Wie oft sollten Phishing-Simulationen durchgeführt werden?

In unserem digitalen Zeitalter, in dem Technologie ein integraler Bestandteil unseres täglichen Lebens ist, ist die Gefahr von Cyberangriffen groß. Zu den häufigsten dieser Bedrohungen gehören Phishing-Attacken. Laut unserem Human Risk Review 2023 sehen 80 % der Security-Verantwortlichen Phishing als großes Risiko für ihr Unternehmen; alleine 2022 wurden über 500 Millionen Phishing-Attacken gemeldet.

Um diese sich ständig weiterentwickelnde Gefahr zu bekämpfen, sind viele Unternehmen über traditionelle Sicherheitsmaßnahmen hinausgegangen und haben auf Phishing-Simulationen gesetzt. Aber diese Simulationen sind nicht nur reine „Tests“, sondern dauerhafte Initiativen, die die Teilnehmenden fortlaufend weiterbilden. Sie funktionieren folgendermaßen: Die Mitarbeitenden erhalten simulierte E-Mails, die echte Cyberangriffe imitieren sollen, aber völlig harmlos sind. Das Ziel dahinter? Die Fähigkeiten der Mitarbeitenden zu schärfen, damit sie potenzielle Phishing-Fallen erkennen und damit umgehen können.

In der Vergangenheit nutzten einige Unternehmen diese Simulationen lediglich, um „Sicherheitsrisiken“ unter ihren Mitarbeitenden zu erkennen, oder sie wiederholten stets dasselbe Szenario. Diese Taktik sorgt nicht nur für Frustration bei den Mitarbeitenden, sondern ist auch ganz grundsätzlich kontraproduktiv. Das eigentliche Ziel sollte die Befähigung der Mitarbeitenden sein. Durch Phishing-Simulationen bleiben diese nicht nur auf dem aktuellen Wissensstand, sondern entwickeln auch die so wichtige Gewohnheit, Cybersicherheitsbedrohungen proaktiv zu erkennen und angemessen auf sie zu reagieren.

Wenn Sie also nicht darüber nachdenken, „ob“ Sie Phishing-Simulationen durchführen sollten, sondern „wie oft“, dann stellen Sie bereits die richtigen Fragen. Das Timing ist ein entscheidender Faktor, und deshalb widmen wir uns in diesem Artikel zwei wichtigen Überlegungen: Sollten Simulationen kontinuierlich oder nur in einem bestimmten Zeitraum durchgeführt werden und wie oft sollten sie stattfinden – wöchentlich, zweiwöchentlich, monatlich oder in einem anderen Rhythmus?

Warum sollten Phishing-Simulationen kontinuierlich erfolgen?

Phishing-Simulationen sind zu einem Eckpfeiler der Cybersicherheitsprotokolle führender Unternehmen auf der ganzen Welt geworden und spiegeln die sich ständig verändernde Landschaft der Cyberbedrohungen wider. Oftmals herrscht jedoch eine geteilte Meinung darüber, ob diese Simulationen eine kontinuierliche, sich weiterentwickelnde Initiative sein sollten oder lediglich ein pädagogisches Instrument, das während bestimmter Trainings zum Einsatz kommt.

Bei SoSafe sehen wir seit Jahren, wie wichtig fortlaufende Phishing-Simulationen sind, um unsere Cybersicherheit zu verbessern. Das sagen nicht nur wir, das bestätigt auch die Verhaltenspsychologie. Hier finden Sie einige Gründe dafür: 

Fähigkeiten kontinuierlich verbessern

Phishing-Simulationen bieten Mitarbeitenden eine praktische Möglichkeit, ihre Fähigkeiten zu erweitern und Phishing-Versuche besser zu erkennen und angemessen darauf zu reagieren. Durch regelmäßige Übung tragen diese Simulationen dazu bei, die nötige Awareness aufrechtzuerhalten und die von Cyberkriminellen verwendeten Taktiken zu durchschauen. Mit der Zeit werden die Mitarbeitenden immer versierter darin, tatsächliche Bedrohungen zu vermeiden.

