Google 4.9 (34 Bewertungen)
Cyber security Service für Sie
Planen Sie eine Demo
Zurück zum Ressourcenzentrum

Warum die meisten phishing Simulationen mehr schaden als nutzen (und wie wir das ändern)

28. Dezember 2023 - Cyber security

Teilen Sie

guardey-sprint-meeting

Phishing Simulationen sind für viele Unternehmen eine Standardpraxis. Und das zu Recht.

Die Zahl der Angriffe auf phishing ist seit 2019 jedes Jahr um über 150 % gestiegen. Im Jahr 2022 verzeichnete die APWG über 4,7 Millionen phishing -Angriffe. Nach Untersuchungen des FBI sind phishing -Betrügereien für fast 22 Prozent aller Datenschutzverletzungen verantwortlich, die passieren.

Um dem entgegenzuwirken, entscheiden sich viele Unternehmen für phishing Simulationen, um die Anfälligkeit ihrer Mitarbeiter zu testen.

Wir glauben jedoch, dass die meisten Unternehmen ihren Mitarbeitern mit ihren phishing Simulationen nicht helfen (und Untersuchungen zeigen dies inzwischen). Tatsächlich machen sie sie sogar anfälliger für phishing.

In diesem Artikel erläutern wir, warum die meisten phishing Simulationen mehr schaden als nutzen und wie Sie dies verhindern können.

Problem Nr. 1: Schablonen-E-Mails bereiten die Mitarbeiter nicht auf den Speer vor phishing

Viele Sicherheitsbeauftragte entscheiden sich für eine phishing Simulationsstrategie, die auf Regelmäßigkeit und Effizienz beruht. Das heißt, sie wollen, dass ihre Mitarbeiter häufig auf die Probe gestellt werden, wollen aber nicht viel Zeit für die Erstellung der Simulationen aufwenden. Das Ziel ist es, den Prozess so weit wie möglich zu automatisieren.

Wenn Sie im Internet nach phishing Simulationsanbietern suchen, werden Sie feststellen, dass viele von ihnen dieser Meinung sind. Sie bieten Vorlagen, KI-generierte phishing E-Mails und automatisch versandte E-Mails an. Auf diese Weise können Sicherheitsbeauftragte "phishing tests" von ihrer Aufgabenliste abhaken, ohne ins Schwitzen zu kommen. Die Mission ist erfüllt.

Diese Vorlagen bereiten die Mitarbeiter jedoch nicht auf die Gefahren von Spear phishing vor.

Spear phishing ist eine phishing Methode, bei der Phisher ihr Ziel sorgfältig recherchieren. Der Angriff scheint daher von einer vertrauenswürdigen Quelle im Leben der Zielperson zu kommen. Sie nutzen die gesammelten Informationen und Social-Engineering-Techniken, um die Zielperson dazu zu bringen, auf einen bösartigen Link zu klicken.

Stellen Sie sich vor, ein Cyberkrimineller hackt die E-Mail-Adresse eines Ihrer Lieferanten. In einer der E-Mails finden sie genau heraus, welche Produkte sie liefern sollen und wie die Rechnung aussieht. Jetzt müssen sie nur noch die Rechnung kopieren, die Bankverbindung ändern und sie von einer E-Mail-Adresse, der Ihre Finanzabteilung vertraut, an Ihre Finanzabteilung schicken. Für Ihre Mitarbeiter ist es viel schwieriger, diese Rechnung als phishing zu erkennen als eine Standardvorlage.

Speer-E-Mails phishing sind für Ziele viel schwieriger zu erkennen. Und da die Simulationen von phishing diese Techniken nicht verwenden, bereiten sie Ihre Mitarbeiter nicht auf die realen Cyberrisiken vor, denen sie ausgesetzt sind. Bestenfalls vermitteln sie sowohl dem Sicherheitsbeauftragten als auch den Mitarbeitern ein falsches Gefühl der Sicherheit. Der Teufel steckt im Detail, wenn es um phishing geht, und diese Art von Liebe zum Detail kann man nicht automatisieren.

Problem Nr. 2: phishing Simulationen in Verbindung mit freiwilligem Training sind ineffektiv

Jüngste Untersuchungen zeigen, dass die Kombination einer phishing Simulation mit einer freiwilligen Schulung die Mitarbeiter nicht widerstandsfähiger gegen phishing macht, sondern eher dazu führt, dass sie mehr anfälliger für das Anklicken von phishing Links macht. Dies widerspricht allen früheren Untersuchungen und einer gängigen Praxis der Branche.

Wie sieht nun diese gemeinsame Praxis aus?

