Das Stigma brechen: 90 % der Mitarbeiter stimmen zu, dass Phishing-Simulationen ihr Sicherheitsbewusstsein verbessern

Laut KnowBe4’s unabhängigen Umfrage unter Personen in Großbritannien, den USA, den Niederlanden, Frankreich, Dänemark, Schweden, der DACH-Region und Afrika, die einen Laptop für ihre Arbeit nutzen, finden 90,1 % der Befragten simulierte Phishingtests relevant.

Darüber hinaus stimmten 90,7 % der Befragten zu, dass diese Simulationen ihr Bewusstsein für echte Phishing-Angriffe verbessern.

Die überwältigende Mehrheit hält Phishing-Simulationen für nützlich, um ihr Bewusstsein für Cybersicherheit zu schärfen. Warum also gibt es das Narrativ, dass sie eine negative Praxis sind, die von Unternehmen genutzt wird, um Mitarbeiter auszutricksen“? 

Simulierte Phishing-Stigmatisierung 
Phishing-Simulationen, bei denen E-Mails verschickt werden, die bösartige Angriffe imitieren, um die Wachsamkeit der Mitarbeiter zu testen und Schulungen durchzuführen, werden seit vielen Jahren eingesetzt. Während viele sie als wertvolles Instrument für die proaktive Cybersicherheit ansehen, argumentieren einige Kritiker, dass sie trügerisch sind und dazu dienen, Mitarbeiter auszutricksen und diejenigen zu bestrafen, die darauf hereinfallen.

Hierfür könnte es mehrere Gründe geben. Erstens, wenn die Simulationen nicht auf die Aufgaben der Mitarbeiter abgestimmt sind, sondern stattdessen bestimmte emotionale Reaktionen hervorrufen sollen, z. B. E-Mails über einen „verlorenen Welpen im Gebäude“ oder „Sie haben eine Gehaltserhöhung erhalten“, anstatt sich auf realistische Phishing-Versuche zu konzentrieren, die dem Profil der auf das Unternehmen abzielenden Bedrohungen entsprechen. 

Zweitens ist die von den Arbeitgebern angebotene Nachbereitung möglicherweise nicht so effektiv, wie sie sein könnte. Wenn den Arbeitnehmern lediglich mitgeteilt wird, dass sie versagt haben oder dass ihnen ungerechte Konsequenzen drohen, ohne dass sie klare Hinweise erhalten, wie sie sich verbessern können, ist die Übung weniger hilfreich, um das Bewusstsein zu schärfen und ein echtes Lernen zu fördern.

Das am meisten umstrittene Stigma bleibt jedoch bestehen: Verbessern Phishing-Simulationen tatsächlich das Sicherheitsbewusstsein der Mitarbeiter? Um diese Frage zu beantworten, haben wir die Personen befragt, die sie tatsächlich erhalten.

Funktionieren Phishing-Simulationen tatsächlich?
Die Ergebnisse für alle Regionen sind eindeutig: Simulierte Phishing-Tests werden als relevant und wertvoll für die Verbesserung des Sicherheitsbewusstseins angesehen. Im Durchschnitt äußerten sich 90 % der Befragten aus allen Regionen positiv über ihre Nützlichkeit.

Die Niederlande erwiesen sich als die stärksten Befürworter von Phishing-Simulationen. 93 % der Befragten hielten sie für relevant und 94 % für wirksam. Frankreich hingegen hatte die niedrigste Zustimmungsrate: 87,5 % der Befragten hielten sie für relevant und 86,5 % erkannten ihre Wirksamkeit an.

Dennoch spiegeln diese Zahlen einen starken Konsens der Mitarbeiter wider. Dies wird nicht nur durch die Wahrnehmung der Mitarbeiter, sondern auch durch Daten aus der Praxis bestätigt. KnowBe4’s Simulationsdaten aus 2024 zeigen, dass die weltweite Klickrate bei Phishing-Simulationen vor der Schulung bei 34,3 % lag. Nach 12 Monaten kontinuierlicher Schulung, einschließlich Phishing-Simulationen, sank diese Rate um durchschnittlich 86 % auf nur 4,6 % in allen Arten von Unternehmen.

Wir fragen also erneut: Warum bekommen Phishing-Simulationen eine so schlechte Presse? Ein Element der Umfrageergebnisse könnte Aufschluss geben. KnowBe4 hat die Befragten gefragt, ob sie nach einer fehlgeschlagenen Phishing-Simulation eine Nachschulung erhalten haben, in der Erwartung, dass die Antwort mit den bewährten Sicherheitsverfahren übereinstimmt. Schließlich hängt die Wirksamkeit von Simulationen von einer fairen und konstruktiven Nachbereitung ab. An dieser Stelle nahmen die Daten jedoch eine überraschende Wendung. Im Durchschnitt haben 29,05 % der Mitarbeiter entweder keine Nachbereitung erhalten oder waren sich nicht sicher, ob sie eine solche erhalten haben, wobei die Zahlen von 15 % in den USA bis 42,5 % in Frankreich reichen.

