbeitende durch positives Feedback bestärken können, müssen wir ihnen das Melden verdächtiger Aktivitäten möglichst leicht machen – sei es bei einem realen Phishing-Angriff oder einer Simulation. Dazu benötigen sie den richtigen Kontext und Reporting-Tools. Ein Meldebutton, wie der Phishing-Meldebutton von SoSafe, ist eine effektive Lösung, die sich einfach in Ihr E-Mail-Tool integrieren lässt und das Reporting schnell und einfach macht.
Nachdem ein User eine E-Mail gemeldet hat, erhält er direktes Feedback dazu, ob es sich um eine tatsächliche Bedrohung handelte oder nicht. Das Phishing Feedback-Feature von SoSafe steigert die Wirksamkeit Ihrer Phishing-Kampagnen durch positive Bestärkung. Es stellt sicher, dass Ihre Mitarbeitenden in jedem Fall eine Rückmeldung erhalten und erfahren, ob es sich um eine Simulationsmail, einen echten Phishing-Angriff oder eine harmlose E-Mail handelte. Das verbessert die Lernerfahrung, da Mitarbeitende direkt aus ihren eigenen Interaktionen lernen und in der Annahme bestärkt werden, dass sie zum Schutz ihrer Organisation beitragen können.
Reporting-Tools ermöglichen schnelles, einfaches Melden verdächtiger E-Mails und das Sammeln von Daten zum Userverhalten – zum Beispiel welche Abteilungen beim Reporting besonders proaktiv sind. Aufmerksame Mitarbeitende, die Phishing-Angriffe umgehend melden können, können zudem eine große Unterstützung für ihr Sicherheitsteam sein.
Schritt 5: Verfolgen und Analysieren
Um maximal von der Phishing-Kampagne zu profitieren, sind Analyse und Auswertung der Ergebnisse unerlässlich. Dabei können Sie Trends, Schwachstellen und Bereiche mit Verbesserungspotenzial erkennen und so die Wirksamkeit Ihrer Simulationen im Laufe der Zeit steigern.
Es gibt zwar jede Menge interessante Kennzahlen. Wir empfehlen jedoch, sich zu Beginn auf die Interaktionsrate, Klickrate, Meldequote und Time-to-Reporting zu konzentrieren. Daran erkennen Sie, wie Ihre Mitarbeitenden mit Phishing-Simulationsmails interagieren und wie oft sie verdächtige E-Mails identifizieren. Außerdem können Sie die Sicherheitskultur in Ihrer Organisation im Detail bewerten und die Wissenslücken Ihrer Mitarbeitenden erkennen. Darüber hinaus gibt es noch weitere Analyse-Optionen: Indem Sie die obigen KPIs nach Standort, Rolle und Funktion einordnen, können Sie das Risikolevel analysieren und emotionale Trigger sowie Betreffzeilen identifizieren, die besonders oft zu Klicks führen. Das Sortieren nach kontext- und kulturbezogenen Metriken ermöglicht Ihnen hingegen, Wissenslücken durch personalisierte Lerninhalte zu schließen, anstatt das gesamte Training wiederholen zu müssen.
Diese Metriken sind nicht nur wertvoll, um Ihre nächsten Phishing-Simulationen zu optimieren. Da sie die Wirksamkeit von Security Awareness Training greifbar veranschaulichen, sind sie zudem äußerst überzeugend, wenn es darum geht, die Führungsebene und den Vorstand davon zu überzeugen, höhere Security-Budgets und mehr Ressourcen zu investieren.
Schritt 6: Wiederholen und Optimieren
Dieser letzte Schritt hilft Ihnen, Ihre Fortschritte zu verfolgen und die Security Awareness Ihrer Mitarbeitenden zu stärken. Indem Sie die Phishing-Simulationen in regelmäßigen Abständen durchführen, erweitern Sie das Wissen und stärken das Bewusstsein Ihrer Mitarbeitenden, sodass sie Bedrohungen nach und nach immer zuverlässiger erkennen. Hinzu kommt, dass sie immer über die neuesten Cyber-Angriffstaktiken auf dem Laufenden sind, da sie mit jedem Training aktuelle Lernmaterialien und Ressourcen erhalten.
