In einer Phishing-Kampagne wird die Awareness der Mitarbeitenden auf Phishing-E-Mails geprüft und ausgewertet. Dies kann als Bestimmung des Ist-Zustands, Basis für Schulungen oder als regelmässige Prüfung und Aufzeigen von Fortschritt eingesetzt werden als Phishing-as-a-Service.
Falls folgende Fragen in Ihrem Unternehmen noch offen sind, empfiehlt sich ein Phishing:
Sinn des Scoping-Meetings ist es, die Ziele der Kampagne zu definieren und mögliche Szenarien abzusprechen, damit auf deren Basis dann die Offerte erstellt werden kann. Die Fragen drehen sich dabei meistens um die Anzahl Mitarbeitenden und Stand der Awareness.
Auf Basis des Scoping-Meetings wird die Offerte erstellt. Nebst den Zielen, Methoden, Preis und Rahmenbedingungen enthält dieser auch einen Durchführungsvorschlag. Dabei ist selbstverständlich nichts in Stein gemeisselt und die Offerte wird gerne den Bedürfnissen angepasst. Verrechnet wird grundsätzlich immer nach tatsächlichem Aufwand.
Auf Basis der vorhandenen Informationen und dem Awarenessstand der Mitarbeitenden werden Vorschläge für das Phishig-E-Mail ausgearbeitet und besprochen. Dies kann in mehreren Iterationen erfolgen, bis alle mit dem Phishing-E-Mail einverstanden sind.
Die Zustellung der E-Mails wird in einem Testlauf geprüft. Allfällige Sicherheitsmechanismen, welche die Zustellung verhindern könnten, werden für diese spezifische Kampagne aufgeweicht. So wird sichergestellt, dass wirklich die Awareness und nicht die technischen Massnahmen geprüft werden. Technische Massnahmen können effizienter in einer Attack Simulation untersucht werden.
Die Phishing-E-Mails werden in mehreren Wellen versendet, damit es keine Überlastung des Mail-Servers oder Probleme bei der Zustellung gibt. Idealerweise werden die Abstände aber möglichst kurz gehalten, damit es keine Verfälschung der Resultate durch erste Reaktionen gibt.
Die Landing-Page wird bis zur Auflösung aktiv gehalten (meistens einige Tage). Dabei werden sämtliche Klicks oder Interaktionen registriert und statistisch aufbereitet. So wird eine möglichst detaillierte Auswertung der Resultate möglich. Die Resultate können zum Beispiel auch nach Abteilung oder Standort ausgewertet werden. Dies erlaubt ein noch gezielteres Vorgehen zur Verbesserung der Awareness.
Eine Phishing-Kampagne eignet sich perfekt als Grundlage für eine Schulung. Nichts erzielt wohl einen grösseren Lerneffekt, als tatsächliche Phishing-E-Mails, welche erfolgreich waren. Es gibt auch sehr gute Lernmodule von unseren Partnern, welche für ein interaktives Lernen verwendet werden können.
Eine Phishing-Kampagne kann als Grundlage für eine Schulung oder als Augenöffner dienen, einen nachhaltigen Effekt erzielt man dadurch aber selten. Idealerweise werden regelmässig Phishing-Kampagnen und Schulungen durchgeführt. Genau das bieten wir in Phishing-as-a-Service an.
Sämtliche Resultate werden in einem Schlussbericht (PDF, Excel und JSON) übermittelt. Der Bericht enthält nebst den gewünschten Statistiken auch die Phishing-E-Mails und deren Erkennungsmerkmale. So können die Resultate als Grundlage für eine Schulung verwendet werden. Die Resultate werden auch über die Plattform Mesher zugänglich gemacht, so können Sie einfach den Überblick über alle Kampagnen und den Awareness-Fortschritt behalten.
Über Mesher wird Ihr aktueller Sicherheitslevel erfasst und Sie können den Return on Investment für die unterschiedlichen Massnahmen einsehen. Hier sind auch sämtliche Resultate visualisiert und können dank Integrationen mit bestehenden Tools verknüpft werden. Mit der Plattform können technische Massnahmen direkt mit Tasks den entsprechenden Personen zugeteilt werden und agiles Arbeiten ohne Medienbrüche wird ermöglicht. Awareness-Kampagnen können einfach erfasst und der Fortschritt aufgezeigt werden.
Die Phishing-Awareness kann nur durch Regelmässigkeit nachhaltig verbessert werden. Mit Phishing-as-a-Service versenden wir regelmässig unterschiedliche Phishing-E-Mails und passen diese dem Awareness-Level an. Nach dem initialen Aufwand für das Aufsetzen der Infrastruktur und der Zustellprüfung, können wir dies zu einem günstigeren Preis als einzelne Kampagnen anbieten. Idealerweise werden die Kampagnen durch Schulungen oder Module ergänzt und somit die Phishing-Awareness kontinuierlich verbessert.
Das Ziel bei einem Social Engineering Audit ist es, die Sensibilisierung und Reaktionen der Mitarbeitenden auf Social Engineering Attacken zu überprüfen. Die simulierten Attacken werden dabei realen Angriffen nachempfunden. Entgegen realen Angriffen müssen bei simulierten Angriffen jedoch gesetzliche und moralische Grenzen eingehalten werden. Die persönliche Integrität und das psychische Wohlbefinden der involvierten Personen sollen in keiner Weise durch ein Social Engineering Audit beeinträchtigt werden. Die Resultate werden in einem solchen Audit grundsätzlich nur anonymisiert zur Verfügung gestellt und sollen keinen Rückschluss auf die Identität der einzelnen getesteten Personen und deren Verhalten erlauben.