Auf aktuelle Trends reagieren

Die Professionalisierung der Cyberkriminalität hat hoch organisierte kriminelle Gruppen hervorgebracht, die modernste Technologien wie KI einsetzen und unerbittlich auf der Suche nach Schwachstellen sind. Neueste Untersuchungen des Social-Engineering-Teams von SoSafe zeigen, dass generative KI-Tools Phishing-Mails mindestens 40 % schneller verfassen können als Menschen und dass 78 % der Menschen KI-geschriebene Phishing-Mails öffnen. Regelmäßige Trainings sorgen dafür, dass die Mitarbeitenden mit herkömmlichen Phishing-Versuchen vertraut sind, und bereiten sie darauf vor, auch ausgeklügelte Angriffe mit KI und anderen Cyber-Trends zu erkennen und zu vereiteln.

Neue Mitarbeitende einarbeiten

Wenn Phishing-Simulationen nur einmalig stattfänden oder monatelang in Vergessenheit gerieten, würde neuen Mitarbeitenden wichtiges Wissen entgehen. Fortlaufende Phishing-Simulationen sorgen dafür, dass auch neue Mitarbeitende schnell mit den Cybersicherheitsprotokollen des Unternehmens vertraut sind und über die notwendigen Kenntnisse verfügen, um Phishing-Bedrohungen zu erkennen und darauf zu reagieren. Die aktive Einbindung in die entsprechenden Übungen trägt dazu bei, eine einheitliche Security Awareness aufrechtzuerhalten und das Risiko potenzieller Sicherheitslücken, die durch Personalwechsel entstehen können, zu verringern.

Die Vergessenskurve bekämpfen

Nach den Erkenntnissen des Wissenschaftlers Hermann Ebbinghaus werden Informationen exponentiell schnell vergessen, wenn sie nicht wiederholt oder vertieft werden. Dies zeigt er anhand der bekannten Vergessenskurve. Regelmäßige Phishing-Simulationen helfen Unternehmen dabei, diesen Effekt zu bekämpfen, da sie ihre Mitarbeitenden regelmäßig mit simulierten Phishing-Angriffen konfrontieren, das Erinnerungsvermögen durch Wiederholung stärken und den Mitarbeitenden die Möglichkeit geben, ihre Fähigkeiten zu üben und zu erweitern.

Eine Cybersicherheitskultur schaffen und pflegen

Regelmäßig durchgeführte Phishing-Simulationen machen deutlich, dass die Cybersicherheit oberste Priorität hat. Die Mitarbeitenden gehen dann bewusster mit Online-Aktivitäten um und sind eher bereit, verdächtige E-Mails oder Vorfälle zu melden. Mit der Zeit wird dieser Kulturwandel zu einem wirksamen Schutz vor Phishing-Attacken, da die Mitarbeitenden aktiv zur allgemeinen Sicherheit des Unternehmens beitragen.

Reaktion auf Vorfälle testen

Regelmäßige Simulationen ermöglichen es Sicherheitsteams, Schwachstellen in ihren Reaktionsplänen für Vorfälle zu erkennen und notwendige Verbesserungen vorzunehmen. Dieser proaktive Ansatz sorgt dafür, dass Unternehmen besser auf echte Phishing-Attacken vorbereitet sind und dadurch möglichen Schaden begrenzen und effektiv reagieren können.

Phishing-Simulationen helfen den Mitarbeitenden dabei, ihr Wissen über Phishing-Bedrohungen effektiv aufzubauen und anzuwenden, indem sie regelmäßige Wiederholung sicherstellen, Fähigkeiten verfeinern und langfristige Awareness schaffen. Dieser proaktive Ansatz stärkt die Cybersicherheit eines Unternehmens und sorgt dafür, dass die Mitarbeitenden langfristig für Phishing-Attacken gewappnet sind. Doch noch immer steht die Frage nach der Häufigkeit im Raum.