User-Feedback und Performance-Daten sind zur Optimierung der Phishing-Simulationen unerlässlich. Möglicherweise geben Ihre Mitarbeitenden an, dass sie die Simulation zu schwierig fanden, oder die Performance-Kennzahlen deuten darauf hin, dass die Simulationen viel zu einfach sind. Werfen Sie einen genauen Blick auf Ihre Daten und Rückmeldungen, um die nächste Simulation basierend auf den Anforderungen und dem Awareness-Level Ihres Teams noch effektiver zu gestalten. Durch eine einfache Simulation können Sie wertvolle Einblicke für gezieltere Phishing-Kampagnen erhalten und herausfinden, in welchen Nutzergruppen es den dringendsten Handlungsbedarf gibt.
Was ist der ideale Zeitabstand zwischen Phishing-Simulationen?
Die Häufigkeit der Phishing-Simulationen kann variieren und sollte an die individuellen Anforderungen Ihrer Organisation angepasst werden. Dabei spielen auch wichtige Faktoren, wie Ihre Branche, das Bewusstsein für Cybersicherheit und die aktuelle Cyber-Bedrohungslage, eine Rolle.
Vielleicht wollen Sie möglichst oft Phishing-Simulationen durchführen, um schnell Fortschritte zu erzielen. Das kann jedoch den gegenteiligen Effekt haben – zu geringe Zeitabstände zwischen Phishing-Kampagnen kann in Ihren Teams zu Stress führen und die Produktivität beeinträchtigen. Andererseits sind zu selten durchgeführte Simulationen weniger effektiv und können dazu führen, dass Ihre Mitarbeitenden echte Phishing-Angriffe weniger zuverlässig erkennen.
Es gibt zwar keine allgemeingültige Lösung, viele Organisationen finden jedoch ihre goldene Mitte bei einer Phishing-Simulation im Monat. Monatliche Simulationen sind regelmäßig genug, damit neu erlerntes Wissen nicht wieder verlorengeht und Cybersecurity präsent bleibt. Sie überfordern Mitarbeitende nicht mit zu vielen Simulationen, ihr Fokus bleibt erhalten und das Engagement bleibt hoch.
Idealerweise sollte eine Phishing-Kampagne immer aktiv sein und von Mal zu Mal verhaltensbasiert an die Bedürfnisse individueller User angepasst werden. Bei Mitarbeitenden mit geringer Awareness zum Thema Phishing können beispielsweise mehr als eine Simulationsmail pro Monat ratsam sein, während bei hoher Awareness eine E-Mail pro Monat ausreicht.
So lernen Ihre Mitarbeitenden auch zwischen den Phishing-Simulationen weiter
Die Zeit zwischen den Phishing-Simulationen – und zwischen simulierten Phishing-Kampagnen – ist die ideale Gelegenheit, Ihre Cyber-Sicherheitsmaßnahmen zu stärken und eine Kultur der Wachsamkeit in Ihrem Unternehmen zu fördern. Um die Wirksamkeit der Phishing-Simulationen zu steigern, sollten Sie die Zeit zwischen den Simulationen nicht ungenutzt lassen:
- Gewinnen Sie wertvolle Einblicke: Analysieren Sie die Reports der Phishing-Simulationen sorgfältig, um sich ein genaues Bild der aktuellen Sicherheitslage Ihrer Organisation zu verschaffen. Nehmen wir an, die Marketing-Abteilung weist bei einer bestimmten Art von Phishing-Mail die höchste Klickrate auf. Wie können Sie das Training personalisieren, damit das Team diese bestimmte Bedrohung in der nächsten – oder sogar in der laufenden – Kampagne besser erkennt und abwehren kann?
- Schaffen Sie ein Gemeinschaftserlebnis: Schaffen Sie eine interne Plattform, damit sich Mitarbeitende unbefangen über ihre Erfahrungen und Beobachtungen im Rahmen der Phishing-Simulationen austauschen können. Damit fördern Sie eine Meldekultur, in der das Reporting von verdächtigen E-Mails und Zwischenfällen aktiv gefördert wird und Mitarbeitende Sicherheitsaspekte selbstbewusst und ohne Angst vor Konsequenzen ansprechen können.
