Durchführung von Phishing-Kampagnen

Um die Informationssicherheit in Unternehmen aufrechtzuerhalten bedarf es nicht nur technischer und organisatorischer Maßnahmen. Die Sensibilisierung von Mitarbeiterinnen und Mitarbeitern steht immer noch an oberster Stelle. Neben Sensibilisierungs-Kampagnen zum allgemeinen Verhalten und zur sicheren Nutzung von Informationstechnik bietet sich zur Festigung des Wissens und zur Prüfung der Wirksamkeit der Sensibilisierungen die Durchführung von Phishing-Kampagnen an.

Wir von der KonzeptAcht GmbH bieten unseren Kunden daher neben Schulungen und Präsentationen vor Ort auch vorgefertigte Kampagnen zur Cyber Security Awareness an. Die Wirksamkeit dieser Maßnahmen und die Anfälligkeit Ihres Unternehmens können wir mit gezielten Phishing-Kampagnen überprüfen.

Die Phishing-Kampagnen sind hierbei selbstverständlich so ausgelegt, dass Ihr Unternehmen oder Ihre Mitarbeiterinnen und Mitarbeiter keinen Schaden nehmen und auch keine personenbezogenen Daten ausgewertet oder veröffentlicht werden.

Unser Vorgehen

Vorbereitung

Zusammen mit Ihnen definieren wir alle Rahmenparameter der gezielten Phishing-Kampagne. Bei der Durchführung unterscheiden wir drei unterschiedliche Vorgehensweisen:

  • Random E-Mails (unpersonalisiert von Standard-Diensten wie DHL, Amazon o.ä.)
  • Personalisierte E-Mails von Standard Diensten
  • Personalisierte E-Mails mit auf den Kunden zugeschnittenen Diensten im eigenen Look and Feel

Hiernach benötigen wir je nach Vorgehensweise noch Listen der anzuschreibenden Mitarbeiterinnen und Mitarbeiter sowie ggf. Layouts vorhandener interner E-Mails sowie eigener Webseiten. Basierend hierauf gestalten wir dann die für Sie Ihre individuelle Phishing-Kampagne.

Durchführung

Über den mit Ihnen zusammen festgelegten Zeitraum führen wir die Kampagne durch. Der Ablauf folgt dem folgenden Schema:

  • Initiale Besprechung und Abstimmung
  • Einrichtung von Landing-Pages, E-Mail Templates etc.
  • Versand der E-Mails über den festgelegten Zeitraum
  • Auswertung und Berichterstellung

Sollten Empfänger der E-Mails die in den Nachrichten enthaltenen Links aufrufen, werden Sie auf die von uns zur Verfügung gestellte, von der Original-Webseite geklonte Landing-Page umgeleitet und können hier z. B. ihre Anmeldedaten eingeben. Der Versuch der Eingabe wird bei uns registriert, hiernach werden die Anwenderinnen und Anwender wieder auf die originale Webseite Ihres Unternehmens oder des Dienstleisters geleitet, wo die Zugriffe wieder ohne Weiteres funktionieren. Das alles erfolgt für den Nutzer vollkommen transparent.

Screenshots aus dem Gophish Dashboard

Auswertung

Nachdem der Zeitraum zur Durchführung der Kampagne abgeschlossen ist, erfolgt die Auswertung. Hierbei greifen wir auf die Werkzeuge unserer Tools zurück und erstellen für Sie eine Bericht über die Durchführung und die Ergebnisse unserer gemeinsamen Kampagne.

Hierin enthalten sind die folgenden Angaben:

  • Anzahl der gesendeten E-Mails
  • Anzahl der geöffneten E-Mails
  • Anzahl geklickter Links
  • Anzahl eigegebener Benutzerdaten
  • Anzahl gemeldeter E-Mails

Die Auswertung erfolgt hier anonym, wir geben keinerlei Daten über Mitarbeiterinnen und Mitarbeiter weiter, die Links geklickt und ggf. Anmeldedaten hinterlassen haben. Ebenfalls werden die Anmeldedaten nicht bei der KonzeptAcht GmbH gespeichert.

Auf Grundlage der Auswertungen können Sie weitere Maßnahmen und ggf. spezifische Sensibilisierungen planen.

Unsere Werkzeuge

Zur Durchführung der Phishing-Kampagnen nutzen wir die folgenden Werkzeuge:

  • KonzeptAcht Vorgehensweise zur Durchführung von Phishing-Kampagnen
  • Auf die KonzeptAcht GmbH angepasstes Open Source Phishing Framework „Gophish“
  • Eigene Landing-Pages im zuvor festgelegten Design mit eigenen Domains und Servern in deutschen Rechenzentren

Ihr Nutzen

  • Unabhängige Überprüfung der Sensibilisierung in Ihrem Unternehmen
  • Risikofreie Durchführung der Kampagne ohne Schäden für Ihre IT oder Mitarbeiterinnen und Mitarbeiter
  • Grundlage für die Planung spezifischer Sensibilisierungen
  • Wissenstransfer während der kompletten Projektlaufzeit
  • Effiziente Vorgehensweise
  • Einsparung eigener Ressourcen