Phishing-Kampagnen

Phishing ist eine betrügerische Technik, bei der Kriminelle versuchen, persönliche Informationen, finanzielle Daten, Passwörter oder andere vertrauliche Informationen von ahnungslosen Personen zu stehlen. Dies geschieht in der Regel, indem die Angreifer gefälschte Kommunikation wie E-Mails, Textnachrichten oder Websites verwenden, um sich als legitime Organisationen oder Personen auszugeben. Die Opfer werden oft dazu verleitet, auf gefälschte Links zu klicken oder persönliche Informationen auf gefälschten Websites einzugeben, die dem echten Unternehmen oder Dienstleister ähneln. Phishing kann auch Social Engineering-Techniken verwenden, um die Opfer dazu zu bringen, vertrauliche Informationen preiszugeben, indem sie beispielsweise vorgeben, technische Unterstützung anzubieten oder dringende Probleme zu melden.

Eine simulierte Phishing-Kampagne ist eine kontrollierte Übung, bei der Organisationen oder spezialisierte Dienstleister wie die TEN Information Management gefälschte Phishing-Nachrichten an ihre Mitarbeiter oder Nutzer senden, um deren Reaktionen und Sicherheitsbewusstsein zu testen. Diese Übungen sollen dazu beitragen, das Bewusstsein für Phishing-Angriffe zu schärfen, Mitarbeiter zu schulen und die Sicherheitskultur in der Organisation zu stärken. Üblicherweise wird versucht, unter Angabe von bekannten Informationen bei den Empfängern einer Phishing-E-Mail Vertrauen aufzubauen und diese dazu zu bewegen, vertrauliche Informationen – beispielsweise Anmeldenamen und Kennwörter – auf einer Phishing-Seite einzugeben. Es wird dabei genauso vorgegangen, wie auch echte Angreifer vorgehen würden – nur dass das Ziel die Sensibilisierung der Organisation ist und nicht der Diebstahl von Informationen.

Mit einer simulierten Phishing-Kampagne verfolgt man unter anderem die Ziele, Mitarbeitende für die Gefahren von Phishing zu sensibilisieren, den Umgang mit potenziell verdächtigen Emails oder anderen Kontaktversuchen zu schulen und dadurch die Mitarbeitenden in die Lage zu versetzen, angemessen auf Angriffe reagieren zu können. Solche simulierten Kampagnen sind ein wichtiger Bestandteil eines umfassenden Sicherheitsprogramms, um das Risiko von erfolgreichen Phishing-Angriffen zu verringern.

Wir besprechen zunächst eine gemeinsame Planung, basierend auf der Zielgruppe, der spezifischen Situation des Auftraggebers und weiterer Parameter. Im Rahmen der Planung entscheiden wir beispielsweise gemeinsam, welche Story-Line, d.h. welche “Geschichte” wir erzählen und wie viele Phishing-Emails wir senden (und wie häufig). Ein häufig gewähltes Ziel ist es, Benutzernamen und Anmeldekennwörter zu erbeuten. Sodann bauen wir eine Fake-Phishing-Seite nach, die im Layout der anzugreifenden Organisation gehalten ist. Wir registrieren eine Fake Phishing-Domain, die sehr ähnlich zu der Domäne des Auftraggebers ist; von dieser versenden wir dann die Emails. Die Reaktionen der Empfänger, d.h. ob diese die empfangene E-Mail öffnen, auf den Link klicken und vielleicht sogar Anmeldeinformationen eingeben, wird automatisiert erfasst. Auf Basis dieser erfassten Informationen erstellen wir einen Bericht, den der Auftraggeber für Sensibilisierungsmaßnahmen verwenden kann.

Die Auswertung erfolgt automatisiert durch eine spezialisierte Software, die wir für die Planung und Durchführung der Kampagne verwenden. Sie können im Rahmen der Auswertung wählen, ob Sie die Ergebnisse vollständig anonymisiert, pseudonymisiert oder mit Realinformationen erhalten möchten. Aussagekräftige Statistiken zeigen zum Beispiel an, wie viele Mitarbeitende die E-Mail geöffnet, auf den Link geklickt oder sogar Informationen eingegeben haben. Sie erhalten einen Bericht im PDF-Format, den Sie innerhalb Ihrer Organisation entsprechend teilen können.

Basierend auf den Ergebnissen der Kampagne sollte der Auftraggeber gezielte Schulungsmaßnahmen und Sensibilisierungsinitiativen planen und durchführen. Bieten Sie Mitarbeitern Ressourcen, Tipps und Best Practices, um sie besser auf zukünftige Phishing-Angriffe vorzubereiten. Sofern Sie hierbei Hilfe benötigen, stehen Ihnen die Experten der TEN Information Management GmbH beratend zur Seite.

Nein. Sofern wir bei der Durchführung sensible Informationen (z.B. Anmeldenamen und Kennwörter) erbeuten, machen wir diese niemandem zugänglich und löschen diese sofort nach Ende der Kampagne, ggfs. auch schon vorher. Wir informieren Sie auch sofort, sodass Sie ggfs. Gegenmaßnahmen (wie die Änderung von Kennwörtern) veranlassen können.  

