Sophos-CISO: Mit Angst und Tickboxen fängt man keine Phische

Awareness-Kampagnen erfreuen sich nach wie vor großer Beliebtheit. Doch bringen sie wirklich etwas? Oder gehen Organisationen das Ganze nur falsch an.

Bild: GettyImages / Credits: PrettyVectors

Auf dem Papier klingt es einfach: Wer für den Ernstfall übt, ist besser gewappnet. Das gilt im Sport, im Militär, in der Krisenvorsorge – und auch in der Cybersicherheit. Simulierte Cyberangriffe (Red- und Purple-Teaming), Capture-the-Flag Cybersicherheitswettbewerbe oder Planspiele (Tabletop-Übungen) zeigen, dass Vorbereitungen wirksam sind. Warum also nicht auch beim Phishing?

Phishing-Angriffe gehören zu den am weitesten verbreiteten Bedrohungen in der Cyberwelt. Ihre Popularität bei Cyberkriminellen ist leicht erklärbar: Phishing ist eine besonders kostengünstige und gleichzeitig äußerst effiziente Methode, um an vertrauliche Informationen zu gelangen. Sehr oft dient ein erfolgreicher Phishing-Versuch als initialer Schritt zur Kompromittierung ganzer Systeme und Netzwerke, da er eine einfache menschliche Schwachstelle ausnutzt, um technische Sicherheitsbarrieren zu umgehen.

Phreund oder Pheind

Angesichts dieser omnipräsenten Bedrohung ist es nachvollziehbar, dass Organisationen weltweit immense Ressourcen in die Schulung ihrer Mitarbeitenden investieren. Ein gängiges und scheinbar logisches Instrument hierfür sind simulierte Phishing-Tests. Der primäre Zweck dieser Simulationen ist es, den Mitarbeitenden mittels aktiver Konfrontation das adäquate Nutzerverhalten im Ernstfall – also bei einem tatsächlichen Phishing-Versuch – zu vermitteln, ihre Wachsamkeit zu erhöhen und damit die menschliche Firewall zu stärken. Jedoch wirft dieser weit verbreitete Ansatz eine fundamentale Frage auf: Inwiefern erfüllen diese simulierten Phishing-Tests ihren beabsichtigten Zweck tatsächlich?

Befürworter von Phishing-Schulungen loben deren vermeintliche Wirksamkeit, insbesondere in Kombination mit Sensibilisierungsschulungen, zur Steigerung der Lernretentionsraten und der Kapitalrendite. Einige argumentieren, dass simuliertes Phishing dazu beiträgt, die Instinkte der Benutzer zu schulen, indem es sie dazu zwingt, zu hinterfragen, ob E-Mails bösartig sein könnten. Andere verweisen auf Risikominderung, Kosteneffizienz (im Vergleich zu den Kosten einer tatsächlichen Sicherheitsverletzung) und die Entwicklung einer „Sicherheit zuerst”-Kultur.

Kritiker verweisen auf Studien von 2021 und 2025. Allerdings ist die Studie aus dem Jahr 2025 mit einigen Einschränkungen zu betrachten. “Die Studie der UC San Diego zeichnet ein ernüchterndes Bild der Phishing-Schulungen, aber bevor wir voreilige Schlüsse ziehen, sollten wir uns ihre blinden Flecken genauer ansehen. Wie bei jeder Forschung prägen auch bei dieser Studie der Umfang und die Methoden die Ergebnisse – und es gibt noch mehr zu beachten,” schreibt Ross Lazerowitz von Mirage Security in einem Blogbeitrag. Die Kritikpunkte sind im Wesentlichen, dass sie sich ausschließlich auf Klickraten konzentriert, nur Teilnehmer aus einem einzigen Unternehmen einbezieht und weder die Gestaltung noch die Qualität der Schulungen berücksichtigt.

Schlecht geplante Phishing-Übungen sind tatsächlich eher nutzlos oder sogar kontraproduktiv. Ignorieren ist jedoch keine Option, denn Angreifer setzen weiter auf die effektivste (und effizienteste) Schwachstelle: den Menschen.

Phish ‘n Phakes

Experten des Forschungsteams Sophos X-Ops identifizierten vier typische und gravierende Fehler in der Konzeption und Durchführung von Phishing-Trainings. Diese Mängel führen dazu, dass die eigentlich notwendigen Sicherheitsübungen ihre intendierte Wirkung verfehlen und stattdessen negative Auswirkungen auf die Unternehmenskultur und die Mitarbeitermoral haben können.

