Schulungen zum Sicherheitsbewusstsein

    Schulung zum Sicherheitsbewusstsein: Der Umgang mit Wiederholungsklickern

    Wie können Sie Ihre Sicherheitsschulungen erfolgreicher gestalten? Konzentrieren Sie sich auf Mitarbeiter, die wiederholt auf Phishing-E-Mails hereinfallen.

    by Dr. Matthew Canham
    gettyimages-1221656384.png

    Wichtige Punkte

    • Das größte Risiko für die E-Mail-Sicherheit in Ihrem Unternehmen geht wahrscheinlich von einer kleinen Gruppe von Mitarbeitern aus.
    • Diese "Wiederholungsklicker" sollten gezielt für ein spezielles Sensibilisierungstraining ausgewählt werden.
    • Hier erfahren Sie, wie Sie ihnen bessere Gewohnheiten beibringen können.

    Sicherheitsexperten müssen bei der Zuweisung der wenigen Ressourcen, die ihnen zur Verfügung stehen, ständig Kompromisse eingehen. Ein Beispiel: 70 % der Teilnehmer einer kürzlich durchgeführten Umfrage sind der Meinung, dass das Verhalten ihrer Mitarbeiter, z. B. das Anklicken bösartiger Links, ein Risiko für ihr Unternehmen darstellt. Doch wie kann man bei einer so großen Angriffsfläche das Problem realistisch angehen?

    Hier kommt das Pareto-Prinzip (auch bekannt als 80/20-Regel) ins Spiel. Der größte Teil des Risikos menschlicher Fehler wird von einem kleinen Prozentsatz der Mitarbeiter verursacht. Wenn Sie dies erkennen, können Sie den Return on Investment (ROI) Ihres Sicherheitsbudgets maximieren, indem Sie Ihre Schulungskampagnen zum Sicherheitsbewusstsein auf diejenigen konzentrieren, die die meiste Hilfe benötigen.

    Fragen Sie sich selbst: Wenn Sie sich die Daten Ihrer simulierten Phishing-Kampagnen ansehen, stellen Sie fest, dass einige Mitarbeiter anscheinend wiederholt bei den Trainingsübungen durchfallen als andere? Zeigen andere Mitarbeiter durchweg bessere Leistungen, indem sie mehr der gefälschten E-Mails in den Schulungskampagnen erkennen und melden?

    Analyse von Wiederholungsklickern für E-Mail-Sicherheit

    In einer kürzlich durchgeführten Analyse von 6.000 Mitarbeitern, die simulierte Phishing-E-Mails erhalten haben, fanden meine Kollegen und ich heraus, dass etwa 6 % der Benutzer für ca. 29 % der Fehlversuche verantwortlich waren. [1] Als Fehlversuch wurde in diesem Fall entweder das Klicken auf einen Link, das Herunterladen eines Anhangs oder das Reagieren auf den Absender definiert.

    Diese Gruppe von Nutzern, die als "Wiederholungsklicker" bekannt sind, scheiterte in einem Zeitraum von 18 Monaten an vier oder mehr Trainingskampagnen. Im Durchschnitt fielen diese Nutzer in etwa einem von zwei Versuchen auf einen Phishing-Versuch herein. Das bedeutet, dass ein Angreifer, der drei Wiederholungsklicker anvisiert, praktisch eine Erfolgsgarantie hätte.

    Erfreulicherweise entdeckten wir auch den organisatorischen Doppelgänger des Wiederholungsklickers, den "schützenden Verwalter". Diese Benutzer identifizierten und meldeten vier oder mehr Phishing-E-Mails, die in der Schulung verwendet wurden, waren häufiger vertreten (33 % aller Benutzer) und meldeten 92 % der gesamten Schulungs-Phishing-E-Mails.

    Umgang mit Wiederholungsklickern

    Der Umgang mit Vielklickern ist schwierig und lässt sich selten mit einer Einheitslösung lösen. Gemäß dem 80/20-Prinzip wird diese kleine Untergruppe von Nutzern einen gewissen Aufwand erfordern, sollte aber auch zu einer unverhältnismäßigen Verbesserung Ihrer gesamten E-Mail-Sicherheitslage führen.

    Einige Unternehmen verfolgen eine Null-Toleranz-Politik, bei der Mitarbeiter streng bestraft werden, indem sie beschämt oder entlassen werden, wenn sie mehr als ein paar Kampagnen versäumen. Andere Unternehmen verfolgen einen nachsichtigeren Sicherheitsansatz und erlauben diesen Mitarbeitern, weiterhin Kampagnen zu verpassen. Unabhängig davon, wie Ihr Unternehmen vorgeht, ist es wichtig zu verstehen, wie Wiederholungsklicker mit E-Mails umgehen.

    Die Gewohnheiten von E-Mail-Klickern

    Frühere Untersuchungen ergaben, dass sowohl Wiederholungsklicker als auch "Nie-Klicker" ihre E-Mails automatisch und aus Gewohnheit bearbeiten, und dass sich keine der beiden Gruppen an die E-Mails erinnert, die sie geöffnet oder in den Papierkorb geschickt haben. [2] Interviews, die ich persönlich mit Wiederholungsklickern geführt habe, stimmen insofern mit diesen früheren Ergebnissen überein, als dass sich Wiederholungsklicker nicht daran erinnern, die Phishing-Trainings-E-Mails gesehen zu haben. [3]

    Indem Sie Gewohnheiten wie diese genauer untersuchen, können Sie dazu beitragen, Wiederholungsklicker zu konvertieren, anstatt sie einfach loszuwerden. Die meisten Nutzer gehen mit den E-Mails in ihrem Posteingang um, indem sie sich auf "Gewohnheitsschleifen" verlassen. Gewohnheitsschleifen bestehen aus einem Auslöser, einer Routine und Feedback darüber, ob die Aktion zu einem zufriedenstellenden Ergebnis geführt hat. Da sich Wiederholungsklicker ebenfalls auf Gewohnheiten verlassen, müssen Sicherheitsteams die Gewohnheitsschleifen dieser Benutzer auswerten, um den Fehlerpunkt zu diagnostizieren.