- Stärken Sie das Wissen in Bereichen mit hohem Risiko: Wenn Sie bei Ihren Mitarbeitenden Bereiche mit Verbesserungspotenzial oder Wissenslücken feststellen, können Sie die Zeit zwischen Phishing-Simulationen nutzen, um diese Lücken durch gezielte E-Learning-Einheiten zu schließen. KI-basierte Tools, wie Sofie Copilot von SoSafe, ermöglichen Ihnen, Ihre Mitarbeitenden einfach und schnell Alerts zu senden, die Belastung Ihres Security-Teams zu reduzieren und extrem effektives Training bereitzustellen.
- Sorgen Sie für stabile Awareness: Ihre Teams über die neuesten Phishing-Taktiken auf dem Laufenden zu halten ist für den langfristigen Schutz Ihrer Organisation unerlässlich. Eine effektive Methode sind kleine, leicht verdauliche Lerneinheiten, die sich leicht in den Arbeitsalltag integrieren lassen. Mit einem KI-basierten Chatbot wie Sofie erhalten Ihre Mitarbeitenden nicht nur Security-Alerts. Sie können auch Konversationen beginnen und erhalten rund um die Uhr Antworten auf ihre Sicherheitsfragen, was eine proaktive Sicherheitskultur in Ihrer Organisation vorantreibt.
So hilft Ihnen SoSafe, wirkungsvolle Phishing-Kampagnen durchzuführen
Phishing-Simulationen sind ein effektives Tool, das Ihre Mitarbeitenden in Ihre stärkste Verteidigungslinie verwandeln kann. Worauf es in erster Linie bei der Strategie Ihrer simulierten Phishing-Kampagne ankommt, ist, dass Sie sie so genau wie möglich auf Ihr Unternehmen und die Trainingsanforderungen Ihrer Mitarbeitenden abstimmen.
Deshalb bietet SoSafe KI-basierte, nutzerzentrierte Simulationen, die schnell und einfach einzurichten sind. Zielgerichtete E-Mails lassen sich auf das Risikoprofil und die individuellen Bedürfnisse des Mitarbeitenden in seiner Rolle abstimmen. Im Gegensatz dazu passen sich verhaltensbasierte Simulationsmails an das Verhalten des Users an, um dessen Wissenslücken effektiv zu schließen. All das schafft ein sicheres Umfeld, in dem Mitarbeitende Phishing-Angriffe verstehen, erkennen und abwehren können und genau die richtige Menge an Training erhalten, ohne unnötig viel Arbeitszeit dafür aufwenden zu müssen.
Um den Lernerfolg weiter zu steigern, erhalten sie nach dem Klick auf eine Phishing-Mail kontextbezogene Lernseiten und nach dem Melden einer E-Mail sofortiges Feedback. Im Idealfall wird dieser Prozess durch eine umfassende Lernerfahrung kombiniert. Diese sollte den Mitarbeitenden das nötige Wissen vermitteln, das sie später bei den Phishing-Simulationen anwenden können, und eventuelle Wissenslücken effektiv schließen. Die E-Learning-Plattform von SoSafe umfasst eine sorgfältig erstellte Content-Bibliothek und leicht verdauliche, storybasierte Lernmodule, die sich einfach in den Arbeitsalltag integrieren lassen. Ziel ist nicht nur, den Mitarbeitenden zu vermitteln, wie sie Phishing-Angriffe erkennen können, sondern auch, dass ihr Wissen in sicheres Verhalten übergeht.
Phishing wird auch in Zukunft eine der größten Cyberbedrohungen bleiben, denn es ist und bleibt für Cyberkriminelle eine extrem kosteneffiziente und erfolgreiche Angriffsmethode. Da Phishing-Angriffe heute effektiver sind denn je, ist es umso wichtiger, unsere Abwehrmechanismen gegen diese Bedrohung zu stärken. Wenn Sie aus erster Hand erleben möchten, wie SoSafe die Cyberresilienz Ihres Teams stärken kann, vereinbaren Sie eine Demo mit einem unserer Experten.