„Unbedachte Klicks sind nicht das, worauf der erste Fokus liegt, entscheidend ist, dass ein Reporting folgt“, bringt Sophos-CISO Ross McKerchar das Ziel der Phishing-Tests auf den Punkt. „Wer verdächtige Mails meldet, liefert wertvolle, sofort verwertbare Bedrohungsinformationen.”

Gami-phish-cation

Statt Nutzer nur als das schwächste Glied zu sehen, sollten sie zu aktiven Verteidigern ausgebildet werden. “Phishing bleibt eine ständige Bedrohung und KI wird Angriffe künftig noch raffinierter machen. Menschen sind dagegen die wertvollste Verteidigungslinie“, ist McKerchar überzeugt. “Richtig gestaltet, durchgeführt und gemessen, stärken regelmäßige Phishing-Simulationen die Wachsamkeit, liefern wichtige Bedrohungsdaten und fördern eine Sicherheitskultur, die echte Angriffe wirksam abwehrt.”

Der folgende Leitfaden hilft bei der Gestaltung effektiver Awareness-Trainings für eine gesunde Meldungskultur und ein ganzheitliches Sicherheitsmanagement.

Einmal pro Woche oder einmal im Jahr? Eine zu hohe Frequenz führt zu Abstumpfung und Meldemüdigkeit. Eine zu geringe Frequenz erzielt keine nachhaltigen Erfolge und verpasst aktuelle Phishing-Trends. Die Frequenz sollte auf die Kritikalität und die Dynamik der relevanten Systeme und Prozesse abgestimmt sein. Die Sophos-Experten sagen: “Das Einholen von Feedback von Benutzern und Ihren Sicherheitsteams sowie der Vergleich von Kennzahlen über verschiedene Simulationskampagnen hinweg sind hilfreich.”

Für eine höhere Akzeptanz und Glaubwürdigkeit sollten die Inhalte der Meldungen realitätsnah und relevant sein. Die ethische Vertretbarkeit der Inhalte sowie der Schutz der Privatsphäre müssen stets im Vordergrund stehen. Meldungen dürfen nicht zur Überwachung oder Bestrafung missbraucht und Nutzer nicht stigmatisiert werden. “Wenn man beispielsweise mit Schwierigkeiten oder Arbeitsplatzsicherheit argumentiert, kann dies dazu führen, dass sich die Nutzer von der Unternehmenskultur und den Sicherheitsinitiativen distanzieren – ein ungünstiges Ergebnis, wenn die Nutzer einen so wichtigen Beitrag leisten.“

Eine positive Feedbackkultur ist unerlässlich. Der Fokus sollte primär auf der Anerkennung und Verstärkung von korrektem, sicherem und proaktivem Verhalten liegen, anstatt Fehler zu suchen und zu verurteilen. Positive Meldungen, wie erfolgreich behobene Schwachstellen oder Best Practices, fördern die Motivation und das Sicherheitsbewusstsein. “Die Ziele bestehen darin, die Benutzer zu befähigen, eine wichtige Verteidigungslinie zu bilden, und sie daran zu erinnern, was zu tun ist, wenn sie etwas Verdächtiges bemerken.”

Statt Klickzahlen sollten die Meldung selbst sowie die Geschwindigkeit, mit der sie erfolgt, priorisiert werden. “Das Zählen von Klicks kann kontraproduktiv sein, selbst wenn es gut gemeint ist. "Es stellt die Nutzer als Schwachstelle dar und liefert nur wenige nützliche Informationen.“

Selbstverständlich ist es dennoch wichtig, Klicks zu erfassen und mit anderen Kennzahlen zu korrelieren. Wie Ross Lazerowitz schreibt, sind auch andere Verhaltensweisen von entscheidender Bedeutung. Hat jemand vorher geklickt und erst gemeldet, nachdem er gemerkt hat, dass etwas nicht stimmt?

Kritisch sind auch die auf eine Meldung folgenden Aktionen – die Analyse, die Behebung, die Kommunikation der Lösung und die Rückmeldung an den Melder. Eine transparente Darstellung der Folgeaktionen und das Schließen des Kommunikationskreislaufs durch Folgemeldungen schafft Vertrauen und erhöht die Bereitschaft zur zukünftigen Meldung.

