Um die Resistenz der eigenen Mitarbeitenden gegen gefälschte E-Mails zu prüfen – der meistgenutzte Weg von Cyberkriminellen, um an vertrauliche Daten zu kommen oder Schadsoftware in Unternehmensnetzwerke einzuschleusen, simulieren manche Unternehmen diese sogenannten Phishing- Kampagnen. Doch solche Tests sind mit einigen, auch rechtlichen, Fallstricken verbunden. Von Christoph Berger
Eigentlich haben Unternehmen beim bewussten Versenden von simulierten Phishing- Mails an die eigenen Mitarbeiter nur Gutes im Sinn: Die Angestellten sollen vor realen Gefahren geschützt und ein Problembewusstsein geschaffen werden. Dass dieses Ziel jedoch nicht immer im Ergebnis derartiger Kampagnen rauskommt, haben Melanie Volkamer, Leiterin der Forschungsgruppe SECUSO – Security, Usability and Society am KIT, und Franziska Boehm vom Zentrum für Angewandte Rechtswissenschaft des KIT gemeinsam mit der Bochumer Professorin für Human-Centred Security am Horst-Görtz-Institut für IT Sicherheit, M. Angela Sasse, in ihrem Bericht „Phishing-Kampagnen zur Mitarbeiter-Awareness. Analyse aus verschiedenen Blickwinkeln: Security, Recht und Faktor Mensch.“ herausgearbeitet. „Die Kampagnen haben das Ziel, Mitarbeiterinnen und Mitarbeiter bewusst zu täuschen, um sie vor realen Gefahren zu schützen und ein Problembewusstsein zu schaffen, aber es herrschen oft Unsicherheiten darüber, was rechtlich, sicherheitstechnisch und ethisch vertretbar ist“, so die Wissenschaftlerinnen.
Phishing-Kampagnen bringen eine Reihe von Sicherheitsproblemen mit sich, und sie beeinflussen die Vertrauens- und Fehlerkultur in einem Unternehmen stark.
So erklärt Boehm: „Phishing-Kampagnen bringen eine Reihe von Sicherheitsproblemen mit sich, und sie beeinflussen die Vertrauens- und Fehlerkultur in einem Unternehmen stark; auch rechtlich ist einiges zu berücksichtigen.“ Und laut Sasse sei es schlicht unfair und trage micht zum Vertrauen in die Leitung bei, wenn eine solche Kampagne ohne die vorherige Aufklärung der Mitarbeiter gestartet werde. Zu erfahren, dass man auf Phishing-Nachrichten hereingefallen ist, wirke sich schlecht auf die Selbstwirksamkeit aus: „Die Angestellten merken, dass sie keine Kontrolle über die Situation haben und reagieren mit Resignation, sie bemühen sich nicht einmal mehr, Phishing-Nachrichten zu erkennen“, stellen die Autorinnen fest.
Doch auch das vorherige Informieren über Phishing-Kampagnen berge Risiken, wie Volkamer erläutert. „Wenn die Mitarbeiter aber wissen, dass die Kampagne läuft, sind sie vielleicht neugierig und klicken eine Mail an, in der Annahme, da kann nichts passieren, die Mail ist ja fingiert. Da aber weiterhin echte Phishing-Mails im Umlauf sind, wird das Schutzniveau herabgesetzt.“ Verstärkt werde das Problem, wenn ein Mitarbeiter merkt, dass er doch einen gefährlichen Link angeklickt hat und sich nicht traut, dies zu melden. Im Unternehmen sollte deshalb vor Start einer Phishing- Kampagne bereits eine Meldepflicht von IT-Sicherheitsvorfällen etabliert sein. Angekündigte Kampagnen würden außerdem zu einer weitaus häufigeren kritischen Hinterfragung von E-Mails führen, was zu einem höheren Zeitaufwand und damit Leistungsdruck führe – alles Aspekte, die wiederum das Vertrauen in die Geschäftsleitung schmälern.
Der vollständige Bericht „Phishing-Kampagnen zur Mitarbeiter-Awareness. Analyse aus verschiedenen Blickwinkeln: Security, Recht und Faktor Mensch.“
Was aber tun, wenn es schon genügt, dass ein einzelner Angestellter einem Phishing- Angriff Glauben schenkt, um großen Schaden zu verursachen? Die Autorinnen raten Unternehmen, die ihre IT-Sicherheit stärken wollen, Zeit und Geld in erster Linie in eine Verbesserung der technischen Sicherheitsmaßnahmen zu investieren und erst dann die Angestellten zu schulen, welche Phishing-Nachrichten sie trotz der aktuellsten Sicherheitssoftware und des neuesten Betriebssystems noch erreichen können und wie sie diese erkennen.
