Phishing
Sicherheitsmythos: Nur Unerfahrene fallen auf Phishing rein
„Nur unerfahrene Mitarbeiter fallen auf Phishing herein.“ Das erweist sich leider als Mythos! Eine Studie belegt, dass auch nach einem Sicherheitstraining Mitarbeiter nur geringfügig erfahrener handeln. Versuch einer Erklärung.
Unternehmen investieren jedes Jahr große Summen in die Weiterbildung von Mitarbeitern in Sachen Cybersecurity, um sie auf aktuelle Angriffsmethoden vorzubereiten. Durch Wiederholungen und unangekündigte Tests soll die Wahrnehmung geschärft werden. Angesichts dessen, dass die meisten Cyberangriffe, vor allem die besonders gefährliche Ransomware, meist mit Massenattacken wie Phishing starten, werden so häufig gefährliche Situationen vermieden.
So zumindest das allgemeine Verständnis des Themas Cybersicherheitsschulung. Aber entspricht das auch der Wirklichkeit? Einer neuen, groß angelegten Studie von Censys zufolge eher nicht. Die Forscher konnten bestenfalls marginale Unterschiede zwischen Mitarbeitern mit und ohne Training feststellen, wenn es darum ging, sich unvorsichtig zu verhalten. In einigen Fällen führte die Schulung sogar zu einer höheren Wahrscheinlichkeit, auf den ominösen Link zu klicken. Wie kann das sein? Was erst einmal ungewöhnlich erscheint, ist bei genauerem Hinsehen gar nicht so seltsam.
Nehmen wir den Straßenverkehr als Beispiel: Statistisch gesehen bauen diejenigen am häufigsten Unfälle, deren Schulung noch frisch ist - Sicherheit kommt erst mit der Erfahrung. Je mehr Praxis ein Anfänger sammelt, desto weniger Unfälle hat er. Nur setzt sich diese Kurve nicht beliebig fort. Gerade dort, wo die Erfahrung am größten ist, bei so genannten „Vielfahrern“, geht auch die Unfallwahrscheinlichkeit wieder nach oben - nicht im Verhältnis zu den gefahrenen Kilometern, sondern bezüglich der Gefahr, einen zu haben. Die Gründe? Selbstvertrauen und Selbstüberschätzung spielen sowohl bei Fahranfängern als auch Vielfahrern eine fatale Rolle, wenn auch in unterschiedlicher Ausprägung.
In der IT-Sicherheit gibt es dafür keine Statistik. Ob erfahrener Mitarbeiter oder Berufsanfänger … weltweit werden jeden Tag Millionen Einzelentscheidungen bezüglich Links gefällt, und manche davon sind falsch. Der Unerfahrene kennt die aktuelle Gefahr vielleicht nicht (siehe daher Mythos!), dafür hat der „alte Hase“ solche Mails schon dutzende Male „von Kunden“ erhalten. Oder er hat gerade keine Zeit, sie sich genauer durchzulesen und klickt den Link an, weil das einfacher erscheint. Ob mit oder ohne Schulung, am Ende entscheiden die Situation und die eigene Physis, ob man den Fehler macht oder nicht.
Das heißt jetzt nicht, dass Schulungen und Phishing-Simulationen sinnlos sind. Denn wie auch im Straßenverkehr bedeutet Erfahrung einen Vorteil. Auch helfen erwiesenermaßen interaktive Schulungen besser als die statischen. Trend Micro etwa trainiert die Mitarbeiter regelmäßig über Phishing-Simulationen.
Dennoch bleibt die Tatsache bestehen, dass trotz allem jederzeit ein Unfall passieren kann. Das richtige Maß an Training ist individuell verschieden, und auch wenn eine Unternehmens-IT versucht, einen gangbaren Mittelweg zu finden, der für alle Mitarbeitende optimale Bedingungen bietet, wird es immer die Anfänger und Vielfahrer geben, die situationsbedingt einen Fehler machen.
Nehmen Sie es deswegen nicht zu schwer, wenn wieder einige Mitarbeiter die doch offensichtliche Falle nicht erkannt haben. Das ist leider normal. Statt mahnender Worte wäre ein ehrliches Gespräch darüber, warum der Link doch angeklickt wurde, sehr viel interessanter und aufschlussreicher, auch für den Betroffenen.
Am Ende besteht die Aufgabe der IT-Sicherheit darin, dass auch solche Unfälle keine Auswirkung auf das Unternehmen haben. Egal wie oft sie vorkommen.