Security Awareness messbar steigern - "Dos and Don'ts" bei Phishing-Simulationen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Security Awareness messbar steigern „Dos and Don‘ts“ bei Phishing-Simulationen Dr. Niklas Hellemann Managing Director
SoSafe: Die führende Awareness-
Plattform in Deutschland.
120+ Mitarbeitende
Cyber Security, Lernpsychologie,
Software-Entwicklung,
Grafikdesign, Gamification
500+ Kunden
In verschiedenen Sektoren wie
Logistik, Öffentlicher Sektor,
Automotive, KRITIS u.v.m
1.000.000+ Endnutzer
30+ Lernmodule und Videos,
500+ Phishing-Templates,
5.000+ E-Mails pro Tag
„Die spannende und moderne Aufbereitung von IT-Sicherheitsthemen
hilft uns dabei, das Awareness-Level unserer Mitarbeiter zu steigern. Und
durch umfangreiche und differenzierte KPIs können wir dies im Live-
Betrieb überprüfen.“
Christian Schneider, CIO Vitra AG
SoSafe: Security Training, das hängen bleibt.
Unsere Methode: Lernpsychologie und Spaß.
Storytelling
Inzidentelles Lernen
Humor
Gamification
Nudging
Cyber-Angriffe gefährden eine nachhaltige Digitalisierung – gerade auch im öffentlichen Sektor.
Security-Awareness rückt in den Fokus im Public Sector: bitkom Smart Country Convention. © Messe Berlin GmbH, © BMI
Hacker
greifen
Systeme
an?
Selten –
9 von 10
Cyberangriffen
Starten bei den
Mitarbeitenden.
Quelle: Bundesamt für Sicherheit in der Informationstechnik
Corona: Auch E-Mail-„Phisher“ sind sofort aufgesprungen. Quellen: Handelsblatt 2020, BBC 2020
Herausforderung:
Mitarbeitende sind häufig die letzte Verteidigungslinie.
18% 50%
3,4 Mrd. ~610 Mio. ~300 Mio.
Phishing-Mails werden kommen durch den Phishing-Mails werden
täglich versandt. Spam-Filter. geöffnet.
Quellen: Digital Shadows, Phish-Test-de; SoSafe Kundenprojekte 2018-2020
Klassische Awareness-Formate sind ein guter Anfang…
Kommunikations- Klassische Offline-Formate Web-Seminare
Kampagnen (z.B. Präsenzkurse) • Schlecht nachweisbar
• Gehen in der Nachrichtenflut unter • Kosten- und zeitintensiv • Teilweise sehr technisch
• Teilweise schwer übertragbar • Wenig flexibel • Langfristiger Lerneffekt
• Nutzen sich schnell ab • Schwer auf alle Mitarbeiter gering
übertragbar
Die tagtägliche Umsetzung von Wissen in Handeln bleibt ein Problem
Wir müssen uns aber etwas mehr ausdenken, um Verhalten nachhaltig zu verändern. E-Learning-Plattform Phishing-Simulation Strategisches Monitoring
Social-Engineering-Simulationen werden von verschiedenen
Regulierungs-Frameworks vorgeschrieben.
ISO-27001 /
Compliance
-DashboardPhishing-Simulationen:
„Dos and Don‘ts“ – Aus unserer Erfahrung.
Mitarbeitende mitnehmen Überwachung im „Stealth-Modus“
• Vorankündigung Simulation an Mitarbeitende • Reiner Test führt zu Widerstand
• Einbindung aller Stakeholder (Mgmt., BR, IT, DSB) • Mehrwerte werden nicht klar
• Ziel & Mehrwert Kampagne hervorheben • Keine Wissensvermittlung
Dauerhafte Sensibilisierung Einmalaktion
• Awareness muss laufend „aufgefrischt“ werden • Ausreichendes Wissen wird nicht vermittelt
• Vermittlung verschiedener Taktiken notwendig • Geringer Awareness-Effekt: Klickraten steigen wieder
• Wiederholung stärkt Lerneffekt an nach einiger Zeit
Sauberes Tracking Fokus auf Mitarbeitendengruppen
• DSGVO-Konformität beachten (US-Server/Cloud • Punktuelle Tests der Organisation zeigen nicht das
Act) vollständige Bild
• Keine Erhebung individuellen Klickverhaltens • Echte Hacker greifen meist an der schwächsten Stelle
• Saubere Datenauswertung (inkl. relevanter KPIs) an – kann vom Manager bis Pförtner überall seinTraditionell zielen Simulationen auf Mitarbeitendenbewertung – inklusive Konsequenzen. © John Klossner
Lernpsychologie: Bestrafung ist kein gutes Instrument.
Mit offenen Karten spielen:
Vorab-Kommunikation hat zahlreiche Vorteile.
Höhere Akzeptanz / Kein signifikanter
besseres Feedback Effekt auf die KlickrateAblauf: Dauerhafter Modus mit zahlreichen Vorteilen.
Einzelne Kampagnen Dauerhafte Simulation
Die gleiche E-Mail wird an mehrere Verschiedene E-Mails werden laufend und
Mitarbeitergruppen gleichzeitig ausgespielt randomisiert an alle Mitarbeiter ausgespielt
− Korrelation der Klickrate mit der + KPIs sind jederzeit live
Schwierigkeit der Templates aussagekräftig
− Geballte Belastung der + Optimale Verteilung der
Organisation Ticketlast über die Zeit
− Templates sprechen sich sehr + Geringerer Sättigungseffekt
schnell herumSimulationen sollten nicht überwachen, sondern schulen! Next-Generation Teachable Moments • Differenzierter Walkthrough • Kurzvideos • E-Learning-Modul
Tracking: DSGVO und Arbeitsrecht geben Rahmen vor.