Diese Lücke in der Nachschulung könnte dazu beitragen, das anhaltende Stigma zu erklären, das Phishing-Simulationen anhaftet. Wenn Mitarbeiter nach einem nicht bestandenen Test kein rechtzeitiges, konstruktives Feedback erhalten, untergräbt dies den Zweck der Übung und kann zu Frustration oder Desengagement führen. Die Unterschiede zwischen den einzelnen Regionen, insbesondere der große Unterschied zwischen den USA und Frankreich, lassen vermuten, dass eine uneinheitliche Nachbereitung zu den unterschiedlichen Wahrnehmungen von Phishing-Simulationen in den verschiedenen Ländern beitragen kann.

Kampf gegen das Stigma: Wie können Organisationen Phishing-Simulationen optimieren?
Sie sehen also: Die Mitarbeiter erkennen den Wert von Phishing-Simulationen, aber dies muss mit einer effektiven Nachbereitung kombiniert werden, um sicherzustellen, dass sie im Unternehmen nicht negativ gesehen werden. Die Frage ist nun: Wie können Organisationen sie effektiv umsetzen? Anstatt die Mitarbeiter zu untergraben oder „auszutricksen“, sollte der Schwerpunkt darauf liegen, die Belegschaft mit den Fähigkeiten auszustatten, reale Bedrohungen zu erkennen und darauf zu reagieren, ohne dass dies strafende Konsequenzen hat.

Fünf sinnvolle Möglichkeiten für Unternehmen, Phishing-Simulationen zu nutzen: 

1. Machen Sie Simulationen relevant und realistisch: Verwenden Sie personalisierte Phishing-Tests, die reale Bedrohungen widerspiegeln, mit denen Mitarbeiter konfrontiert werden könnten, und nicht unrealistische oder übertrieben irreführende Tests, um die Leute zu überrumpeln. 

2. Fokus auf Bildung: Nutzen Sie diese Situationen als Lernchance, indem Sie sofortiges, konstruktives Feedback geben, das klärt, was schief gelaufen ist und wie Sie ähnliche Bedrohungen in Zukunft erkennen und gegebenenfalls ein faires Eskalationsverfahren einführen können. 

3. Rechtzeitige Folgemaßnahmen und Schulungen: Wenn ein Mitarbeiter mit einer simulierten Phishing-E-Mail interagiert, bieten Sie ihm sofort eine Anleitung und ein Mikro-Training zur Erkennung von Phishing-Versuchen. Verstärken Sie das Gelernte durch regelmäßige Schulungen, anstatt nur Misserfolge zu verfolgen.

4. Gewährleistung von Transparenz und Fairness: Weisen Sie die Mitarbeiter darauf hin, dass Phishing-Simulationen Teil des Sicherheitsprogramms des Unternehmens sind. Vermeiden Sie allzu trügerische Taktiken, die sich wie eine Falle anfühlen, und stellen Sie sicher, dass der Schwierigkeitsgrad angemessen ist.

5. Belohnung des Sicherheitsbewusstseins: Anerkennen und belohnen Sie Mitarbeiter, die Phishing-Versuche melden, egal ob simuliert oder echt. Dies kann so einfach sein wie Anfeuerungen in Meetings, Gamification, Bestenlisten oder kleine Anreize, um die Wachsamkeit zu fördern.

Bewusstseinsbildung in Aktion 
Die Mitarbeiter sind der Lebensnerv eines jeden Unternehmens, und die Stärkung ihres Sicherheitsbewusstseins stärkt natürlich die allgemeine Sicherheitskultur und verringert gleichzeitig das Risiko eines Datenverlusts durch Social Engineeringtaktiken wie Phishing. Der Schlüssel zum Erfolg liegt jedoch darin, die Mitarbeiter auf eine Art und Weise einzubinden, die sie befähigt, ohne dass sie sich ausgetrickst oder herabgesetzt fühlen.

Daher müssen Unternehmen dafür sorgen, dass Phishing-Simulationen nicht als Bestrafung, sondern als Erziehungsinstrument eingesetzt werden, dass sie relevant und fair sind und dass ihnen rechtzeitig eine Anleitung folgt. Wenn sie richtig durchgeführt werden, dienen Phishing-Simulationen nicht nur dazu, Mitarbeiter zu testen – sie rüsten sie dafür, die erste Verteidigungslinie zu sein.

Source: https://blog.knowbe4.com/breaking-the-stigma-90-of-employees-agree-that-phishing-simulations-improve-their-security-awareness?utm_medium=email&_hsenc=p2ANqtz–HcbxO9UhYZKuYqAK_n_wPumteQL2nsIzSHK7mS2ksqZkTUu6iUJZrgkSBL7Xw8KQtAZ7VKU7CjqsD-_vsiAH4iLWMqseSuExNF_BkuanxqTABM8s&_hsmi=358273964&utm_content=358273964&utm_source=hs_email