Phishing Simulationen sind ineffektiv
In meiner Laufbahn als IT-System Engineer habe ich häufig Kund:innen und Kolleg:innen getroffen, die Phishing-Übungen als wichtigen Teil ihrer Cybersicherheitsstrategie durchführen wollten. Obwohl die Absicht, Mitarbeiter:innen zu schulen und die Anfälligkeit für Phishing-Angriffe zu verringern, lobenswert ist, habe ich beobachtet, dass diese Übungen oft ihre Ziele verfehlen und sogar unbeabsichtigte negative Folgen haben können. Jüngste Forschungsergebnisse, darunter eine Studie der ETH Zürich, stützen diese Ansicht und legen nahe, dass Phishing-Übungen nicht nur unwirksam sind, sondern auch das Vertrauen innerhalb des Unternehmens untergraben können.
Die Tücken von Phishing-Simulationen
Nehmen wir den Fall eines Unternehmens, das eine Phishing-Simulation durchführte, indem es seinen Mitarbeitenden eine E-Mail sendete, in der ein Jahresendbonus angekündigt wurde. Aufgeregt durch die Aussicht klickten viele Mitarbeiter:innen auf den Link, nur um festzustellen, dass es sich um einen Test handelte. Das Ergebnis war eine weit verbreitete Verärgerung und ein tiefes Gefühl des Verrats gegenüber dem Management und der IT-Abteilung. Anstatt eine Kultur des Sicherheitsbewusstseins zu fördern, schadete die Übung der Moral und dem Vertrauen der Mitarbeiter. Die sozialen Medien sind voll von Geschichten wie dieser:
my university sent an email about providing $7,500 in assistance to those experiencing financial hardship due to the pandemic….turns out it was a PHISHING exercise…
is this a joke???
— Nina Luong (@nina_luong) April 12, 2022
GoDaddy
June: laid off 800+ employees
November: reported 11% revenue increase & record number of new customers
Now: sent staff notice of $650 bonuses – turns out it was a phishing test; employees actually get $0 & must complete a «social engineering» testhttps://t.co/1zFG3nprBC— Dan Price (@DanPriceSeattle) December 25, 2020
I clicked on a justeat voucher email at work and got myself enrolled on a phishing course ffss
— F (@fa7_a96) February 21, 2024
In vielen Unternehmen werden Mitarbeiter:innen, die bei Phishing-Tests durchfallen, mit «Strafen» belegt, z. B. mit obligatorischen Schulungen. Dieser Ansatz fördert Ressentiments und kann Mitarbeiter:innen dazu ermutigen, Wege zu finden, das System zu umgehen, anstatt sich wirklich mit Sicherheitspraktiken zu befassen, z. B. indem sie Schulungsvideos im Hintergrund laufen lassen, während sie etwas anderes tun. Der Schwerpunkt verlagert sich vom Aufbau einer sicherheitsbewussten Kultur auf die Vermeidung von Strafen, was kontraproduktiv ist.
Omg. Same. Thing. Happened to me…
Usually spammers don’t have an ‘@ Utah ‘ email. https://t.co/SxsI21dVbY
— Brandi Wynne, MS PhD FAHA (@brandimwynne) December 7, 2023
Die Schwierigkeiten bei komplexen Angriffen
Bei den heute verwendeten Phishing-Simulationen werden häufig einfache Kampagnenvorlagen verwendet, die nicht die Raffinesse realer, gezielter Angriffe widerspiegeln. Bei gezielten Angriffen auf hohem Niveau können die Angreifer:innen Wochen oder Monate damit verbringen, ihre Ziele zu analysieren, um Phishing-Versuche zu erstellen, die stark personalisiert sind. Sie können spezifische Projektdetails verwenden, Kommunikationsstile imitieren oder auf interne Ereignisse verweisen. Für die Mitarbeiter:innen ist es fast unmöglich, solche E-Mails als betrügerisch zu erkennen, ganz unabhängig davon, wie viel Schulung sie erhalten haben.
Ausserdem ist E-Mail nicht der einzige Faktor, welcher eine Rolle spielt. Bei gezielten Angriffen setzen Cyberkriminelle auch andere Social Engineering-Taktiken ein. Das U.S. National Institute of Standards and Technology (NIST) weist darauf hin:
„Bedenken Sie, dass E-Mail nicht die einzige Möglichkeit ist, Opfer eines Phishing-Angriffs zu werden. Sie können auch über Textnachrichten, Telefonanrufe, Nachrichten in sozialen Medien oder sogar per Post angegriffen werden.“
Original: «Recognize that email isn’t the only way to get phished. You can also receive attacks through text messages, phone calls, social media messages, or even physical postal mail.»
– NIST (nist.gov)
Phishing-Übungen, die sich ausschliesslich auf E-Mails konzentrieren, bereiten die Mitarbeiter:innen nicht auf Bedrohungen über diese anderen Kanäle vor und lassen somit erhebliche Lücken in der Abwehr des Unternehmens.
