560 likes | 570 Views
Enhance cybersecurity awareness in your company with realistic phishing simulations. Get real-time feedback and increase employee vigilance. Discover best practices and valuable insights through engaging data stories.
E N D
Cyber-Security-Awareness messbarmachen – Best-Practices und Data-Stories aus Phishing-Simulationen in Unternehmen IT-Trends Sicherheit 2019 Dr. Niklas Hellemann
Cutting Edge CyberSec Awareness,built with in Cologne. • Lukas Schaefer • Produktmanagement • Volks- und Betriebswirt • 4 Jahre Erfahrung als Berater bei McKinsey • Felix Schürholz • Technische Produktentwicklung • Software-Entwickler • 8 Jahre Erfahrung mit Plattform-Entwicklung • Dr. Niklas Hellemann • Vertrieb und Inhaltl. Entwicklung • Dipl.-Psychologe • 6 Jahre Erfahrung als Berater bei BCG • + 22 Mitarbeiter mit • verschiedenen Hintergründen • Cyber-Security • Software-Entwicklung • Grafikdesign • Wirtschaftsingenieurwesen • Marketing
Technische Barrieren sind gut und sinnvoll – schließen aber nicht alle Lücken. 156 Mio Phishing-Mails werden täglich versandt Jedezweite Phishing-Mail wirdgeöffnet. 16 Mio kommen durch Spam-Filter 8 Mio werden geöffnet Nutzer Filter 80% aller Mitarbeiter könnendifferenzierte Phishing-Mails nichterkennen. Quellen: Symantec, McAfee, Verizon
Klassische Awareness-Formatesind ein guter Anfang… • Kommunikations- • kampagnen • Gehen in der Nachrichtenflut unter • Teilweise schwer übertragbar • Nutzen sich schnell ab • Klassische Offline-Formate(z.B. Präsenzkurse) • Kosten- und zeitintensiv • Wenig flexibel • Schwer auf alle Mitarbeiter übertragbar Die tagtäglicheUmsetzung von Wissen in Handeln bleibt ein Problem
Was hat plastischeChirurgiemitCybersecurity zu tun? Es dauert (mind.) 21 Tage um sich an einneuesGesichtzugewöhnen. Quelle: James Clear (2017)
Unsere Plattform hilft Mitarbeitern effizient,nachhaltig sicheres Verhalten zu entwickeln. SoSafe simuliert realistische Angriffeauf Mitarbeiter und gibt diesen Echtzeit-Feedback Mitarbeiter erhalten Hinweise zur Cybersicherheit durch eine interaktive eLearning-Suite mit Micro-Content-Modulen Firmen erhalten Transparenz zur Anfälligkeit ihrer Organisation für Phishing-Angriffe – Mitarbeiter werden motiviert durch direktes Feedback
Wie läuft die Simulation einer Phishing-Attacke ab? Versand von E-Mails mit typischen Angriffsszenarien Die Mitarbeiter erhalten E-Mails, wie sie auch von echten Hackern verschickt würden – dabei werden sie zum Klicken von Links oder dem Download von Dateien angeregt. Umgehende Entwarnung und Aufklärung Klickt ein Nutzer auf einen der Links, öffnet sich ein Browserfenster. Auf der dann erscheinenden Seite kann z.B. Ihr Firmenlogo eingebunden werden und der Nutzer erhält eine Info zur Simulation. • Sofortiges Feedback mit Hinweisen zur konkreten E-Mail • Der Nutzer erhält auf der gleichen Infoseite auch differenzierte Hinweise (in Form sog. „Tooltips“), woran er die E-Mail als Phishing-Versuch hätte identifizieren können.