Sicherheit und Prozessoptimierung sind keine Insellösungen. Alle betroffenen und relevanten Teams – von der Entwicklung über den Betrieb bis hin zum Management und den Endanwendern – müssen in die Kampagne sowie den Melde- und Analyseprozess einbezogen werden. Nur die Zusammenführung unterschiedlicher Perspektiven ermöglicht ein ganzheitliches Bild der Situation.

Sicherheitsteams können die Ergebnisse für Planspiele nutzen, um ihre Prozesse und Maßnahmen zu optimieren. “Nach dem ersten erfolgreichen Bericht können Sie durchgehen, was Sie tun würden, wenn die Phishing-E-Mail echt wäre: Anhänge öffnen, Infrastruktur finden und blockieren, IOCs kategorisieren und blockieren, E-Mails aus den Posteingängen anderer Benutzer zurückholen und so weiter. Dies kann auch eine gute Gelegenheit sein, die Automatisierung dieser Schritte zu testen.”

Ein gut sichtbarer Report-Button, schnelle Rückmeldungen und positive Verstärkung für richtiges Verhalten sind die Zutaten für erfolgreiche Awareness-Trainings. Auch bei Sophos wird Awareness geschult. “Selbstverständlich möchten wir nicht, dass Benutzer auf Links in Phishing-E-Mails klicken, aber wir möchten auch nicht, dass sie die E-Mail einfach löschen, in ihren Junk-/Spam-Ordner verschieben oder vollständig ignorieren – denn dadurch geraten wir in Verzug. Wir können nicht auf eine Bedrohung reagieren, wenn wir nichts davon wissen.,” sagt der CISO. “Wir versuchen nicht, unsere Mitarbeiter zu täuschen. Wir spielen ein Spiel, um ihr Gedächtnis aufzufrischen und ihre Bereitschaft zur Meldung von Vorfällen zu stärken.”

McKerchar appelliert an die Verantwortlichen in allen Organisationen: “Niemand möchte auf eine Phishing-E-Mail hereinfallen, sei sie nun simuliert oder nicht – jedoch zu akzeptieren, dass dies vorkommt, und aus den Konsequenzen zu lernen, ohne Schuldzuweisungen vorzunehmen, ist eine wertvolle Übung.”

Kein Phish ohne Angler – und Angel!

“Jede Sicherheitskontrolle, die auf menschlichem Verhalten basiert, ist von Natur aus anfällig,” sagt Ross McKerchar.

Wie in jeder modernen, schnelllebigen Umgebung passiert zwangsläufig viel im „System-1”-Denkschema. Dabei werden Einschätzungen und Entscheidungen schnell intuitiv – fast schon automatisch – auf der Grundlage von Mustern und Erfahrungen getroffen.

Technische Architekturen und Prozesse sollten daher robust und resilient gestaltet sein. Sie müssen eine inhärente Toleranz für menschliches Versagen aufweisen (Error Tolerance). Dies bedeutet, dass sie so konzipiert sind, dass unvermeidbare menschliche Fehler nicht unmittelbar zu katastrophalen Ausfällen oder Sicherheitsvorfällen führen. Die Gestaltung sollte Fehler vermeiden, wo möglich, sie abfangen, wo sie auftreten, und die Wiederherstellung erleichtern. Die Usability der Systeme spielt dabei eine entscheidende Rolle.

“Phishing wird nicht verschwinden. Tatsächlich könnte generative KI diese Bedrohung sogar noch verstärken, da Angreifer sie nutzen können, um die üblichen verräterischen Anzeichen zu umgehen: Rechtschreibfehler, Grammatikfehler und mangelhafte Formatierung. Daher wird es immer wichtiger, dass wir alle uns zur Verfügung stehenden Mittel einsetzen, um uns dagegen zu schützen,” so das Fazit des CISOs. “Natürlich steht KI auch den Verteidigern zur Verfügung, aber wir sind uns auch bewusst, dass Menschen eines unserer mächtigsten Mittel zur Verteidigung sind.”

Image
Description
Ross McKerchar ist der CISO von Sophos. Er hat einen Bachelor of Science in Informatik von der Universität Edinburgh und ist seit 2007 bei dem britischen Sicherheitsunternehmen.