Selbstverständlich. Alle Aktivitäten sind vollumfänglich von der geltenden Gesetzeslage gedeckt, insbesondere halten wir uns an die einschlägigen Vorgaben der Datenschutzgrundverordnung.

Wir benötigen vom jeweiligen Auftraggeber eine Liste mit den Namen und E-Mail-Adressen der Personen, die wir angreifen sollen. Der Auftraggeber kann die Story-Line, d.h. den Inhalt der Phishing Emails, mitbestimmen. Beispielsweise können wir saisonale Anlässe wie Weihnachtsfeiern oder auch einmalige Anlässe wie Betriebsjubiläen verwenden, um die jeweilige Story glaubhaft erscheinen zu lassen. Sie sollten unbedingt den Kreis der Mitwisser, die über die Kampagne informiert werden, auf das notwendigste beschränken und nur solche Personen vorab über die Kampagne informieren, die unbedingt darüber Bescheid wissen müssen. Weitere Mitwirkungsleistungen seitens des Auftraggebers umfassen die Einholung von etwaig notwendigen Genehmigungen (z.B. seitens des Betriebsrats, sofern vorhanden).

Erfahrungsgemäß sind solche Angebote nicht billiger und insbesondere auch deutlich weniger zielgruppenspezifisch als eine auf die Bedürfnisse des jeweiligen Auftraggebers abgestimmte Kampagne. Bei den erwähnten Baukastensystemen braucht es zum einen entsprechende Fachkenntnisse auf Seiten der Nutzer, wie solche Kampagnen duchzuführen sind. Dies umfasst nicht nur technische Kenntnisse, sondern auch solche hinsichtlich der grafischen Gestaltung von Ansprache in den E-Mails und Fake-Seiten, Psychologie und Menschenkenntnis. Zum anderen ist der vermeintliche Vorteil des “do it yourself” ein gravierender Nachteil. Bedenken Sie, dass auch Ihre Zeit Geld kostet. Wer sich eine Kampagne von der Stange zusammen klickt, bekommt genau das – eine Kampagne von der Stange. Angreifer sind jedoch heutzutage hochspezifisch unterwegs. Sie spionieren das Umfeld der Zielorganisation penibel aus, um möglichst zielgenaue Phishing-Emails zu erzeugen. Und genau das sollten Sie bei einer Simulation auch machen. Rechnet man den Preis einer Kampagne “von der Stange” ehrlich – d.h. unter Berücksichtigung nicht nur der Lizenzkosten des Baukastens, sondern insbesondere auch der Zeit der durchführenden Personen – zusammen, so sind unsere spezifischen Kampagnen immer preiswerter.

Ja. Üblicherweise handelt es sich beim Umgang mit den Daten, die im Rahmen einer simulierten Phishing-Kampagne verarbeitet werden, um eine Datenverarbeitung im Auftrag. Folgerichtig erhalten unsere Kunden einen fachanwaltlich ausgearbeiteten und DSGVO-konformen Auftragsdatenverarbeitungsvertrag.

Wir speichern diese Daten DSGVO-konform ausschließlich zweckgebunden und nur so lange, bis der Auftrag abgeschlossen ist. Danach – auf Wunsch auch jederzeit schon früher – löschen wir diese auf sichere Art und Weise.

Alle verwendeten Server befinden sich in DSGVO-konformen Rechenzentren innerhalb Deutschlands.

Unbedingt. Sie sollten die Erkenntnisse mit der angegriffenen Zielgruppe – z.B. Ihrer Belegschaft – teilen und daraus entsprechende Handlungen ableiten. Sofern Mitarbeitende schützenswerte Informationen wie z.B. Kennwörter auf der Phishing-Seite eingegeben haben, empfehlen wir diesen Personen, das Kennwort des jeweiligen Systems zu ändern.

Je nach gewünschter Häufigkeit und Frequenz der zu versendenden Phishing E-Mails dauert die Durchführung einer solchen Kampagne von wenigen Tagen bis hin zu einigen Wochen.

Grundsätzlich sollte innerhalb eines Zertifizierungszyklus’ jede normative Mindestanforderung mindestens einmal geprüft werden. Wir empfehlen grundsätzlich, im ersten Jahr (d.h. vor dem erstmaligen Zertifizierungsaudit) alle normativen Mindestanforderungen im Rahmen des Internal Audit zu überprüfen.

Kurz gesagt – durch die passgenaue Ausrichtung auf die jeweilige Organisation. Wir nehmen uns Zeit für Sie, sprechen die Inhalte detailliert durch und sind auch nach der Kampagne für Sie da. Alles das bekommen Sie insbesondere bei “Do it yourself Baukastenlösungen” nicht.

Durch den Einsatz von 2-Faktor-Authentifizierung. Ein zweiter Faktor sorgt dafür, dass der Angreifer mit dem erbeuteten Geheimnis – zum Beispiel einem Kennwort – ohne den zweiten Faktor nichts anfangen kann.

Menschen neigen dazu, Erlebtes zu vergessen. Um eine nachhaltige Verankerung der Thematik im Bewusstsein der Mitarbeitenden zu erreichen, empfehlen wir eine jährliche Durchführung.