Firewall im Kopf: Wie Phishing-Simulationen Risiken senken

Das Bundesamt für Cybersicherheit erhält täglich rund 350 Meldungen über Phishing-Attacken. Die Dunkelziffer ist hoch. Beim Phishing versuchen Kriminelle, mit gefälschten E-Mails an Passwörter und andere persönliche Informationen zu gelangen. Sie verleiten die Empfängerinnen und Empfänger dazu, auf einen infizierten Link zu klicken oder eine infizierte Datei zu öffnen. Der Schaden kann massiv sein. Das weiss auch Christoph Schwarz, Leiter ICT bei der GKGBE: «Als öffentlich-rechtliche Institution stehen wir unter besonderer Beobachtung. Unsere Reputation würde erheblich beschädigt, wenn vertrauliche Daten der Kirchenmitglieder entwendet werden oder unser Betrieb wegen Datenverlust stillsteht.»

Es kann jede und jeden treffen

Irren ist menschlich. Hereinfallen auf gefälschte E-Mails ebenfalls. «Man ist vielleicht unter Stress und schaut nicht genau hin, was man gerade anklickt», erklärt Christoph Schwarz. Bei Cyberangriffen ist der Mensch die grösste Schwachstelle. Wenn Mitarbeitende keine Firewall im Kopf haben, nützen die raffiniertesten Abwehrtechnologien nichts. Hier setzt Christoph Schwarz mit Präventionsmassnahmen an. Eine davon sind Phishing-Simulationen. Zwei Mal pro Jahr erhalten alle Mitarbeitenden der GKGBE ein E-Mail, das sie zum Klicken auf einen heiklen Link verleitet. «Die Ergebnisse entsprechen jeweils meinen Erwartungen», sagt der ICT-Leiter. Mitarbeitende, die auf die Fälschung hereingefallen sind, erhalten eine Schulung durch Expertinnen und Experten von SmartIT. Dabei werden sie befähigt, Phishing zu identifizieren. Sie lernen, solche Angriffe frühzeitig zu erkennen.

Kleiner Aufwand, fieser Köder

Für die Sensibilisierung der Mitarbeitenden für Cyberrisiken setzt die GKGBE auf einen Service von SmartIT. Die Institution erhält von ihrem ICT-Partner eine individuell zusammengestellte Phishing-Simulation inklusive Durchführung, Auswertung und Reporting. Dazu kommen Schulungen der User durch Security-Spezialistinnen und -Spezialisten. Dank dieses Services ist für Christoph Schwarz der Aufwand überschaubar: «Die Vorbereitung kostet mich rund eine Stunde. Ich verfasse z. B. einen Mailtext in meinem Stil und schicke ihn an SmartIT.» Ein Beispiel dafür? «Beim letzten Test simulierten wir eine Umfrage. Die Userinnen und User sollten voten, ob sie unsere Phishing-Simulationen sinnvoll finden.» Mit diesem ziemlich perfiden Köder reagiert Christoph Schwarz auf eine besorgniserregende Entwicklung: «Die Methoden der Cyberkriminellen werden raffinierter. Mit Hilfe von KI konstruieren sie Angriffe, die selbst für Profis schwer erkennbar sind.»

Ziel erreicht – und trotzdem zurück auf Start

Nach jeder Phishing-Simulation informiert die GKGBE ihre Mitarbeitenden über die «Trefferquote» – offen, ehrlich und ohne Schuldzuweisungen. «Das ist der Moment, wo ihnen die Wichtigkeit ihres riskanten Verhaltens bewusst wird», konstatiert Christoph Schwarz. Im Vergleich zu früheren Simulationen klicken heute deutlich weniger Userinnen und User auf riskante Links. «Das ist ein erfreuliches Resultat. Ausserdem wenden sich die Mitarbeitenden häufiger an uns, wenn sie einer E-Mail misstrauen: Öffnen oder nicht?» Die Sensibilisierung bleibe trotzdem ein Dauerthema, bekräftigt er: «Neue Mitarbeitende und Behördenmitglieder kommen dazu. Da heisst es wieder bei Null anfangen. Zum andern ist es völlig normal, dass unsere Leute nicht den ganzen Tag an potenzielle Attacken denken. Also erinnern wir sie immer wieder freundlich: Passt auf, was ihr tut!»