Eine Phishing-Simulation ist eine Cybersicherheitsübung, bei der die Fähigkeit eines Unternehmens getestet wird, einen Phishing-Angriff zu erkennen und darauf zu reagieren.

Ein Phishing-Angriff ist eine betrügerische E-Mail, Text- oder Sprachnachricht, die darauf abzielt, Menschen dazu zu bringen, Malware (z. B. Ransomware) herunterzuladen, vertrauliche Informationen (z. B. Benutzernamen, Passwörter oder Kreditkartendaten) preiszugeben oder Geld an die falschen Personen zu senden.

Bei einer Phishing-Simulation erhalten Mitarbeiter simulierte Phishing-E-Mails (oder SMS oder Anrufe), die reale Phishing-Versuche imitieren. Die Nachrichten verwenden dieselben Social-Engineering-Taktiken (z. B. sich als jemand ausgeben, den der Empfänger kennt oder dem er vertraut, und ein Gefühl der Dringlichkeit erzeugen), um das Vertrauen des Empfängers zu gewinnen und ihn zu unüberlegten Handlungen zu bewegen. Der einzige Unterschied besteht darin, dass Empfänger, die auf den Köder hereinfallen (z. B. durch Klicken auf einen schädlichen Link, Herunterladen eines schädlichen Anhangs, Eingabe von Informationen auf einer betrügerischen Landing Page oder Bearbeitung einer gefälschten Rechnung), den Test einfach nicht bestehen, ohne dass dies negative Auswirkungen auf das Unternehmen hat.

In einigen Fällen werden Mitarbeiter, die auf den gefälschten bösartigen Link klicken, auf eine Landingpage weitergeleitet, auf der sie darüber informiert werden, dass sie einem simulierten Phishing-Angriff zum Opfer gefallen sind, und auf der sie Informationen darüber finden, wie sie Phishing-Betrug und andere Cyberangriffe in Zukunft besser erkennen können. Nach der Simulation erhalten Unternehmen auch Kennzahlen zu den Klickraten ihrer Mitarbeiter und führen häufig zusätzliche Phishing-Sensibilisierungsschulungen durch.

Aktuelle Statistiken zeigen, dass Phishing-Bedrohungen weiter zunehmen. Seit 2019 ist die Zahl der Phishing-Angriffe um 150 % pro Jahr gestiegen –mit der Anti-Phishing Working Group (APWG), die für 2022 einen neuen Rekord bei Phishing-Angriffen meldet und mehr als 4,7 Millionen Phishing-Websites protokolliert. Laut Proofpoint waren 84 % der Unternehmen im Jahr 2022 mindestens einem erfolgreichen Phishing-Angriff ausgesetzt.

Da selbst die besten E-Mail-Gateways und Sicherheitstools Unternehmen nicht vor jeder Phishing-Kampagne schützen können, setzen Unternehmen zunehmend auf Phishing-Simulationen. Gut durchdachte Phishing-Simulationen helfen auf zwei wichtige Arten, die Auswirkungen von Phishing-Angriffen zu mindern. Simulationen liefern den Informationssicherheitsteams die Informationen, die sie benötigen, um Mitarbeiter zu schulen, damit sie Phishing-Angriffe im echten Leben besser erkennen und vermeiden können. Sie helfen Sicherheitsteams auch dabei, Sicherheitslücken zu lokalisieren, die allgemeine Reaktion auf Vorfälle zu verbessern und das Risiko von Datenschutzverletzungen und finanziellen Verlusten durch erfolgreiche Phishing-Versuche zu reduzieren.

Phishing-Tests sind in der Regel Teil einer umfassenderen Schulung zur Sensibilisierung für Sicherheitsfragen, die von IT-Abteilungen oder Sicherheitsteams durchgeführt wird.

Der Prozess umfasst in der Regel fünf Schritte:

1. Planung: Unternehmen definieren zunächst ihre Ziele und legen den Umfang fest. Sie entscheiden, welche Art von Phishing-E-Mails verwendet werden soll und wie häufig Simulationen durchgeführt werden sollen. Sie bestimmen auch die Zielgruppe, einschließlich der Segmentierung bestimmter Gruppen oder Abteilungen und häufig auch von Führungskräften. 
2. Entwurf: Nachdem sie einen Plan erstellt haben, erstellen die Sicherheitsteams realistische Phishing-E-Mail-Attrappen, die echten Phishing-Bedrohungen sehr ähneln und oft auf Phishing-Vorlagen und Phishing-Kits basieren, die im Dark Web verfügbar sind. Sie achten genau auf Details wie Betreffzeilen, Absenderadressen und Inhalte, um realistische Phishing-Simulationen zu erstellen. Sie nutzen auch Social-Engineering-Taktiken – sogar die Nachahmung (oder „Spoofing“) einer Führungskraft oder eines Kollegen als Absender –, um die Wahrscheinlichkeit zu erhöhen, dass Mitarbeiter auf die E-Mails klicken.
3. Senden: Sobald der Inhalt fertiggestellt ist, senden IT-Teams oder externe Anbieter die simulierten Phishing-E-Mails auf sicherem Weg und unter Berücksichtigung des Datenschutzes an die Zielgruppe.
4. Überwachung: Nach dem Versand der gefälschten E-Mails verfolgen und protokollieren Führungskräfte genau, wie Mitarbeiter mit den simulierten E-Mails interagieren, und überwachen, ob sie auf Links klicken, Anhänge herunterladen oder sensible Informationen preisgeben.
5. Analyse: Nach dem Phishing-Test analysieren IT-Führungskräfte die Daten aus der Simulation, um Trends wie Klickraten und Sicherheitslücken zu ermitteln. Anschließend geben sie Mitarbeitern, die die Simulation nicht bestanden haben, sofortiges Feedback und erklären, wie sie den Phishing-Versuch richtig hätten erkennen können und wie sie echte Angriffe in Zukunft vermeiden können.

