Phishing-Angriffe werden immer besser. Insbesondere seit dem AI-Hype (künstliche Intelligenz) sind die Anzahl qualitativ hochwertiger Phishing-Angriffe in die Höhe geschossen. Besonders bemerkenswert: AI-Systeme sind sogar in der Lage, Nachrichten auf Schweizerdeutsch generieren. Solche Angriffe waren uns bisher nur in Einzelfällen und bei gezielten Angriffen bekannt. Deshalb ist es umso wichtiger, die eigenen Phishing-Simulationen möglichst effektiv zu gestalten. Nachfolgend haben wir einige bewährte Tipps und Strategien zusammengefasst, um die Qualität solcher Simulationen zu verbessern.
Klare Ziele setzen und Sinn vermitteln
Überlegen Sie, gegen welche Arten von Phishing Sie sich schützen möchten. Handelt es sich um allgemeine oder gezielte Angriffe auf spezifische Personen innerhalb Ihres Unternehmens? Ist ein besonderer Schutz oder Test für bestimmte Personen oder Abteilungen erforderlich? Manguito GmbH stellt Ihnen unterschiedliche Pakete mit entsprechenden Angeboten zur Verfügung.
Weiter ist es wichtig, Ihren Mitarbeitenden den Zweck der Phishing-Simulationen zu vermitteln. Sind Sie transparent darüber, welche Daten Sie auswerten und weshalb. So kann die Motivation gesteigert und Erfolgsrate erhöht werden. Manguito stellt seinen Neukunden ein Template zum Informieren der Belegschaft zur Verfügung, damit über alle relevanten Themen informiert wird.
Inspiration innerhalb des Unternehmens holen
Fragen Sie intern nach konkreten Phishing-Beispielen oder Ideen und erarbeiten Sie so gemeinsam neue Ideen, um möglichst relevante Simulationen erstellen zu können.
Mitarbeitende schulen
Phishing-Simulationen bieten eine hervorragende Möglichkeit, das Wissen Ihrer Mitarbeitenden zu prüfen. Doch zunächst einmal: Wie können solche Angriffe erkannt werden? Wie müssen Angriffe gemeldet werden und wie hat man sich zu verhalten, wenn Daten abgeflossen sind?
Nutzen Sie Schulungsplattformen wie Manguito oder Hoxhunt, um regelmässige und kurze Schulungen (maximal 15 Minuten) anzubieten, die verschiedene Aspekte der IT-Sicherheit abdecken. Dazu gehören Security Awareness, Phishing-Simulationen, der sichere Umgang mit öffentlichen WLAN's usw... Die Schulungsthemen sind auf die Schwächen der einzelnen Mitarbeitenden abgestimmt und es wird dort geschult, wo Nachholbedarf besteht.
Inhalte personalisieren und aktualisieren
Passen Sie die Inhalte der Simulationen an Ihr Unternehmen an, indem Sie kontextbezogene E-Mails, interne Absender und personalisierte Betreffzeilen verwenden. Variieren Sie auch das Layout, um es den internen Standards oder denen von Lieferanten anzupassen. Es ist ratsam, Simulationen mit unterschiedlichen Schwierigkeitsgraden durchzuführen, um die Fähigkeiten Ihrer Mitarbeitenden besser zu testen. Auch können Sie einzelne Teams oder Mitarbeitende ins Visier nehmen. Wichtig: Versenden Sie die einzelnen Simulationen nicht mehrmals sondern aktualisieren Sie die Inhalte regelmässig.
Resultate überwachen, auswerten und handeln
Nutzen Sie die Berichte-Tools der von Ihnen gewählten Plattform und herauszufinden, welche Inhalte besonders gut funktionieren oder welche Teams anfälliger für Phishing sind. Ziehen Sie Fazit und organisieren Sie bei Bedarf zusätzliche Schulungen. Erstellen Sie Sicherheitsrichtlinien für besonders gefährdete Themenbereiche und überprüfen Sie, ob die Schulungen tatsächlich durchgeführt werden.
Follow-Up mit Mitarbeitenden
Informieren Sie Ihre Mitarbeitenden über die Ergebnisse der Kampagnen, um das Verständnis und die Aufmerksamkeit innerhalb des Unternehmens zu stärken. Organisieren Sie zusätzliches Coaching für diejenigen, die häufig auf Phishing-Angriffe hereinfallen. Ein Belohnungssystem für das Erkennen von Phishing-Simulationen kann ebenfalls die Wachsamkeit der Mitarbeitenden erhöhen und wird von einigen Plattformanbietern direkt mitgeliefert.
Regelmässige Simulationen
Wiederholen Sie die Phishing-Simulattionen wiederkehrend. Wir empfehlen je nach Ergenissen eine Phishing-Kampagne alle 3-6 Wochen. Eine gute Balance ist wichtig, denn zu viele Simulationen demotivieren und Trainings-Muster können erkannt werden. Zu wenige Simulationen können zu schlechteren Ergebnissen führen.
Kostenloses Assessment und Phishing-Simulation
- Füllen Sie das Kontaktformular aus.
- Wir scannen Ihre Domäne und das Dark Web und starten eine realistische Phishing-Simulation.
- Sie erhalten einen einseitigen Human Risk Report über:
- Human Risk Score Ihres Unternehmens
- Schätzung „Time-to-breach“
- Resultate des Phishing-Angriffs
- Übersicht der Entdeckungen im Dark Web
- Schritt-für-schritt Verbesserungsplan