Wir möchten uns sehr herzlich bei der SECUSOResearch des KIT Karlsruhe, dem CASA_EXE, dem HGI Bochum der Ruhr-Universität Bochum und der FIZ Karlsruhe für ihre Arbeit im Rahmen der Analyse „Phishing-Kampagnen zur Mitarbeiter-Awareness – Analyse aus verschiedenen Blickwinkeln: Security, Recht und Faktor Mensch“ bedanken.
Als im Rahmen des Papiers angesprochene Partei haben wir ihre Arbeit einer ersten internen Analyse unterzogen. Neben vielen auch von uns festgestellten Problematiken und Hürden, die wir bereits in unser Konzept zur Durchführung von entsprechenden Kampagnen etabliert haben, konnten wir auch einige noch nicht im Detail betrachtete Aspekte identifizieren.
Daher nehmen wir dieses Papier in unser internes Verbesserungswesen auf.
Dennoch möchten wir noch einmal herausstellen, dass Phishing Kampagnen, unter Berücksichtigung der entsprechenden technischen und rechtlichen Aspekte durchaus einen positiven Effekt erzielen können, wie unter anderem durch Linus Neumann bei seinem Vortag beim 36C3 dargestellt wurde.
Phishing Kampagnen sollten unabhängig ihrer Art der Durchführung[1] allerdings kein alleinstehendes Mittel darstellen, um eine dauerhafte Awareness der Beteiligten zu erreichen. Solche Kampagnen können nur einen sinnvollen Mehrwert erzielen, wenn sie innerhalb einer allgemeinen Etablierung und Verbesserung der Informationssicherheit in einem Unternehmen eingesetzt werden.
Eine Awareness Kampagne sollte daher, wie auch im Papier erläutert, nicht das erste Mittel zur Abwehr von Phishing Angriffen darstellen. Die Etablierung von technischen Mitteln zur automatisierten Erkennung und Filterung von Nicht-Vertrauenswürdigen E-Mails stellt einen sehr effektiven Schutz dar und kann bereits einen Großteil der im Internet kursierenden E-Mails abwehren.
Dennoch stellt in der Informationssicherheit der Mensch die größte Schwachstelle dar. Nicht, weil er mutwillig die etablierten Maßnahmen umgeht, sondern weil der Mensch Fehler macht. Daher ist es die Aufgabe der Unternehmen, ihre Mitarbeiter zu schulen und diese sowohl in der Arbeitswelt mit technischen Mitteln effektiv vor einem Großteil der Gefahren schützen, und ihnen auch für das private Umfeld Hilfsmittel und Wissen an die Hand zu geben, wo die technischen Maßnahmen meist nur sehr beschränkt etabliert sind.
Bezugnehmend auf die möglichen Auswirkungen einer Phishing Kampagne auf das Betriebsklima, wie sie in der Analyse im Abschnitt 4.3 „Faktor Mensch: Vertrauens- und Fehlerkultur“ beschrieben werden, würden wir die negativen Effekte erfahrungstechnisch eher bei Unternehmen erwarten, die kein etabliertes allgemeines Informationssicherheitsbewusstsein in die Unternehmensstruktur integriert haben. Hier sei von Seiten der KonzeptAcht GmbH noch einmal darauf hingewiesen, dass Phishing Kampagnen nicht das erste oder einzige Mittel im Rahmen der Schulung von Mitarbeitern darstellen darf und nicht ohne entsprechende Nachbereitung durchgeführt werden sollten.
Abschließend möchten wir hier noch einmal herausstellen, dass wir als Dienstleister die Durchführung von Phishing Kampagnen nicht als „das“ Mittel zur Behebung und Behandlung der Problematik von Phishing sehen. Es kann jedoch nach bereits etablierten Maßnahmen und erfolgten Schulungen eine sinnvolle Erweiterung zur Vertiefung der Sensibilisierung darstellen.
[1] „Phishing-Kampagnen zur Mitarbeiter-Awareness: Kapitel 3. Ausgestaltungsformen von Phishing-Kampagnen“