Welches Intervall wird für Phishing-Kampagnen empfohlen?

Das empfohlene Intervall für Phishing-Kampagnen hängt von der Größe des Unternehmens, der Branche, dem Reifegrad im Bereich Cybersicherheit und der sich entwickelnden Bedrohungslage ab. Ein allgemeiner Grundsatz lautet, dass Phishing-Kampagnen regelmäßig durchgeführt und sowohl die Wirksamkeit der Schulungen als auch das Wohlbefinden der Mitarbeitenden berücksichtigt werden sollten.

Und genau an diesem Punkt äußern Sicherheitsexpertinnen und -experten einige Bedenken. Die Erstellung realistischer Phishing-Simulationen, ohne damit die Mitarbeitenden zu überfordern, ist eine große Herausforderung. Zu überzeugende oder zu häufige Simulationen können Stress und Produktivitätseinbußen auslösen, während zu harmlose oder zu seltene Simulationen dazu führen können, dass die Mitarbeitenden nicht ausreichend auf tatsächliche Phishing-Bedrohungen vorbereitet sind. Die Überwindung von Widerständen gegen Veränderungen ist ebenfalls ein wichtiger Punkt, da einige Mitarbeitende Simulationen als störend oder unnötig empfinden, was die Zusammenarbeit und das Engagement beeinträchtigen kann. Und da auch Datenschutz und Compliance von größter Bedeutung sind, müssen Sicherheitsexpertinnen und -experten also die regelmäßigen Cybersicherheitskontrollen mit der Compliance in Einklang bringen, ohne den Arbeitsablauf und die Zufriedenheit der Mitarbeitenden zu beeinträchtigen.

Für uns hat sich eine simulierte Phishing-Mail pro Monat als optimale Häufigkeit erwiesen – eine Erkenntnis, die auch Quellen wie das Cyber Resilience Center stützen. Einerseits vermeidet dieser monatliche Rhythmus, dass Mitarbeitende mit übermäßigen Simulationen überschwemmt werden, was zu Frustration oder einer gewissen Übersättigung führen könnte, und andererseits kultiviert er Gewohnheiten, die in Fleisch und Blut übergehen.

Es mag zwar verlockend sein, Phishing-Simulationen möglichst häufig durchzuführen, doch die Ergebnisse unserer Plattform zeigen, dass der Versand von mehr als drei simulierten Phishing-Mails pro Monat zu einem Rückgang des Engagements und der Wirksamkeit führen kann. Die idealen Lernergebnisse erreichen Sie also mit einer moderaten Häufigkeit von ein bis drei simulierten Phishing-Mails pro Monat. Dieser Ansatz ermöglicht es den Mitarbeitenden, ohne Überforderung ihre Fähigkeiten und Awareness zu schärfen, und stellt sicher, dass die Abwehrmaßnahmen Ihres Unternehmens gegen reale Phishing-Bedrohungen robust bleiben und fortlaufend verbessert werden.

Phishing-Simulationen optimal nutzen

Unternehmen gelangen immer häufiger zu der Erkenntnis, dass ihre Mitarbeitenden bei der Stärkung ihrer Cyberabwehr eine zentrale Rolle spielen. Dies wiederum zeigt deutlich die Bedeutung effektiver Trainings und Phishing-Simulationsstrategien. In diesem Zusammenhang bietet unser Report „Best Practices Phishing-Simulationen“ eine Reihe von Best Practices, die sich beim Schutz von Unternehmen vor Phishing-Attacken als hilfreich erwiesen haben.

Best Practices
Phishing-Simulationen

Report lesen

Erfahren Sie, wie Sie Ihre Phishing-Simulationen an die Bedürfnisse Ihres Unternehmens anpassen.

