uni.intern
Phishing-Simulation erfolgreich abgeschlossen
Gefälschte E-Mails, die den Empfänger*innen ein legitimes Anliegen vorgaukeln, stellen an Universitäten immer noch eines der größten Einfallstore für elektronische Angriffe dar. Vor diesem Hintergrund hat die Universität Bielefeld im Sommer 2019 eine Phishing-Simulation für alle Beschäftigten in Auftrag gegeben. Diese wurde im Juni 2020 erfolgreich beendet.
Ziel der Simulation war es, die Sensibilität der Beschäftigten signifikant zu steigern und diese bei einem entsprechenden Lernprozess zu unterstützen. Versendet wurden E-Mails, die Phishing-Angriffe so realistisch wie möglich simulierten, jedoch ohne die angeschriebenen Beschäftigten tatsächlich in Gefahr zu bringen. Beim Klick auf einen gefälschten Link oder Anhang erhielten diese Informationen zu Merkmalen, die Phishing-E-Mails auszeichnen und wie man sich vor solchen Angriffen schützen kann. „Eine Simulation kann die Realität nie perfekt abbilden, setzt aber an der richtigen Stelle an. Bei Phishing-Angriffen, die versuchen, Menschen zu täuschen und/oder zu manipulieren, sind aufgeklärte und geschulte Mitarbeiter*innen unsere wichtigste und beste Firewall“, betont Michael Sundermeyer, der Informationssicherheitsbeauftragte der Universität.
Die Phishing-Simulation in Zahlen
Insgesamt sind in der Simulation 44.792 E-Mails versendet worden. 4.533 dieser E-Mails wurden geöffnet. Das entspricht einer kumulierten Klickrate von 10,2%. Die gute Nachricht ist: Die Klickrate der Simulation lag in der Einstiegsphase bei 15,8%, reduzierte sich in der sechsmonatigen Folgephase dann aber auf 7,4% und hat sich damit mehr als halbiert. Am meisten geklickt wurden in der Folgephase die E-Mails „Bund plant neue Bildungsreform“ (14,2%) dicht gefolgt von „Scan to E-Mail“ (12,6%).
Einschätzung der Beschäftigten
Neben einigen deutlich kritischen Stimmen („einfach zu erkennen“, „es nervt“) ist die Simulation überwiegend positiv aufgenommen und bewertet worden (4,43 von 5 möglichen Sternen bei 118 abgegebene Bewertungen). Positiv herausgestellt wurde insbesondere die Effektivität der Sensibilisierung („werde künftig aufmerksamer sein“) sowie die Erläuterungen, die den Phishing-Betroffenen zu jeder E-Mail zur Verfügung gestellt wurden („weiß jetzt, worauf ich achten muss“).