Forschungsergebnisse über die Ineffektivität von Phishing-Übungen
Mit der Meinung, dass Phishing-Simulationstests ineffektiv sind, stehe ich nicht alleine da. Die Studie “Phishing in Organizations: Findings from a Large-Scale and Long-Term Study”, die von Forscher:innen der ETH Zürich durchgeführt wurde, liefert überzeugende Beweise für die Unzulänglichkeiten von Phishing-Übungen. Die Forscher:innen fanden heraus, dass:
- Freiwilliges eingebettetes Training ist ineffektiv: Die Kombination aus simulierten Phishing-Übungen und freiwilligem eingebettetem Training verbesserte die Phishing-Resistenz der Mitarbeiter:innen nicht. Vielmehr wurden sie dadurch anfälliger für Phishing.
- Kontinuierliche Aussetzung erhöht das Risiko: Mitarbeiter:innen, die ständig Phishing-Simulationen ausgesetzt sind, können desensibilisiert werden, was die Wahrscheinlichkeit erhöht, dass sie schliesslich auf einen echten Phishing-Versuch hereinfallen.
- Einfache Warnungen sind wirkungsvoll: Wenn verdächtige E-Mails mit einfachen Warnhinweisen versehen sind, können die Mitarbeiter:innen potenzielle Bedrohungen leichter erkennen. Ausführlichere Warnungen waren nicht effektiver als einfache.
Um direkt aus der Studie zu zitieren:
„Interessanterweise fanden wir im Widerspruch zu früheren Forschungsergebnissen und der gängigen Praxis in der Branche heraus, dass die Kombination aus simulierten Phishing-Übungen und freiwilligem eingebettetem Training (…) nicht nur die Phishing-Resistenz der Mitarbeiter:innen nicht verbesserte, sondern sie sogar noch anfälliger für Phishing machte. Unsere Ergebnisse mahnen zur Vorsicht bei der Gestaltung von eingebetteten Schulungen (…) und zu praktischen Implikationen dieser etwas überraschenden und nicht intuitiven Erkenntnis.“
Original: “Interestingly, contradicting prior research results and common industry practice, we found that the combination of simulated phishing exercises and voluntary embedded training (…) not only failed to improve employee’s phishing resilience, but it actually even made the employees more susceptible to phishing. Our results suggest caution in the design of embedded training (…) and practical implications of this somewhat surprising and non-intuitive finding.”
— D. Lain, K. Kostiainen and S. Čapkun, «Phishing in Organizations: Findings from a Large-Scale and Long-Term Study,» 2022 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, 2022, pp. 842-859, doi: 10.1109/SP46214.2022.9833766.
Andere Untersuchungen bestätigen diese Ergebnisse:
- Kurzfristiger Gewinn, langfristiger Verlust: Studien haben gezeigt, dass Schulungen zwar anfangs die Wahrscheinlichkeit verringern können, auf Phishing-Angriffe hereinzufallen, die Wirksamkeit jedoch mit der Zeit nachlässt, da die Mitarbeiter:innen zu alten Gewohnheiten zurückkehren.
- Menschliches Versagen ist unvermeidlich: Selbst erfahrene Mitarbeiter:innen können aufgrund von kognitiver Überlastung oder überzeugenden Inhalten Opfer von Phishing-Angriffen werden. Schulungen allein können diese Faktoren nicht ausgleichen.
- Negative Auswirkungen auf das Vertrauen: Mitarbeiter:innen fühlen sich nach Phishing-Simulationen oft getäuscht und misstrauisch, was sich negativ auf die Moral und das Vertrauen in die IT-Abteilung auswirken kann.
Warum es nicht ausreicht, sich auf Menschen zu verlassen
Die Erwartung, dass Mitarbeiter:innen die letzte Verteidigungslinie gegen ausgeklügelte Cyber-Bedrohungen sind, ist unrealistisch. Cyberkriminelle entwickeln ihre Taktiken ständig weiter und machen Phishing-Versuche immer überzeugender. Ein:e entschlossener Angreifer:in kann Nachrichten erstellen, die praktisch nicht von legitimer Kommunikation zu unterscheiden sind, insbesondere wenn Insiderinformationen ausgenutzt werden.
Da Phishing-Angriffe über verschiedene Plattformen – E-Mails, Textnachrichten, Telefonanrufe, soziale Medien und sogar per Post – erfolgen, ist es für Mitarbeiter:innen fast unmöglich, jederzeit wachsam zu sein. Diese Omnipräsenz von Bedrohungen erfordert eine robustere Lösung als das menschliche Bewusstsein allein. Wir sollten das Schweizer-Käse-Modell anwenden, bei dem mehrere Verteidigungsschichten vorhanden sind, wobei der Mensch die letzte Schicht bildet.