Unsere Mail-Templates bilden Taktiken und Szenarien echter Angriffe nach. Identität • Adress-Spoofing • Echte Absender-Domain Versch. Login-Masken (Google Docs, Dropbox, etc.) Anhänge/Malware Technischer Vektor Motiv • Geld • Datensätze • Geschäftsgeheimnisse • Persönliche Motive Druck Gier Vertrauen/Hilfsbereitschaft Anerkennung Angst Lob/Schmeicheln Flirt Neugier • Beruflich • Freizeit/Hobby • Persönlich/Privat • Öffentlich Psychologische Mechanismen Kontext Zusätzliche Differenzierung nach: Funktion des Empfängers Grad der Individualisierung Schwierigkeitsgrad Sprache
Kurze, witzige Micro-Content-Modulevertiefen die Themen laufend im Arbeitsalltag. Module sind in eine übergreifende Storyline eingebettet
DifferenzierteReportingshelfenunserenKunden, Maßnahmenabzuleiten. Einheit 1 23% 18% • Allgemeine Klickrate: • Klickratenachtechn. Methoden: • Domain-Spoofing: • Domain-Squatting: • Anhang: • Login-Page: • KlickratenachSchwierigkeitsgraden: • Leicht: • Mittel: • Schwer: Einheit 2 29% 15% 12% 14% 17% 25% 28% 32% 12% 14% 17% 25% 28% 32%
Wir sehen z.T. dramatische Klickraten,die wir aber substantiell reduzieren können. ~18% durchschnittlicheKlickrate auf alle initial versandten Templates (5 per Mitarbeiter) • >70% • aller Mitarbeiter klickenmindestens auf eines der 5 initial versandten Templates 74% der Mitarbeiter, die auf eine Mail geklickthaben, gebenauchDaten auf einer Fake-Login-Seiteein ~59% Reduktion der KlickratennachinitialerSensibilisierung Quelle: Kundenprojekte Q1-Q3/2018
Weitere interessante Beobachtungen: Routine macht blind. Klickraten Templates Grüße von der … Quelle: Klickraten verschiedener Templates, SoSafe Kundenprojekt Q1 2019
Übersteigerte Autoritätshörigkeit verführt Mitarbeiter zu Unachtsamkeit. Klickrate bei unterschiedlichem Absender, aber identischem Inhalt 40% 24% Assistenz des Vorgesetzten Vorgesetzter Quelle: Klickraten auf Phishing-Links in zwei inhaltlich identischen E-Mail-Templates mit unterschiedlichen Absendern bei einem unserer Kunden, Q1 - 2019
„Loose lips save ships!“ –Oder: Flurfunk schützt Klickrate Phishing-Mails nach Organisationsform 30% 12% x3 Zentral (1 Standort, kein remote work) Dezentral (global verteilt, remote work) Quelle: Klickraten zweier Kurz-Kampagnen bei zwei Kunden vergleichbarer Größe, aber unterschiedlicher Organisationsform, vergleichbare Templates, Q1 - 2019
Best Practice: Simulationen und tiefergehendeVermittlungsollten Hand in Hand gehen. Meldefunktion über Plugin Kurze Intitialphase (~2 Wochen) Laufende Sensibilisierung (über den Rest des Jahres) 12 Monate Zugriff(eigene Plattform oder SCORM) auf 10 E-Learning-Module zu weiterführenden IT-Sicherheits-Themen Live Reporting (Self-Service) über Klickraten und automatisierte Vorlagen zur Kommunikation Kommunikation Vorab-Ankündigung Kommunikation Zwischenstand Kommunikation Implikationen
Unsere Erfahrungen für erfolgreiche Phishing-Simulationen – „Dos …“ Datenschutz priorisieren • Keine Erhebung individuellen Klickverhaltens • Keine Speicherung eingegebener Formulardaten • FAQs erklären Mitarbeitern Datenverwendung Mitarbeiter mitnehmen • Vorankündigung Simulation an Mitarbeiter • Ca. 1 Woche vorher per Rund-Mail • Wider Erwarten dennoch hohe Klickraten Transparenz herstellen • Einbindung aller Stakeholder (Mgmt., BR, IT, DSB) • Ziel & Mehrwert Kampagne hervorheben • Management IT-Support-Tickets durch Routing Auf Insights folgt Action • Phishing-Simulation mit E-Learning kombinieren • Veränderung Klickraten durch E-Learning tracken • Psych. Taktiken analysieren und gezielt schulen
„ … and Don‘ts“ Simulation im „Stealth-Modus“ • Unzufriedenheit bei Managern über erhöhtes Mailaufkommen aufgrund von Weiterleitungen • Wahrnehmung von „Cyber Security“ als negativ besetztes Thema, weil Mehrwert nicht klar ist Reiner Phishing-Test ohne E-Learning • Kann von Mitarbeitern als Misstrauen (negativ) anstelle von Lernangebot (positiv) wahrgenommen werden • Maßnahme erzeugt Kosten, aber keine Verbesserung für die Zukunft Nicht alle Mitarbeiter einzubeziehen • Punktuelle Tests der Organisation zeigen nicht das vollständige Bild • Echte Hacker greifen meist an der schwächsten Stelle an – kann vom Manager bis Pförtner überall sein
Gut gemachte Phishing-SimulationensindbeiMitarbeiternsehrbeliebt! ~4,8/5 Durchschn. Berwertungdurch die Mitarbeiter unsererKunden. „Wie gut fanden Sie die versendete, simulierte Phishing-Mail?“ >94% bewerten die Maßnahmealssinnvoll. „Die simulierten Mails helfen dabei, derartige Angriffe greifbar zu machen.“
“ Amateurs hack systems, professionals hack people. ” Bruce Schneier, Expert on Cryptography and Information Security, Harvard University SoSafe GmbH Venloer Str. 240 50823 Köln info@sosafe.de