    Nehmen Wiederholungsklicker die Phishing-Hinweise nicht wahr? Dies deutet auf ein Versagen der Auslösekomponente hin. Ergreifen sie keine geeigneten Maßnahmen? Dies deutet auf ein Versagen ihrer E-Mail-Handhabungsroutine hin. Verstehen sie die Bedeutung oder die Konsequenzen ihrer Handlungen nicht? Dies deutet auf ein Versagen des Feedbacks hin. Einzelgespräche mit den schlimmsten Übeltätern, um zu erfahren, wo ihre Gewohnheitsschleifen versagen, können äußerst hilfreich sein.

    Verstärkung der Auslöser durch Feedback

    Die Benutzer müssen eine unmittelbare Rückmeldung über ihre Handlungen erhalten, um eine Verbindung zwischen Hinweisen und Handlungen herzustellen. Die meisten Phishing-Schulungsplattformen bieten eine Landing Page, auf der dem Benutzer erklärt wird, dass es sich um eine simulierte Phishing-Übung handelt, und auf der ihm dann gezeigt wird, welche Hinweise er hätte beachten müssen, um zu erkennen, dass es sich bei der E-Mail um einen Phish handelt.

    Das Versenden von schwierigen Phishing-E-Mails an Ihre Benutzer kann von Vorteil sein, aber möglicherweise müssen Sie Wiederholungsklickern "Übungsmöglichkeiten" geben, indem Sie den Schwierigkeitsgrad der E-Mails verringern, bis sich ihre Leistung verbessert. Erhöhen Sie dann schrittweise den Schwierigkeitsgrad, um die Verbesserung zu erreichen. Es ist wichtig, dass diese Benutzer sofort eine Rückmeldung erhalten, wenn sie auf einen Phishing-Versuch hereingefallen sind, damit sie lernen, Hinweise in verdächtigen Nachrichten zu erkennen. Dieses Feedback sollte die gesendete Nachricht mit hervorgehobenen Hinweisen enthalten, die sie zur Erkennung des Phish hätten verwenden können.

    Routinen durch Übung festigen

    Im Allgemeinen besteht ein Ansatz zum Trainieren automatischer Reaktionen in Gewohnheitsschleifen darin, routinemäßig Handlungsabläufe zu üben. Ein Kampfsportler kann zum Beispiel einen bestimmten Tritt tausende Male üben, um ihn zu perfektionieren. Die optimale Phishing-Trainingshäufigkeit für Ihre Benutzer ist von Person zu Person unterschiedlich. Wiederholungsklicker werden jedoch wahrscheinlich von einer häufigeren Exposition gegenüber simulierten Phishing-E-Mails als eine Form des Trainings profitieren.

    Lernen Sie von Ihren Benutzern

    Einige meiner besten Erkenntnisse darüber, wie und warum Menschen auf Phishing-Kampagnen hereinfallen, habe ich aus direkten Gesprächen mit Benutzern gewonnen. Wenn die oben beschriebenen Ansätze nicht ausreichen, sollten Sie versuchen, so bald wie möglich nach E-Mail-Fehlschlägen persönliche Treffen mit problematischen Benutzern zu vereinbaren.

    Dieser Ansatz ist zeit- und ressourcenintensiv, kann aber auch sehr aufschlussreich sein. Ich persönlich habe durch die Befragung von Benutzern einige sehr interessante Dinge gelernt. Ein Beispiel ist der Mitarbeiter, der es vorzog, "zweifelhafte" E-Mails von seinem privaten E-Mail-Konto an sein Arbeitskonto weiterzuleiten, weil, wie er sagte, "die Sicherheit am Arbeitsplatz besser ist als zu Hause".

    Die Quintessenz

    Wenn Sie sich auf die Schulung der Mitarbeiter konzentrieren, die es am nötigsten haben, wird sich Ihr ROI im Bereich E-Mail-Sicherheit verbessern. Selbst eine kleine Verbesserung der Leistung eines Wiederholungsklickers könnte die allgemeine Sicherheitslage Ihres Unternehmens unverhältnismäßig verbessern. Die in diesem Artikel beschriebenen Techniken konzentrieren sich zwar alle auf die Verringerung der Nachteile von Wiederholungsklickern, aber denken Sie daran, dass es auch möglich sein kann, Ihre Vorteile zu erhöhen, indem Sie ihren Doppelgänger, den schützenden Steward, kultivieren.

    [1] " Phishing for Long Tails: Untersuchung von organisatorischen Wiederholungsklickern und schützenden Stewards ," SAGE Journals

    [2] " Going Spear Phishing: Exploring Embedded Training and Awareness ," IEEE Security & Privacy

    [3] "Characteristics of Repeat Clickers and Protective Stewards" (Manuskript in Vorbereitung), Figueroa, A., Hawkins, S. & Canham, M.

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang