Phishing-Tests: Warum sie mehr schaden als nützen

In vielen Unternehmen gehören unangekündigte Phishing-Simulationen mittlerweile zur Routine. Sie sollen testen, wie gut Mitarbeiter echte Phishing-Mails erkennen und darauf reagieren. Doch laut Matt Linton, einem Security-Manager bei Google, sind diese Tests nicht nur ineffektiv, sondern können sogar kontraproduktiv sein

Die Problematik der Phishing-Tests

Linton verweist auf eine Studie aus dem Jahr 2021, bei der über 14.000 Teilnehmer über einen Zeitraum von 15 Monaten simulierte Phishing-Mails erhielten. Die Ergebnisse waren ernüchternd: Die Simulationen machten die Mitarbeiter nicht widerstandsfähiger gegen Phishing-Angriffe. Im Gegenteil, sie könnten durch unerwartete Nebeneffekte sogar anfälliger werden. Zudem verärgern diese Tests die Mitarbeiter, da sie sich hintergangen fühlen und das Vertrauen in die Sicherheitsteams verlieren. Dieses Vertrauen ist jedoch essenziell, um sinnvolle systemische Verbesserungen vornehmen zu können. Darüber hinaus führen die Tests zu einer Flut unnötiger Berichte, die die Sicherheitsteams zusätzlich belasten.

Risiken durch Simulationen

Ein weiteres Problem ist, dass Phishing-Tests bestehende Anti-Phishing-Maßnahmen umgehen müssen. Dadurch werden die tatsächlichen Risiken oft nicht korrekt abgebildet. Es besteht auch die Gefahr, dass zur Erleichterung der Tests eingerichtete Allow-Listen nicht ordnungsgemäß entfernt werden, was böswillige Akteure bei echten Angriffen ausnutzen könnten.

Phishing-Brandschutzübungen

Anstatt unangekündigte Phishing-Simulationen empfiehlt Linton, gezielte und geplante Übungen durchzuführen. Diese sollten den Mitarbeitern beibringen, Phishing und Social Engineering zu erkennen und die Sicherheitsteams rechtzeitig zu alarmieren. Diese Vorgehensweise vergleicht er mit einer Brandschutzübung, die nicht unerwartet stattfindet, sondern im Voraus angekündigt wird. Linton betont, dass es keinen Grund gibt, die Aufklärung über Phishing-Bedrohungen zu einer feindseligen Angelegenheit zu machen. „Wir gewinnen nichts, wenn wir Leute ‚erwischen‘, die bei dieser Aufgabe ’scheitern’“, so Linton. Vielmehr sollten Trainings konstruktiv und unterstützend sein. Abschließend weist Linton darauf hin, dass technische Schutzmaßnahmen am effektivsten sind, um Phishing-Risiken zu minimieren.

Fazit

Die Kritik an Phishing-Simulationen ist berechtigt. Anstatt Mitarbeiter durch unerwartete Tests zu verunsichern und das Vertrauen zu gefährden, sollten Unternehmen auf geplante und gezielte Trainings setzen. Diese sollten darauf abzielen, die Mitarbeiter zu befähigen und zu unterstützen. Gleichzeitig sollten technische Schutzmaßnahmen weiterentwickelt und implementiert werden, um Phishing-Risiken effektiv zu minimieren. Phishing-Simulationen mögen gut gemeint sein, aber sie bringen oft mehr Schaden als Nutzen. Ein konstruktiver und transparenter Ansatz ist der Schlüssel zu einer besseren Sicherheitskultur im Unternehmen.

 

Bildrechte:
© stock.adobe.com, peterschreiber.media