Im Folgenden finden Sie einige der wichtigsten Empfehlungen zu Phishing-Simulationen, die in diesem Report enthalten sind:

• Ankündigen statt überraschen: Die Kommunikation vor, während und nach der Simulation ist für jede Phishing-Simulation, die einen Lerneffekt erzielen soll, von zentraler Bedeutung. Daran sind die IT-Abteilung, der Helpdesk, die Geschäftsleitung und gegebenenfalls der Betriebsrat und Human Resources beteiligt. Die Ankündigung der Phishing-Simulation im Voraus ist entscheidend für eine aufschlussreiche Lernerfahrung. Wenn die Mitarbeitenden verstehen, dass die Simulation zu einer stärkeren Sicherheitskultur beiträgt und das Unternehmen vor Angriffen schützt, beschäftigen sie sich intensiver mit den Inhalten und sind bereit, daraus zu lernen.
• Training statt Tests: Schuldzuweisungen können die Lernbereitschaft und die Motivation der Mitarbeitenden dämpfen. Anonyme Simulationen, bei denen keine individuellen Verhaltensdaten gesammelt und analysiert werden, sind effektiver und nachhaltiger. Es ist wichtig, schon in der Ankündigung der Simulation klarzustellen, dass es sich nicht um einen Test handelt, damit die Mitarbeitenden sich nicht überwacht fühlen, sondern die Möglichkeit haben, die Phishing-Simulation in ihrem eigenen Tempo und gemäß ihren Fähigkeiten durchzuführen.
• Realistisch statt veraltet: Simulierte Phishing-Versuche müssen genau die Arten von Phishing-Mails widerspiegeln, mit denen die Mitarbeitenden wahrscheinlich konfrontiert werden. Verwenden Sie aktuelle Simulationen, die die Phishing-Situationen, in denen sich die Mitarbeitenden wiederfinden könnten, realistisch darstellen.
• Befähigen statt einschüchtern: Erweitern Sie die Phishing-Simulation mit entsprechenden Lerninhalten, wie z. B E-Learning-Modulen, die Leitplanken für ein sicheres Verhalten im Alltag bieten, und Schritt-für-Schritt-Anleitungen nach dem Anklicken der Phishing-Simulation. Wenn das Anklicken einer simulierten Phishing-Mail weder zu Konsequenzen noch zu Lerninhalten führt, sind die Empfängerinnen und Empfänger möglicherweise unsicher, ob es sich um eine Simulation oder einen echten Angriff handelt. Der IT-Support verzeichnet dann möglicherweise ein höheres Aufkommen an Anfragen und der gewünschte Lerneffekt wird beeinträchtigt.

Die Umsetzung dieser Best Practices ist mehr als nur eine Sicherheitsmaßnahme. Sie ist eine Investition in die Resilienz Ihres Unternehmens gegen Phishing-Bedrohungen und ein Bekenntnis dazu, unter den Mitarbeitenden eine Awareness für das Thema Cybersicherheit zu schaffen.

Was in der Zeit zwischen Phishing-Kampagnen geschehen sollte

Auch wenn gerade keine Phishing-Kampagne läuft, haben Unternehmen die einmalige Chance, ihre Cybersicherheitsabwehr zu stärken und eine Kultur hoher Awareness bei ihren Mitarbeitenden zu schaffen. Diese Intervalle sind keine Leerlaufphasen, sondern Gelegenheiten, zu bewerten, weiterzubilden und zu befähigen. Hier sind einige Dinge, die Sie zwischen den Phishing-Kampagnen tun können, um deren Effizienz zu maximieren:

