Großer Praxistest: Phishing-Schulungen für Mitarbeiter sind nutzlos
Viele Unternehmen führen Phishing-Schulungen mit ihren Mitarbeitern durch, um die Sicherheit vor Angriffen zu erhöhen. Allerdings sind diese weitgehend nutzlos, wie eine Untersuchung bei 19.000 Beschäftigten im Gesundheits-Sektor zeigte.
"Die Frage ist, ob sich dieser enorme Aufwand überhaupt lohnt", sagte Mirian. Zu Beginn ihres Vortrags hatte sie die anwesenden Cybersicherheits-Experten gefragt, wer an die Wirksamkeit solcher Trainings glaubte. Etwa die Hälfte meldete sich - nach den präsentierten Ergebnissen waren es deutlich weniger.
Frühere Untersuchungen hätten widersprüchliche Ergebnisse geliefert, erklärte Dameff. Viele seien unter künstlichen Laborbedingungen durchgeführt worden, etwa mit Studenten als Testpersonen. "Das ist nicht wirklich aussagekräftig", sagte er. Und Versicherungen und Unternehmen würden regelmäßig Schulungen vorschreiben, obwohl es kaum Untersuchungen in der Praxis gibt.
Deshalb setzten die Forscher diesmal auf einen realistischen Ansatz: Über acht Monate hinweg erhielten die Beschäftigten des UCSD Health Systems monatlich fingierte Phishing-Mails. Je nach Gruppe bekamen sie nach einem Fehlklick unterschiedliche Rückmeldungen - von einer einfachen Fehlermeldung bis hin zu interaktiven Übungen. Doch unabhängig von der Methode blieben die Unterschiede gering.
"Wer die Köder kontrolliert, bestimmt auch die Fehlerquoten", erklärte Mirian. Zudem stellte sich heraus, dass über längere Zeiträume fast jeder einmal auf einen Phishing-Versuch hereinfällt. Mehr als die Hälfte der Teilnehmer klickte im Verlauf der acht Monate mindestens einmal falsch. Erschwerend kam hinzu, dass viele die eingeblendeten Trainingsseiten sofort wieder schlossen - offenbar ohne sich den Inhalt überhaupt anzusehen.
Die Forscher betonten aber auch, dass die Ergebnisse nicht bedeuten, dass Phishing-Schulungen grundsätzlich sinnlos seien. Allerdings müsse weiter geforscht werden, um wirksamere Methoden zu entwickeln. Unternehmen sollten sich jedenfalls nicht blind auf die Versprechen von Trainingsanbietern verlassen. "Fragen Sie nach Daten, die die Wirksamkeit belegen", riet Dameff.
Siehe auch:
Minimaler Effekt
Die daraus entstandene Studie stellten die Sicherheitsforscherin Ariana Mirian und ihr Kollege Christian Dameff auf der Fachkonferenz Black Hat in Las Vegas vor, wie aus einem Bericht von SCMedia hervorgeht. Diese hatten in einem großangelegten Versuch bei Mitarbeitern im medizinischen Bereich der University of California San Diego herausgefunden: Der Lerneffekt durch verschiedene Trainingsmethoden war minimal - die Wahrscheinlichkeit, auf eine Phishing-Mail hereinzufallen, sank im Durchschnitt gerade einmal um 1,7 Prozent."Die Frage ist, ob sich dieser enorme Aufwand überhaupt lohnt", sagte Mirian. Zu Beginn ihres Vortrags hatte sie die anwesenden Cybersicherheits-Experten gefragt, wer an die Wirksamkeit solcher Trainings glaubte. Etwa die Hälfte meldete sich - nach den präsentierten Ergebnissen waren es deutlich weniger.
Frühere Untersuchungen hätten widersprüchliche Ergebnisse geliefert, erklärte Dameff. Viele seien unter künstlichen Laborbedingungen durchgeführt worden, etwa mit Studenten als Testpersonen. "Das ist nicht wirklich aussagekräftig", sagte er. Und Versicherungen und Unternehmen würden regelmäßig Schulungen vorschreiben, obwohl es kaum Untersuchungen in der Praxis gibt.
Deshalb setzten die Forscher diesmal auf einen realistischen Ansatz: Über acht Monate hinweg erhielten die Beschäftigten des UCSD Health Systems monatlich fingierte Phishing-Mails. Je nach Gruppe bekamen sie nach einem Fehlklick unterschiedliche Rückmeldungen - von einer einfachen Fehlermeldung bis hin zu interaktiven Übungen. Doch unabhängig von der Methode blieben die Unterschiede gering.
Köder entscheidet
Ganz ohne Erkenntnisgewinn blieb die Studie nicht. So zeigte sich, dass die Wahl des Köders entscheidend ist: Banalen Nachrichten wie angeblichen Passwortänderungen fiel fast niemand zum Opfer. Doch fast ein Drittel der Angestellten klickte auf Links zu vermeintlichen Änderungen der Urlaubsregelung oder der Kleiderordnung."Wer die Köder kontrolliert, bestimmt auch die Fehlerquoten", erklärte Mirian. Zudem stellte sich heraus, dass über längere Zeiträume fast jeder einmal auf einen Phishing-Versuch hereinfällt. Mehr als die Hälfte der Teilnehmer klickte im Verlauf der acht Monate mindestens einmal falsch. Erschwerend kam hinzu, dass viele die eingeblendeten Trainingsseiten sofort wieder schlossen - offenbar ohne sich den Inhalt überhaupt anzusehen.
Die Forscher betonten aber auch, dass die Ergebnisse nicht bedeuten, dass Phishing-Schulungen grundsätzlich sinnlos seien. Allerdings müsse weiter geforscht werden, um wirksamere Methoden zu entwickeln. Unternehmen sollten sich jedenfalls nicht blind auf die Versprechen von Trainingsanbietern verlassen. "Fragen Sie nach Daten, die die Wirksamkeit belegen", riet Dameff.
Zusammenfassung
- Studie an 19000 Gesundheits-Mitarbeitern zeigt minimalen Lerneffekt
- Phishing-Trainings reduzieren Fehlerquote im Schnitt nur um 1,7 Prozent
- Fast ein Drittel der Angestellten fiel auf gefälschte Arbeitsregelungen rein
- Über die Hälfte der Teilnehmer klickte in acht Monaten mindestens einmal falsch
- Viele Mitarbeiter schlossen die Trainingsseiten sofort, ohne sie anzusehen
- Forscher empfehlen weitere Studien zur Entwicklung effektiverer Methoden
- Unternehmen sollten von Trainingsanbietern Wirksamkeitsnachweise fordern
Siehe auch:
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen