|
Research|
Blog|
Newsletter|
Websession|
EN
Nach wie vor findet Schadsoftware oftmals via E-Mail ihren Weg in die IT-Infrastrukturen von Unternehmen. Dieser Umstand ist inzwischen weitläufig bekannt, wird jedoch in der alltäglichen Arbeit nicht immer beachtet. Um das eigene Unternehmen vor verseuchten E-Mail-Anhängen oder manipulierten Hyperlinks zu schützen, bedarf es der Wachsamkeit aller Mitarbeiterinnen und Mitarbeiter. Doch wie können Unternehmen herausfinden, ob ihre Angestellten in der Lage sind, gefährliche Mails zu erkennen?
Hierfür bietet sich ein Phishing-Test, ein sogenanntes Social E-Mail Audit, an. Hinter dem Begriff verbirgt sich eine äußerst lebensnahe Prüfung mit Aha-Effekt.
Was genau ist ein Social E-Mail Audit?
Bei einem Social E-Mail Audit (kurz SEA) geht es darum herauszufinden, ob und wie viele Angestellte beim Empfang von unerwarteten, potenziell gefährlichen E-Mails unvorsichtigerweise dubiosen Hyperlinks folgen oder Anhänge öffnen. Gesammelt werden anonyme Klickzahlen, an denen dann abgelesen werden kann, ob die Mitarbeiterinnen und Mitarbeiter eines Unternehmens ausreichend für die Gefahren beim E-Mail-Empfang sensibilisiert sind. Dies ist ein wichtiger Indikator für den allgemeinen Grad der Informationssicherheit.
Wie funktioniert ein SEA?
Für den Phishing-Test bereiten Spezialisten E-Mails vor, die nur einen einzigen Zweck haben: Sie sollen die Empfänger dazu verleiten, Inhalte anzuklicken, die man besser nicht anklicken sollte. Diese kleine digitale Falle wirkt auf den ersten Blick – zugegeben – ziemlich unsympathisch, ist aber, sofern professionell und umsichtig durchgeführt, eine wirklich gute Sache für die Informationssicherheit. Denn ein SEA bietet die einzigartige Möglichkeit, aus eigenen Fehlern zu lernen, ohne dass negative Konsequenzen drohen, und das direkt in der Praxis.
Die Mitarbeiter erhalten also, ohne Vorwarnung, eine E-Mail, in der sie zum Beispiel aufgefordert werden einen Anhang zu öffnen, einem Hyperlink zu folgen, etwas herunterzuladen oder sogar Daten einzugeben. Der Nachricht sieht man ihre Absichten, so wie es in der Realität eben auch ist, nur bedingt an. Die Absenderadresse ist gefälscht, die Signatur kann erfunden sein und auch sonst muss die E-Mail nicht unbedingt im Zusammenhang mit der Arbeit der Empfänger stehen. Eigentlich gibt es genügend Indizien, die den Schwindel auffliegen lassen können bzw. den aufmerksamen Leser von einem unbedachten Klick abhalten sollten.
Hätten Cyberkriminelle diese Nachricht geschickt, könnte sich hinter jedem Element Schadsoftware verbergen oder eingegebene Daten könnten „abgefischt“ werden. Bei einem SEA verstecken sich hinter Hyperlink, Anhang und Download-Button allerdings nur Zählfunktionen, die anonymisiert melden, wie oft sie angeklickt wurden. Der Anhang liefert eine Fehlermeldung, der Link führt auf eine harmlose Webseite oder eine, die der des Unternehmens nachempfunden ist und zur Dateneingabe auffordert. Ist letzteres der Fall, wird geprüft, ob Daten eingegeben werden.
Der Schwierigkeitsgrad, die potenziell gefährliche E-Mail als solche zu erkennen, ist je nach E-Mail unterschiedlich. Aus diesem Grund bietet 8com ein mehrstufiges SEA an. So kann sichtbar gemacht werden, ob beispielsweise der Umgang mit Hyperlinks, die per Mouseover zu prüfen sind, verinnerlicht wurde oder nicht.
Je nachdem wie die Ergebnisse der Überprüfung ausfallen, sollten gezielte Sensibilisierungsmaßnahmen für die Mitarbeiter gestartet werden. Mit gezielten Trainings zu den Gefahren beim E-Mail-Empfang, können beispielsweise innerhalb kürzester Zeit nachhaltige Fortschritte erzielt werden. Dabei erfahren die Mitarbeiter, wie sie die tatsächliche Zieladresse eines Hyperlinks erkennen, worauf beim Öffnen von Anhängen zu achten ist und anhand welcher Indizien Phishing Mails häufig bereits auf den ersten Blick zu erkennen sind.
Dabei bietet es sich an, stufenweise vorzugehen, also SEA-Mails zu versenden, dann Sensibilisierungsmaßnahmen zu starten. Zu einem späteren Zeitpunkt können dann erneut SEA-Mails versendet werden, um Sensibilisierungsfortschritte sichtbar zu machen.
Typische Bedenken und Sorgen
Jemand könnte sich angegriffen oder sogar bloßgestellt fühlen – diese Bedenken äußern viele, die zum ersten Mal von einem SEA hören. Doch setzt man sich genauer mit dem Audit auseinander, dann wird klar: Mit der richtigen Vorgehensweise besteht hier keine Gefahr.
Grundsätzlich ist es wichtig, dass ein Social E-Mail Audit durchdacht, betreut und gemeinsam mit dem Unternehmen durchgeführt wird. Involviert sind in der Regel die IT-Abteilung, der ISB, der Betriebsrat und die Geschäftsleitung. Führen Unternehmen ein solches Audit selbst bzw. intern durch, kann es zu unangenehmen Situationen kommen. Beispielsweise könnten sich einzelne Angestellte von der Person, die die E-Mails verschickt hat, hintergangen fühlen.
Oft steht vor allem der Betriebsrat einem solchen Audit kritisch gegenüber. Doch die Rahmenbedingungen eines SEA, das auf seine spezielle Weise zum Schutz der Angestellten beiträgt, können und sollten unbedingt vertraglich geregelt werden. Hier legt 8com beispielsweise großen Wert auf die Anonymität der Teilnehmer während und auch nach dem Audit. Die reinen Klickzahlen sind aussagekräftig genug. Vor allem im Kontext eines anonymen Benchmark-Vergleichs, den 8com grundsätzlich erstellt, um seinen Kunden einen noch besseren Anhaltspunkt zum eigenen Sicherheitsniveau zu geben.
Letztendlich ist ein SEA ein besonderes Instrument, um den Grad der Sensibilisierung für Informationssicherheit und Schulungsbedarf festzustellen. Auch bringt es all jene, die sich bisher nicht als potenzielle Opfer von Cyberkriminalität gesehen haben, zum Umdenken.
Bild (c) 8com