• Erkenntnisse: Aus den Berichten, die nach Phishing-Simulationen erstellt werden, erhalten Sie ein klareres Bild von der aktuellen Sicherheitslage in Ihrem Unternehmen. Wenn beispielsweise die Marketing-Abteilung die höchste Klickrate für eine bestimmte Art von Phishing-Mails aufweist, können Sie das Training so gestalten, dass das Team diese spezielle Bedrohung in Zukunft erkennen und abwehren kann. Sie passen also praktisch Ihr Verteidigungskonzept anhand erkannter Schwachstellen an und wählen entsprechende Module aus, um die Resilienz Ihres Teams zu stärken.
• Gezielte Maßnahmen: Ein Basis-Training deckt zwar standardmäßige Präventionstechniken wie die Validierung von E-Mail-Quellen und die gründliche Prüfung von E-Mails ab, doch auch die Beseitigung spezifischer Schwachstellen bei Ihren Mitarbeitenden ist von großer Bedeutung. Dies erfordert gezielte Kampagnen, die genau auf die ermittelten Schwachstellen ausgerichtet sind. Wiederkehrende Phishing-Simulationen sollten das Training regelmäßig ergänzen, um alle Beteiligten auf dem Laufenden zu halten, ihre Aufmerksamkeit zu schärfen und so spürbare Fortschritte zu erzielen.
• Kontinuierliche Awareness: Es ist entscheidend, dass Ihr Team über die neuesten Phishing-Taktiken, -Techniken und -Verfahren gut informiert ist. Die Nutzung von MS-Teams-Integrationen wie Sofie Rapid Awareness optimiert diesen Prozess und sorgt dafür, dass Ihre Mitarbeitenden umgehend über alle wichtigen Neuigkeiten im Unternehmen informiert werden.
• Erfahrungen teilen: Richten Sie interne Foren ein, in denen Mitarbeitende ihre persönlichen Erfahrungen mit Phishing-Versuchen und ihre Erkenntnisse daraus offen diskutieren können. Schaffen Sie eine Kultur, in der die Meldung verdächtiger E-Mails oder Vorfälle gefördert und begrüßt wird. Dann fühlen sich die Mitarbeitenden wohl, wenn sie Sicherheitsbedenken äußern können, ohne Konsequenzen befürchten zu müssen. Das wiederum erhöht die Cyberresilienz des Unternehmens.

Die Maßnahmen, die zwischen den einzelnen Phishing-Simulationen ergriffen werden, wirken sich erheblich auf die Fähigkeit eines Unternehmens aus, Cyberbedrohungen zu begegnen. Dies ist die Zeit, in der Unternehmen ihre Abwehrmaßnahmen verfeinern, aus früheren Erfahrungen lernen und dafür sorgen, dass ihre Mitarbeitenden informiert und engagiert sind und Phishing-Angriffe erfolgreich abwehren können.

So kann SoSafe Sie bei Ihren Phishing-Kampagnen unterstützen

Wir haben es uns zum Ziel gesetzt, im Bereich Cybersicherheit stets eine Vorreiterrolle einzunehmen. Deshalb passen wir unsere Inhalte kontinuierlich an die neuesten Phishing-Trends an. Durch die kontinuierliche Einbindung der neuesten Erkenntnisse und Taktiken, die von bösartigen Akteuren genutzt werden, bieten die Phishing-Simulationen von SoSafe Unternehmen in Echtzeit relevante Inhalte, die sie auf sich ständig weiterentwickelnde Bedrohungen vorbereiten. Sie vermitteln sichere Gewohnheiten durch implizites, beiläufiges Lernen und enthalten kontextbezogene von Lernspezialistinnen und -spezialisten erstellte Schritt-für-Schritt-Anleitungen, die eine personalisierte Lernerfahrung auf unterschiedlichsten Kanälen ermöglichen und damit die Fähigkeit zur digitalen Selbstverteidigung verbessern. Laut unserem Human Risk Review 2023 erhöht die Kombination aus gamifiziertem E-Learning, Phishing-Simulationen und kontextbezogenen Reporting-Tools die Phishing-Meldequote um bis zu 80 % und minimiert so die Bedrohungen für die digitale Umgebung Ihres Unternehmens.

Schon Ihr Interesse an unseren Phishing-Simulationen oder unserer ganzheitliche Cyber Security Awareness-Plattform ist ein erster Schritt hin zu einer stärkeren digitalen Abwehr. Fordern Sie eine Demo an und unsere Sicherheitsexpertinnen und -experten zeigen Ihnen, wie Ihr Team unsere Plattform als Ressource nutzen kann, um Cyberbedrohungen zu minimieren und die Sicherheit Ihres Unternehmens insgesamt zu verbessern.