Mitarbeiter smart machen gegen Phishing-Mails

Mit einer neuen Methode der University of South Florida lassen sich Mitarbeiter eines Unternehmens besser als bisher für Phishing-Mails sensibilisieren. Dezhi Yin, Gert-Jan de Vreede und Matthew Mullarkey empfehlen Datenschützern von Unternehmen, an die Mitarbeiter in regelmässigen Abständen gefälschte Phishing-Mails zu verschicken, um zu prüfen, ob sie darauf hereinfallen. Anschliessend sollten alle E-Mail-Empfänger, ob sie die finsteren Absichten geahnt haben oder nicht, über das Ergebnis der Aktion informiert werden. Das sei lehrreicher, als nur jene zu Schulungen zu verdonnern, die auf die E-Mails hereingefallen sind.

"Versager"-Schulung reicht nicht

Die Phishing-Simulationen mit anschliessender Schulung für die, die die Gefahr nicht erkannt haben - bekannt als "Embedded Training", da die Nutzer nach einem Fehlversuch in den Trainings-Modus versetzt werden - gelten in der IT-Security-Branche als "Best Practice" im Kampf gegen Phishing. Doch die Wissenschaftler kommen zu einem anderen Schluss. Diejenigen, die beim ersten Mal nicht hereingefallen sind, können den nächsten echten Phishing-Angriff übersehen und schwere Schäden verursachen. Zudem fühlten sich diejenigen, die zur Nachschulung verdonnert werden, blossgestellt und würden in die Defensive gehen.

"Nur denen Feedback zu geben, die auf die 'gefälschte' Phishing-E-Mail geklickt haben, ist eine verpasste Chance", sagt Wirtschaftsinformatiker Yin und ergänzt: "Wir haben festgestellt, dass Mitarbeiter besser lernen, wenn alle - auch diejenigen, die nicht darauf hereingefallen sind - eine Folge-E-Mail erhalten, in der der Phishing-Test erklärt wird." Das schliesst er aus einem Test, bei dem tausende Studenten simulierte, aber echt aussehende Phishing-Mails erhielten. Einige, die sie geöffnet hatten, wurden darüber schnell informiert, andere erst später.

Über Monate hinweg wachsam

Das Team hat verfolgt, wie wahrscheinlich es war, dass die Teilnehmer in den folgenden Wochen und Monaten auf weitere simulierte Betrugsversuche hereinfallen würden. Dabei erkannten sie, dass das Teilen der Erkenntnisse mit der gesamten Gruppe, nicht nur mit denjenigen, die hereingefallen waren, allen half, Betrugsversuche effektiver zu erkennen und über Monate hinweg wachsam zu bleiben. Die Ergebnisse könnten Unternehmen dabei helfen, ihre Cyber-Sicherheitsmassnahmen zu verstärken, zumal Phishing-Betrügereien immer raffinierter werden und zunehmend Künstliche Intelligenz einsetzen", so die Forscher. (pressetext.com)