Zunächst erhalten alle Mitarbeiter eine E-Mail an phishing . Wenn jemand auf einen Link klickt, wird er auf eine Schulungsseite weitergeleitet. Hier erhalten sie eine freiwillige Schulung (d. h. sie können sich einfach dagegen entscheiden) über das, was gerade passiert ist und wie sie phishing in Zukunft erkennen können. Der Gedanke dahinter ist, dass jemand, der gerade erst Opfer eines Phishing-Angriffs geworden ist, offener für Schulungen ist und sein Wissen am besten behalten kann.

Forschungsergebnisse deuten jedoch darauf hin, dass phishing Simulationen in Verbindung mit freiwilligem Training unwirksam sind. Hierfür gibt es einige mögliche Gründe:

  • Mitarbeiter haben das Gefühl, dass sie nach einer phishing Simulation "ihre Lektion gelernt" haben, nehmen aber nicht an freiwilligen Schulungen teil
  • Mitarbeiter, die während einer Simulation auf phishing nicht auf einen Link klicken, erhalten keinerlei Sicherheitstraining
  • Es kann sein, dass die Teilnehmer die Schulungsinformationen nicht gut behalten, wenn sie sich während einer phishing Simulation "ertappt" fühlen.
  • Die Mitarbeiter müssen regelmäßig geschult werden, damit sie sich der Cyber-Risiken wirklich bewusst sind und darüber Bescheid wissen, z. B. phishing

Wie man phishing Simulationen richtig durchführt

Wir haben nun festgestellt, dass es zwei große Probleme damit gibt, wie phishing Simulationen heute oft durchgeführt werden:

  • Vorgefertigte E-Mails bereiten die Mitarbeiter nicht auf das Sprechen vor phishing
  • Phishing Simulationen in Verbindung mit freiwilligem Training sind unwirksam

Seit einem Jahr arbeiten wir mit Geschäftsinhabern, Sicherheitsbeauftragten und anderen Sicherheitsverantwortlichen in Unternehmen zusammen, um dieses Problem zu lösen.

Wir bieten jetzt Speer phishing Simulationen an . Bei dieser Simulation arbeiten wir mit einem Unternehmen zusammen, um phishing E-Mails zu entwickeln, die für alle betroffenen Mitarbeiter authentisch und vertrauenswürdig erscheinen. Dies könnte durch die Nachahmung einer E-Mail von einem HR-Software-Tool geschehen, das das Unternehmen verwendet.

Dies ist zeitaufwändiger als die Arbeit mit Vorlagen. Aber wir glauben an einen Ansatz, bei dem Qualität vor Quantität geht. Wenn ein Cyberkrimineller Zeit investiert, um Sie zu hacken, sollten Sie sich die Zeit nehmen, Ihre Mitarbeiter zu schulen. Man kann nicht alles automatisieren. Aus diesem Grund empfehlen wir, nur ein- oder zweimal im Jahr eine Speer-Simulation phishing durchzuführen.

Darüber hinaus bieten wir ein security awareness Spiel an, bei dem die Mitarbeiter lernen, Cyber-Bedrohungen zu erkennen und entsprechend zu handeln, z. B. phishing. Jede Woche können sich die Mitarbeiter einer cyber security Herausforderung stellen, für die sie bis zu drei Minuten Zeit haben. Dies hilft ihnen, ihr Wissen zu erweitern und sich jeden Tag der Woche über Cyber-Bedrohungen bewusst zu werden.

In dem Spiel gründet jeder Nutzer ein fiktives Unternehmen. Durch die Teilnahme an Herausforderungen können sie Geld für ihr Unternehmen verdienen und dessen Ruf verbessern. Aber wenn sie die Fragen falsch beantworten, verlieren sie Geld und ihr Ruf sinkt. In der Bestenliste können sie sehen, welche Kollegen die meisten Punkte erzielen. Das schafft ein unterhaltsames Wettbewerbselement und steigert die Beteiligung.

Das Spiel security awareness trainiert das Wissen Ihres Teams, und die Simulation Speer phishing testet ihre Anfälligkeit im Laufe der Zeit.

📚 Erfahren Sie, wie Roosevelt Kliniek das phishing Bewusstsein mit Guardey trainiert

Schützen Sie Ihr Unternehmen vor phishing mit Guardey

Wir sind der festen Überzeugung, dass sich phishing Prävention nicht automatisieren lässt. Es bedarf regelmäßiger Schulungen und gezielter phishing Simulationen, um Ihre Mitarbeiter wirklich widerstandsfähig zu machen.