Für gesteigerten Schutz ist Awareness in tagtägliches Handeln umzusetzen. Lernen am Objekt ermöglichen Aufmerksamkeit fortdauernd aktivieren Mitarbeiter nachhaltig motivieren Ratio Inzidentelles Lernen effektiver als rein klassisches eLearning Kleine „Stupser“ stimulieren Awareness der MA kontinuierlich Spielerische Elemente ver-ankern sichere Gewohnheiten Simulierte Phishing-E-Mails und weitere Angriffe (Voice Phishing) Micro-Learning-Formate und Reminder (z.B. an PW-Änderung) “Challenges“ (z.B. Quizze) und „Badges“ (virtuelle Pokale) Beispiele
Our strong expert boardcloselysupportsusalongourstrategicroadmap. Prof. Dr. Michael Meier Head ofCyber Security at Fraunhofer FKIE, Chair forinformationsecurity, University of Bonn • Prof. Dr. • Gernot Heisenberg • Predictive Analytics, Insitituteofinformationscience, Technical University Cologne Peter Meyer Head of Internet Security at eye/o, Cyber Sec expert, Ex-eco - Association of the Internet Industry, Ex-McAfee Lukas Lindner Security Expert, Senior Systems Engineer at Fortinet
Das Logo-Slide ;) Breite Erfahrung in DACH Tiefe Branchenverankerung Wissenschaftliche Fundierung Intl. Tourismus-unternehmen Parlamentsfraktion Nationaler Sicherheits-dienstleister Gesundheits-dienstleister • Kunden aus zahlreichen Industrien / Sparten, wie Handel, Industriegüter, KRITIS, Werbung & Medien, etc. • Kooperationen mit zahlreichen Branchenverbänden, Speaker-Slots auf Messen, Artikel in Fachzeitschriften • Akademischer Expertenbeirat aus führenden Institutionen
Phishing und Social Engineering sind insbesondere ein dramatisches Problem. 91% 83% € 3Mio aller Cyber-Angriffe starten mit einer Phishing-Mail. aller Unternehmen weltweit haben in 2018 einen Phishing-Angriff erfahren. Kosten werden in jedem mittelgroßen Unternehmen pro Jahr durch Phishing verursacht. Quellen: PhishMe; Proofpoint ; Friedrich-Alexander-Universität Erlangen-Nürnberg, Kent State University, Forbes Magazine
WichtigsindunsMehrwert und Umsetzbarkeit der KPIs. • Klickraten nach psychologischer Taktik
AktuellesBeispiel:Phishing-WellealsBewerbungsmails. • https://www.polizei-praevention.de/aktuelles/bewerbungsmail-mit-schadsoftware-im-anhang.html
Hence, thecybertrainingmarketisshowingsteepgrowth. Yearly spending on security awareness training for employees • 10bn Global corporate LMS 1market CAGR 2018-2023 +28% CBT 2securityawarenessmarketCAGR 2016-2019 +55% +20% CAGR 1bn “Security awareness training for employees is the most underspent sector of the cybersecurity industry” Cybersecurity Ventures, 2017 2014 2027 Sources: Gartner, Research & Markets, Markets and Markets. 1. Learning Management Systems 2. Computer-basedtraining
Praxisbeispiel: Inzidentelles Lernen • Inzidentelles Lernen • Findet außerhalb klassischer Lehrumgebungen statt • Erfolgt vielmehr „beiläufig“ im privaten oder beruflichen Umfeld • Ad-hoc-Feedback ermöglicht dabei iteratives/effektives Lernen • Beispiel: Sprachreise • Sprachschüler setzt sich neuem regionalen Umfeld aus • Durch Interaktion mit Menschen/Kultur lernt er Sprache kennen • Die Sprache wird kontextuell („am Objekt“) verinnerlicht
Praxisbeispiel: Nudging • Nudging • Kleine lenkende „Stupser“, die Menschen freiwillig zu erwünschten Handlungen bewegen • Handlungen werden nicht durch Verbote/Gebote, sondern motivational durch Emotionen/unbewusste Prozesse initiiert • Beispiel: Platzierung von Speisen am Buffet • Wird an einem Kantinenbuffet Obst erhöht in Griffnähe, Gebäck aber weiter hinten präsentiert, so wird öfter zum Obst gegriffen • Ein hinter dem Buffet platzierter Spiegel hat denselben Effekt • Kantinengäste bilden so gesunde Ernährungsgewohnheiten
Praxisbeispiel: Gamification • Gamification • Anwendung spieltypischer Elemente in spielfremden Kontexten • Verhalten wird durch spielerische Elemente hervorgerufen • Motivation ermöglicht Gewohnheitsveränderungen • Beispiel: Schrittwettbewerb „Global Corporate Challenge“ • 2015 traten in D 80.000 Mitarbeiter in Teams gegeneinander an • Team mit den meisten Schritten nach 100 Tagen gewann • Mitarbeiter bildeten so gesunde Bewegungsgewohnheiten
Gamification – spielendleicht. ErwünschteVerhaltensweisendefinieren Dem Ganzeneinen Sinn geben (Testen und) Feedback geben Belohnen und informieren Sichtbarmachen! Beispiel:
Unsere eLearning-Module decken alle relevanten Awareness-Bereiche ab. Spam & Phishing Grundlagen der Cybersicherheit • Hintergrundinfos & Beispiele zu jedem Modul Spear-Phishing (Social Hacking) Kollaborations- & Remote-Tools • Praktische Anleitungen & Tricks Passwort- Sicherheit Malware, Ran-somware & Co Social Media und Messaging Smartphone-Sicherheit • Abschließendes Quiz zur Kontrolle des Lernerfolgs Datenschutz/ DSGVO Basics Datenträger-Sicherheit
Ein simulationsbasiertes Spiel istAusgangspunktfür den User.