Eine bessere Herangehensweise: Stärkung des technischen Schutzes
Anstatt sich auf die Wachsamkeit der Mitarbeiter:innen zu verlassen, sollten Unternehmen in fortschrittliche technische Lösungen investieren.
- E-Mail-Filterung und Erkennung von Bedrohungen: Implementierung moderner Systeme, die Phishing-Versuche erkennen und blockieren können, bevor sie die Posteingänge der Mitarbeiter:innen erreichen.
- Erkennung von Anomalien: Verwendung von Algorithmen zur Erkennung ungewöhnlicher Muster, die auf einen Angriff hindeuten könnten.
Multi-Faktor-Authentifizierung (MFA): Erzwungene MFA ist eine zusätzliche Sicherheitsebene, die sicherstellt, dass selbst bei einer Kompromittierung der Anmeldedaten ein unbefugter Zugriff verhindert wird. - Zero-Trust-Sicherheitsmodelle: Verfolgen eines Zero-Trust-Ansatzes, bei dem jede Zugriffsanfrage vor dem Zugriff auf Ressourcen authentifiziert wird. Dies verringert die Abhängigkeit von Sicherheitsvorkehrungen am Netzwerkrand und mindert die Risiken durch externe und interne Bedrohungen.
Dennoch kann es vorkommen, dass eine Phishing-E-Mail den Weg in die Mailbox findet. In diesem Fall ist es wichtig, dass durch das Unternehmen eine offene Kommunikation gefördert wird, damit die Mitarbeiter:innen verdächtige Aktivitäten ohne Angst vor Repressalien melden können.
Verdächtige E-Mails sollen mit einem Warnbanner zu versehen werden; wie in der Studie erwähnt, zeigen diese Wirkung. Die enthaltenen Informationen sollten dabei einfach und kurz sein. Hier eine Liste mit einigen Anleitungen, wie diese Banner konfiguriert werden können:
- Microsoft Exchange (onPrem): Nutzen von Transportregeln (Warnung: Dieses Feature beschädigt S/MIME, PGP und DKIM Signaturen)
- Microsoft 365: Nutzen des Set-ExternalInOutlook Cmdlets, oder, falls andere Clients verwendet werden, Transportregeln, wie oben.
- EXIM: Nutzen von Transportfiltern (Warnung: Dieses Feature beschädigt S/MIME, PGP und DKIM Signaturen)
Fazit
Phishing-Übungen sind zwar gut gemeint, führen aber oft nicht zu sinnvollen Verbesserungen der Unternehmenssicherheit. Sie können unbeabsichtigt die Anfälligkeit für Angriffe erhöhen, das Vertrauen der Mitarbeiter:innen beschädigen und Ressourcen von wirksameren Sicherheitsmassnahmen abziehen. Da Cyber-Bedrohungen immer raffinierter werden und sich über mehrere Kommunikationskanäle erstrecken, müssen sich Unternehmen anpassen, indem sie in fortschrittliche Erkennungsmethoden investieren und eine sicherheitsbewusste Kultur fördern, die die Mitarbeiter:innen nicht mit unrealistischen Erwartungen überfordert. Indem wir unseren Ansatz überdenken und uns aufsystematische Lösungen konzentrieren, können wir eine widerstandsfähigere Verteidigung gegen die sich ständig verändernde Landschaft der Cyber-Bedrohungen aufbauen.
Um diesen Beitrag humorvoll zu beenden: Es gibt noch einen weiteren Faktor, der dabei eine Rolle spielt, wie dieser Reddit-Beitrag schön zeigt 🙂
Quellen
- D. Lain, K. Kostiainen and S. Čapkun, «Phishing in Organizations: Findings from a Large-Scale and Long-Term Study,» 2022 IEEE Symposium on Security and Privacy (SP), San Francisco, CA, USA, 2022, pp. 842-859, doi: 10.1109/SP46214.2022.9833766. keywords: {Industries;Training;Privacy;Atmospheric measurements;Phishing;Collaboration;Companies;phishing;training;education;user-study},
- Vishwanath, A., Harrison, B., & Ng, Y. J. (2018). Suspicion, Cognition, and Automaticity Model of Phishing Susceptibility. Communication Research, 45(8), 1146-1166. https://doi.org/10.1177/0093650215627483
- Steve Sheng, Bryant Magnien, Ponnurangam Kumaraguru, Alessandro Acquisti, Lorrie Faith Cranor, Jason Hong, and Elizabeth Nunge. 2007. Anti-Phishing Phil: the design and evaluation of a game that teaches people not to fall for phish. In Proceedings of the 3rd symposium on Usable privacy and security (SOUPS ’07). Association for Computing Machinery, New York, NY, USA, 88–99. https://doi.org/10.1145/1280680.1280692