Wenn Sie daran interessiert sind, unsere Lösung auszuprobieren, können Sie gerne eine Demo vereinbaren.

VERBUNDENE POSTEN
Guardey ausprobieren

Mit der Schulungslösung von Guardey security awareness können Ihre Mitarbeiter Cyber-Bedrohungen erkennen und melden.

14-tägige kostenlose Testversion starten

Häufig gestellte Fragen

Was ist Gamification?

Unter Gamification versteht man das Hinzufügen von Spielelementen in nicht spielerische Umgebungen, wie z. B. security awareness , um die Beteiligung zu erhöhen und aktives Lernen zu fördern.

Was sind die Vorteile von Gamification in security awareness Schulungen?

Traditionelle security awareness Schulungen können oft trocken und langweilig sein. Mit Gamification wird der komplexe Lernstoff in ein fesselndes und einprägsames Erlebnis verwandelt.

Durch die Integration von Spielelementen wie Herausforderungen, Quizfragen und Belohnungen werden die Nutzer zum aktiven Lernen angeregt. Dies macht die Schulung angenehmer und fördert das Gefühl von Wettbewerb und Leistung. Diese Kombination führt dazu, dass das Wissen von cyber security besser behalten und angewendet wird.

Warum ist es wichtig, security awareness wöchentlich zu trainieren?

Untersuchungen haben ergeben, dass bis zu 90 % des Gelernten aus jährlichen oder sogar vierteljährlichen Schulungen innerhalb weniger Wochen wieder vergessen werden. Guardey wurde entwickelt, um seine Nutzer 365 Tage im Jahr über Cyber-Bedrohungen auf dem Laufenden zu halten. Das Spiel besteht aus kurzen, wöchentlichen Herausforderungen, die das Wissen der Nutzer langsam aufbauen und schließlich zu einer dauerhaften Verhaltensänderung führen.

Welche Themen werden im Spiel von Guardey security awareness behandelt?

Guardey deckt eine breite Palette von Themen ab, um die Nutzer über alle derzeit relevanten Cyber-Bedrohungen zu informieren, die in Zusammenarbeit mit ethischen Hackern und Pädagogen zusammengestellt wurden. Zu den behandelten Themen gehören phishing, Fernarbeit, Passwortsicherheit, CEO-Betrug, Ransomware, Smishing und vieles mehr.

Wie viel Zeit wird für die wöchentlichen Herausforderungen benötigt?

Jede Aufgabe dauert bis zu drei Minuten.

Kann ich Guardey verwenden, um die Richtlinien von ISO27001, NIS2 und GDPR security awareness einzuhalten?

Ja. ISO27001, NIS2 und GDPR verlangen, dass alle Mitarbeiter eine entsprechende security awareness Schulung erhalten. Guardey ist immer auf dem neuesten Stand, was die neuesten Cyber-Bedrohungen, Richtlinien und Verfahren angeht.

Ist die Schulung security awareness für alle Mitarbeiter wichtig oder nur für bestimmte Funktionen?

Schulungen zum Thema Cybersicherheit sind für alle Mitarbeiter wichtig, nicht nur für bestimmte Funktionen. Jeder Mitarbeiter kann potenziell ein Ziel oder ein unwissentliches Einfallstor für Cyberangriffe sein. Schulungen tragen dazu bei, eine auf Sicherheit ausgerichtete Kultur zu schaffen und die Risiken für das gesamte Unternehmen zu minimieren.

Auch wenn für bestimmte Aufgaben eine spezielle Ausbildung erforderlich ist, sollte ein grundlegendes Ausbildungsniveau für alle zugänglich sein.

In welchen Sprachen ist Guardey verfügbar?

Guardey ist in Englisch, Niederländisch, Italienisch, Französisch, Spanisch, Deutsch, Polnisch, Schwedisch und Dänisch verfügbar.

Möchten Sie weitere Fragen stellen?
Erhalten Sie eine persönliche Demo

Erhalten Sie die neuesten Ressourcen und Nachrichten direkt in Ihren Posteingang.

Ressourcen, die Sie interessieren könnten

Cyber security
Die 10 besten security awareness Bewertungen für Mitarbeiter
Über NIS2
Cyber security
Cyber security Ausbildung für Studenten: die 10 besten Lösungen
Dankeschön
Cyber security
Die 16 besten security awareness Spiele für Arbeitnehmer im Jahr 2024
Ressourcenzentrum
Anouk CTA Guardey Website
14 TAGE KOSTENLOS TESTEN

Erleben Sie Guardey noch heute.

  • Testen Sie völlig risikofrei
  • 24/7 Unterstützung
14-tägige kostenlose Testversion starten