DSGVO Arbeitsrecht BetriebsratSoSafe gewährleistet 100% Datensicherheit
und DSGVO-Konformität.
Made in Germany ISO-zertifizierte Partner
SoSafe speichert und Alle Dienstleister, mit denen
verarbeitet Daten SoSafe zusammenarbeitet,
ausschließlich auf EU- sind DSGVO-konform und
Servern. nach ISO 27001 zertifiziert.Variation: Mail-Templates sollten systematisch erstellt…
1 Psychologische Mechanismen
Druck, Gier, Vertrauen, Anerkennung, Angst,
Lob/Schmeicheln, Flirt, Neugier
2 Technische Vektoren
Verschiedene Login-Masken, Anhänge, Malware
3 Identitätsdiebstahl
Adress-Spoofing, echte Absender-Domain
4 Motive
Geld, Datensätze, Geschäftsgeheimnisse,
persönliche Motive
Zusätzliche Differenzierung nach:
• Funktion der Empfänger 5 Kontexte
• Schwierigkeitsgrad Beruflich, Hobby, Privat, Öffentlich
• Sprache…und ausgewertet werden.
Generell können die Ergebnisse zu Beginn alarmierend sein.
~29 % 74 %
Durchschnittliche Eingaben auf
Klickrate Fake-Login-
Seiten
Warum ist das so einfach?
Quelle: SoSafe, proprietäre Daten.Menschen sind soziale, unsoziale, ängstliche, neugierige, hilfsbereite, … Wesen.
CEO-Fraud wird uns auch aktuell begleiten.
Druck / Angst
83 %
Autorität Klickrate
Hilfsbereitschaft • Top 1 in unseren Simulationen
• Hoher Erfolg trotz zahlreicher
Vertrauen Phishing-Anzeichen
• Zahlreiche weitergehende
Angriffswinkel:
• Emotet-Anhang
• Password-Phishing
• Social-EngineeringAuf die menschliche Neugierde ist Verlass.
Neugier / Interesse
50 %
Vertrauen Klickrate
• Top 7 in unseren Simulationen
• Extrem simpler Aufbau
• Aufwand für den Phisher:
3 Minuten„Loose lips save ships!“ – Oder: Flurfunk schützt.
Prä- Klickrate Phishing-Mails
nach Organisationsform
Corona
30%
12%
x3
Zentral Dezentral
(1 Standort, (global verteilt,
kein remote work) remote work)
Quelle: Klickraten zweier Kurz-Kampagnen bei zwei Kunden vergleichbarer Größe,
aber unterschiedlicher Organisationsform, vergleichbare Templates, Q1 - 2019Systematische Awareness zeigt Wirkung –
und macht auch noch Spaß!
28,6 %
durchschnittliche 4,8
Klickrate unserer Kunden
Durchschnittliche Bewertung durch
die Mitarbeitenden unserer Kunden
66%
Reduktion
der Klickrate1
1 Unsere Top Performer erreichen im ersten Jahr durchschnittlich eine Reduktion der Klickrate um 66 %.Bestmögliche Klickratenreduktion
durch Kombination unserer Produkte.
Phishing-Simulation
& E-Learning
Phishing-Simulation
Phishing-Simulation
& E-Learning
40%
zusätzliche
KlickratenreduktionInteraktive Lernmodule schulen Mitarbeitende, um das
Unternehmen umfassend vor Cyber-Angriffen zu schützen.
Kompakttraining IT-Sicherheit
Grundlagen Internet
Cyber-Sicherheit & Webtools
E-Mails Sicher am
sicher nutzen Arbeitsplatz
Mobilgeräte
Schadsoftware
sicher nutzenDie E-Learning Module können
an Ihre Corporate Identity angepasst werden.
DATENSCHUTZ
Cohen
Bei Rückfragen kontaktieren Sie Ihren IT-
Sicherheitsbeauftragten Herrn Meier per Mail
an: meier@neulipa.de
An Ihre Firmenfarben
(Corporate Design)
anpassbar
Auf Ihre interne Kommunikation abgestimmt. Beispiel:
Bei Rückfragen kontaktieren Sie Ihren IT-Sicherheitsbeauftragten Herrn
Meier per Mail an: meier@neulipa.deIhre Vorteile im Überblick.
Plug ‘n Play ISO-Schulungsnachweis
Keine internen Ressourcen und keine Auf DSGVO und ISO 27001 abgestimmte
Integration in bestehende Systeme. Reportings zum Nachweis auf Knopfdruck.
Effiziente Schulung Sofortige Messbarkeit
Deutliche Kosten- und Arbeitszeitersparnis Reduzierte Klickraten und erhöhte Wachsamkeit
ggü. klassischen Schulungsangeboten. innerhalb weniger Wochen.
Individuelle Anpassbarkeit Made in Germany
Anpassbarer Content über intelligente SoSafe wird komplett in Deutschland entwickelt
Platzhalter und individuelle Phishing-Mails. und gehostet – damit volle DSGVO-Konformität.
100% Datensicherheit
durch europäische ServerKostenloses White Paper:
Best Practices Phishing-Simulationen.
1 Aufbau und Erfolgsmethoden
2 Rechtliche Rahmenbedingungen
3 Konkrete Empfehlungen inkl. Checkliste
www.sosafe.de/whitepaper“Amateure hacken Systeme,
Profis hacken Menschen.“
Bruce Schneier
Experte für Kryptographie
und Computersicherheit,
Harvard University
SoSafe GmbH
Ehrenfeldgürtel 76, 50823 Köln
www.sosafe.de | info@sosafe.deSie können auch lesen