Mit unserem Dashboardwird Awareness messbar. Messbare Erfolge Öffnungs-, Klick- und Eingabe-Quoten auf einen Blick. Identifikation der gefährlichsten Taktiken. Fortschrittsübersicht der Mitarbeiter im E-Learning. Schutz der Persönlichkeit Auswertung der Klickraten etc. nur in aggregierter Form (auf Wunsch kann z.B. nach Abteilungen geschnitten werden). „Risikofreies“ Umfeld für Ihre Mitarbeiter. Klare Handlungsempfehlungen Ableitung der individuell sinnvollsten nächsten Schritte. Empfehlung bezüglich der Frequenz einer kontinuierlichen Bewusstseinsschaffung im Arbeitsalltag.
Unser Plugin für Outlook/Office 365 stärkt die Reporting-Kultur und entlastet die IT.
Verschiedenste Angriffsszenarien und Vektoren werden veranschaulicht. Beispiele s.mueller@beispielfirma.de-server.info
Unsere Phishing-Templates sind realistisch und an aktuellsten Angriffen orientiert. Beispiele t.kerner@beispielfirma.de-server.info http://beispielfirma.de-server.info/impressum coehn-willmann.de-server.info mailto: t.kerner@beispielfirma.de-server.info coehn-willmann.de-server.info
Unser Reporting lässtsichdirekt in die Kommunikationeinbinden. Hintergründe erfolgreicher Angriffe werden noch einmal praktisch aufbereitet
AlseinzigerAnbietererhebenwir das Mitarbeiterverhalten anonym – nichtanonymisiert. ÜblicherProzess Mitarbeiter- daten Server (Pseudo- nomysierung) Versand durch Gesamtsystem Tracking Klickdaten Speicherung (pseudonymisiert) Auswertung Reporting (aggregiert) Zuordnung theoretisch immer noch möglich @ Aufruf Infoseiten Mitarbeiter- daten Versanddurch getrenntes System Zuordnung (nahezu) ausgeschlossen Getrennte Auszählung Auswertung Reporting (aggregiert)
Wir bieten zwei grundsätzliche Leistungspakete an. Basic: Standardisierte Packages Automatisierte Simulation und Infomaterialien – Nutzung zugeschnittener Branchenpakete möglich. Pro: Individuelles Package Individuell angepasste Templates zur Imitation eines gezielten Angriffs auf ein spezielles Unternehmen. • Automatisiert auf das Unternehmen angepasste Mail-Templates unterschiedlicher Schwierigkeitsgrade (auf Basis von Branchenpaketen) – initialisiert durch den Kunden per Web-Tool • Individuelle Templates, spezifisch angepasst auf den konkreten Kontext und nach Wunsch des Kunden • Lernseiten zur Information der Mitarbeiter individualisiert und angepasst mit Kundenlogo und / -texten • Differenzierte Ausspielung und Reporting nach Organisationseinheiten, Standorten, Hierarchieebenen, o.ä. • Zugriff auf unsere E-Learning Module über unser proprietäres Learning Mgmt. Systems zur Nachhaltung des Lernerfolgs • Zugriff auf unsere E-Learning Module über unser proprietäres Learning Mgmt. Systems zur Nachhaltung des Lernerfolgs • Anpassung des E-Learning-Portals mit Kundenlogo • Auswertungen/Statistiken zur durchgeführten Kampagne • Auswertungen/Statistiken zur durchgeführten Kampagne • Zugriff auf Vorlagen zur internen Kommunikation, Awareness-Screensaver, Poster, u.v.m. • Zugriff auf Vorlagen zur internen Kommunikation, Awareness-Screensaver, Poster, u.v.m. • Phishing-Melde-Plugin für Outlook/Office365