Sobald diese Schritte abgeschlossen sind, erstellen viele Unternehmen einen umfassenden Bericht, der die Ergebnisse der Phishing-Simulation zusammenfasst und an die relevanten Stakeholder weitergibt. Einige nutzen die Erkenntnisse auch, um ihr Sicherheitsbewusstseinstraining zu verbessern, bevor sie den Prozess regelmäßig wiederholen, um das Bewusstsein für Cybersicherheit zu schärfen und den sich entwickelnden Cyber-Bedrohungen immer einen Schritt voraus zu sein.

Bei der Durchführung einer Phishing-Simulationskampagne sollten Unternehmen Folgendes berücksichtigen.

• Häufigkeit und Vielfalt der Tests: Viele Experten schlagen vor, das ganze Jahr über regelmäßig Phishing-Simulationen mit verschiedenen Arten von Phishing-Techniken durchzuführen. Diese erhöhte Häufigkeit und Vielfalt können dazu beitragen, das Bewusstsein für Cybersicherheit zu stärken und gleichzeitig sicherzustellen, dass alle Mitarbeiter vor den sich entwickelnden Phishing-Bedrohungen wachsam bleiben.
• Inhalte und Methoden: Wenn es um Inhalte geht, sollten Unternehmen simulierte Phishing-E-Mails entwickeln, die realistischen Phishing-Versuchen ähneln. Eine Möglichkeit, dies zu tun, besteht darin, Phishing-Vorlagen zu verwenden, die beliebten Arten von Phishing-Angriffen nachempfunden sind, um Mitarbeiter ins Visier zu nehmen. Eine Vorlage könnte sich beispielsweise auf Business Email Compromise (BEC) – auch CEO-Betrug genannt – konzentrieren, bei dem es sich um eine Art Spear-Phishing handelt, bei dem Cyberkriminelle E-Mails von einem der Führungskräfte des Unternehmens imitieren, um Mitarbeiter dazu zu bringen, sensible Informationen preiszugeben oder große Geldsummen an einen angeblichen Lieferanten zu überweisen. Wie Cyberkriminelle, die echte BEC-Betrügereien starten, müssen Sicherheitsteams, die die Simulation entwerfen, den Absender und die Empfänger sorgfältig recherchieren, um die E-Mail glaubwürdig zu machen.
• Zeitpunkt: Der ideale Zeitpunkt für Unternehmen, eine Phishing-Simulation durchzuführen, ist nach wie vor umstritten. Einige ziehen es vor, einen Phishing-Test durchzuführen, bevor die Mitarbeiter eine Schulung zur Sensibilisierung für Phishing-Angriffe absolvieren, um einen Maßstab festzulegen und die Effizienz zukünftiger Phishing-Simulationslösungen zu messen. Andere ziehen es vor, erst nach einer Schulung zur Sensibilisierung für Phishing-Angriffe die Wirksamkeit des Moduls zu testen und zu prüfen, ob die Mitarbeiter Phishing-Vorfälle ordnungsgemäß melden. Der Zeitpunkt, zu dem ein Unternehmen beschließt, eine Phishing-Simulation durchzuführen, hängt von seinen Bedürfnissen und Prioritäten ab.
• Nachbereitung: Unabhängig davon, wann Unternehmen sich für die Durchführung eines Phishing-Tests entscheiden, ist dieser in der Regel Teil eines größeren und umfassenderen Schulungsprogramms zur Sensibilisierung für Sicherheit. Nachschulungen helfen Mitarbeitern, die den Test nicht bestanden haben, sich unterstützt zu fühlen, anstatt sich betrogen zu fühlen, und vermitteln Wissen und Anreize, um verdächtige E-Mails oder echte Angriffe in Zukunft zu erkennen.
• Fortschritts- und Trendverfolgung: Nach den Simulationen sollten Unternehmen die Ergebnisse jedes Phishing-Simulationstests messen und analysieren. Dadurch können Bereiche mit Verbesserungspotenzial identifiziert werden, einschließlich bestimmter Mitarbeiter, die möglicherweise eine zusätzliche Schulung benötigen. Sicherheitsteams sollten sich auch über die neuesten Phishing-Trends und -Taktiken auf dem Laufenden halten, damit sie bei der nächsten Phishing-Simulation die Mitarbeiter mit den relevantesten realen Bedrohungen testen können.

Phishing-Simulationen und Schulungen zur Sensibilisierung für Sicherheitsfragen sind wichtige Präventivmaßnahmen, aber Sicherheitsteams benötigen auch modernste Fähigkeiten zur Erkennung und Abwehr von Bedrohungen, um die Auswirkungen erfolgreicher Phishing-Kampagnen zu mildern.