Startseite » IT-Sicherheit »

Studie am KIT: Sind Phishing-Kampagnen rechtlich, sicherheitstechnisch und ethisch vertretbar?

KIT-Forschung
Phishing-Kampagnen: Rechtlich, sicherheitstechnisch, ethisch vertretbar?

Öffnen oder nicht?Absender von Phishing-Mails geben sich oft als bekannte Personen aus. Bild: Amadeus Bramsiepe, KIT
Öffnen oder nicht?Absender von Phishing-Mails geben sich oft als bekannte Personen aus.
Bild: Amadeus Bramsiepe, KIT
Anzeige

Cyberkriminelle greifen am öftesten auf gefälschte E-Mails zurück, wenn sie vertrauliche Daten erschleichen oder Schadprogramme einschleusen wollen. Viele Unternehmen nutzen Phishing-Kampagnen, um so die Resistenz ihrer Mitarbeiter gegen solche Angriffe zu prüfen und vermeintlich zu verbessern. Dabei werden den Angestellten bewusst simulierte Phishing-Mails geschickt. Das KIT und die Ruhr Universität Bochum haben diese Kampagnen unter den Aspekten „Security, Recht und Faktor Mensch“ beleuchtet.

Sie sehen oft echt und vertrauenswürdig aus: gefälschte E-Mails, deren Absender sich als bekannte Dienstleister, Kollegen oder Vorgesetzte ausgeben.

Ziel dieser Mails ist es, die Empfänger dazu zu verleiten, auf einen Link zu klicken. In der Folge werden dann Kontodaten und Passwörter abgefischt oder Schadprogramme aufgespielt. Ein einzelner Mitarbeiter, der einem Phishing-Angreifer Glauben schenkt, kann bereits großen Schaden verursachen.

Um zu testen, wie ihre Mitarbeiter auf Phishing-Mails reagieren, nutzen manche Organisationen Phishing-Kampagnen externer Dienstleister. Mit Wissen der Unternehmensleitung werden fingierte Phishing-Mails an die Angestellten geschickt.

Phishing-Kampagnen sollen Mitarbeiter vor realen Gefahren schützen

Diese Phishing-Kampagnen haben das Ziel, Mitarbeiter bewusst zu täuschen, um sie vor realen Gefahren zu schützen und ein Problembewusstsein zu schaffen. Das Problem: „[E]s herrschen oft Unsicherheiten darüber, was rechtlich, sicherheitstechnisch und ethisch vertretbar ist“, geben die Professorinnen Melanie Volkamer (SECUSO, KIT), Franziska Boehm (KIT) und Angela Sasse (Horst-Görtz-Institut) zu bedenken.

Ihr Forschungsbericht beschreibt verschiedene Gestaltungsformen und -ziele von Phishing-Kampagnen. Dazu gehören auch Fragen im Kontext von IT- und Informationssicherheit, Fragen zum Arbeitnehmer- und Datenschutz sowie Fragen der Vertrauenskultur und der Selbstwirksamkeit von Angestellten.

Der Bericht nimmt die Aussagekraft und Fallstricke der Kampagnen in den Blick und bietet Information unter anderem für IT- und Informations-Sicherheitsbeauftragte.

Phishing-Kampagnen beeinflussen Vertrauens- und Fehlerkultur

„Phishing-Kampagnen bringen eine Reihe von Sicherheitsproblemen mit sich, und sie beeinflussen die Vertrauens- und Fehlerkultur in einem Unternehmen stark; auch rechtlich ist einiges zu berücksichtigen“, sagt Franziska Boehm.

„Eine Kampagne zu starten ohne die Angestellten vorher darüber aufzuklären, ist schlicht unfair und trägt nicht zum Vertrauen in die Leitung bei“, ergänzt Angela Sasse.

„Wenn eine Kampagne läuft, denken die Mitarbeiter: es kann ja nichts passieren. Da aber weiterhin echte Phishing-Mails im Umlauf sind, wird das Schutzniveau herabgesetzt“
— Melanie Volkamer

Es wirke sich schlecht auf die Selbstwirksamkeit aus, wenn man erfährt, dass man auf eine Phishing-Nachrichte hereingefallen ist. Die Folge: Die Angestellten stellen fest, dass sie keine Kontrolle über die Situation haben und reagieren mit Resignation. Sie würden sich nicht einmal mehr bemühen, Phishing-Nachrichten zu erkennen, stellen die Autorinnen fest.

„Wenn die Mitarbeiter aber wissen, dass die Kampagne läuft, sind sie vielleicht neugierig und klicken eine Mail an, in der Annahme, da kann nichts passieren, die Mail ist ja fingiert. Da aber weiterhin echte Phishing-Mails im Umlauf sind, wird das Schutzniveau herabgesetzt“, warnt Melanie Volkamer.

Verstärkt werde das Problem, wenn ein Mitarbeiter merkt, dass er doch einen gefährlichen Link angeklickt hat und sich nicht traut, dies zu melden.

Volkamer empfiehlt daher, dass deshalb im Unternehmen schon vor Start einer Phishing-Kampagne eine Meldepflicht von IT-Sicherheitsvorfällen etabliert sein sollte.

Angekündigte Phishing-Kampagnen: Mitarbeiter sind übervorsichtig

Bei einer angekündigten Kampagne sei zu erwarten, dass die Mitarbeiter weitaus mehr Nachrichten kritisch hinterfragen und übervorsichtig sind. Dadurch könne sich der Zeit- und Leistungsdruck erhöhen. Die Folge: Das Vertrauen in die Geschäftsleitung sinke ebenfalls.

„Letztlich greift die Leitung ihre Angestellten an“
— Angela Sasse

Security werde meist ohnehin als lästig und störend empfunden. Ein Problem von Phishing-Kampagnen sei daher aus Sicht der Autorinnen, dass sie das Thema noch negativer belegen. Denn: „letztlich greift dabei die Leitung ihre Angestellten an“, sagt Sasse.

Die Autorinnen raten Unternehmen, die ihre IT-Sicherheit stärken wollen, Zeit und Geld in erster Linie in eine Verbesserung der technischen Sicherheitsmaßnahmen zu investieren. Erst anschließend sollen sie ihre Angestellten zu schulen, welche Phishing-Nachrichten sie noch erreichen können und wie sie diese erkennen. (wag)


Kontakt zum KIT


Karlsruher Institut für Technologie
Kaiserstraße 12
76131 Karlsruhe
Tel.: +49 721 6080
E-Mail: info@kit.edu
Website: www.kit.edu

Ebenfalls interessant:

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de