security-awareness, training & co · phishing-simulationen: nicht überwachen, sondern schulen!...

Security-Awareness, Training & CoWie Firmen Ihre menschliche Firewall aktivieren können

Amin Motalebi, SoSafe GmbH

SoSafe: Cyber Security für Menschen.

Made with in Cologne.

25+ Mitarbeiter mit ganzunterschiedlichen Hintergründen• Cyber-Security• Software-Entwicklung• Grafikdesign• Wirtschaftsingenieurwesen• Marketing• Vertrieb

SoSafe – Überblick.

Wissenschaftliche Fundierung

TiefeBranchenverankerung

BreiteErfahrung in DACH

Kunden aus zahlreichen Industrien / Sparten, wie Handel, Industriegüter,

Stadtwerke/KRITIS, etc.

Kooperationen mit zahlreichen Branchenverbänden, Speaker-

Slots auf Messen, Artikel in Fachzeitschriften

Akademischer Expertenbeirat aus

führenden Institutionen der IT-Sicherheits-Forschung

Bundestagsfraktion

Der Nutzer istStartpunkt

der meistenCyber-Angriffe.

Und somit auch die letzte Verteidigungslinie.

156 MioPhishing-Mails werden

täglich versandt

Quellen: Symantec, McAfee, Verizon, Google/University of Florida

80% aller Mitarbeiter können differenziertePhishing-Mails nicht erkennen.

16 Miokommen durch

Spam-Filter

Filter

8 Miowerden geöffnet

Nutzer

68% der Mails sind jedenTag neu.

Phishing- und Social Engineering-Angriffe

werden immer häufiger und komplexer.

Quellen: Verizon, Mimecast, WIK

Phishing-E-Mails sind das

häufigste Einfallstor

92% aller Cyberangriffe starten

mit einer Phishing-E-Mail

92%SocialEngineering ist lukrativ

und kommt daher oft vor

74% der Unternehmen weltweit

werden mindestens einmal

jährlich Opfer einer gezielten SocialEngineering-Attacke

74%Die Angreifer geben sich

immer mehr Mühe

Gezielte Attacken wie Spear-

Phishing nehmen um über 50%

pro Quartal zu

>50%

Spektakuläre Phishing-Fälle

begegnen uns seit geraumer Zeit.

Das Prinzip ist nicht neu –

Nur die Kanäle haben sich geändert.

Der spanische Gefangene(18. Jhd.)

Die Gegenseite rüstet auf –

Beispiel: Dynamite Phishing.

▪ Polymorpher Schadcode Emotet verändert sich stetig selbst und ist schwerer zu entdecken

▪ „Dynamite Phishing“: zielgerichtete, aber doch großzahligeAngriffe

Klassische Awareness-Formate

sind ein guter Anfang…

Klassische Offline-Formate(z.B. Präsenzkurse)▪ Kosten-und zeitintensiv▪ Wenig flexibel▪ Schwer auf alle Mitarbeiter übertragbar

Kommunikations-kampagnen▪ Gehen in der Nachrichtenflut unter▪ Teilweise schwer übertragbar▪ Nutzen sich schnell ab

Die tagtägliche Umsetzung von Wissen in Handeln bleibt ein Problem

Quelle: James Clear (2017)

Was hat plastische

Chirurgie mit

Cybersecurity zu tun?

21 TageEs dauert (mind.)

um sich an ein

neues Gesicht zu

gewöhnen.

Wie bewegt man Menschen zur

Gewohnheitsveränderung?

NudgingÄnderung durch kleine „Stubser“ im Alltag, ohne Verbote oder Gebote zu verwenden

Inzidentelles Lernen

Änderung durch iteratives Lernen und Ad-hoc-Feedback in der realen Welt

Praxisbeispiel: Inzidentelles Lernen

Beispiel: Sprachreise▪ Sprachschüler setzt sich neuem regionalen Umfeld aus▪ Durch Interaktion mit Menschen/Kultur lernt er Sprache kennen▪ Die Sprache wird kontextuell („am Objekt“) verinnerlicht

Inzidentelles Lernen ▪ Findet außerhalb klassischer Lehrumgebungen statt▪ Erfolgt vielmehr „beiläufig“ im privaten oder beruflichen Umfeld▪ Ad-hoc-Feedback ermöglicht dabei iteratives/effektives Lernen

Praxisbeispiel: Nudging

Beispiel: Platzierung von Speisen am Buffet▪ Wird an einem Kantinenbuffet Obst erhöht in Griffnähe, Gebäck

aber weiter hinten präsentiert, so wird öfter zum Obst gegriffen▪ Ein hinter dem Buffet platzierter Spiegel hat denselben Effekt▪ Kantinengäste bilden so gesunde Ernährungsgewohnheiten

Nudging▪ Kleine lenkende „Stupser“, die Menschen freiwillig zu

erwünschten Handlungen bewegen▪ Handlungen werden nicht durch Verbote/Gebote, sondern

motivational durch Emotionen/unbewusste Prozesse initiiert

Was sind einfach Mittel zur

Anwendung im Bereich IT-Sicherheit?

Micro-E-Learnings Phishing-Simulationen

Awareness sollte ganzheitlich gedacht werden.

E-Learning-Suite

▪ 20 interaktive Module zu Security & Datenschutz

▪ Awareness-Videos▪ Durchgehende Storyline

Motivierende Inhalte

Simulation

▪ Realistische Attacken▪ Direkt am Objekt lernen▪ Laufende Sensibilisierung

über das ganze Jahr

Aktivierende Methodik

Toolbox

▪ Dashboard mit techn. und psychologischen KPIs

▪ Phishing-Alarm-Button▪ Mitarbeiter-Zertifikate

Hilfreiche Tools

DSGVO

„Snackable“ Content und durchgehende

Storylines können die Motivation stärken.

Clara und Jan

lösen Probleme

Jedes Modul

mit 5-7 Minuten

Bearbeitungszeit

Phishing-Simulationen:

Nicht überwachen, sondern schulen!

Versand von E-Mails mit

typischen AngriffsszenarienDie Mitarbeiter erhalten E-Mails, wie sie

auch von echten Hackern verschickt

würden – dabei werden sie zum Klicken

von Links oder dem Download von

Dateien angeregt.

Sofortiges Feedback mit

Hinweisen zur konkreten E-MailKlickt ein Nutzer auf einen der Links, öffnet

sich ein Browserfenster und er erhält

differenzierte Hinweise, an denen er die E-

Mail als Phishing-Versuch hätte

identifizieren können.

Analyse der Anfälligkeit des

UnternehmensDas Unternehmen erhält Informationen

zur Anfälligkeit seiner Mitarbeiter – auf

aggregierte/anonyme Weise. Dies kann

im Dialog mit weiteren Maßnahmen

genutzt werden.

Bei systematisch und realistisch erstellten

Phishing-Mails...

Identität

Motiv

KontextPsychologische Mechanismen

Technischer Vektor

Versch. Login-Masken (Google Docs, Dropbox, etc.)Anhänge/Malware

BeruflichFreizeit/Hobby

Persönlich/PrivatÖffentlich

GeldDatensätze

GeschäftsgeheimnissePersönliche Motive

DruckGierVertrauen/HilfsbereitschaftAnerkennungAngstLob/SchmeichelnFlirtNeugier

Adress-SpoofingEchte Absender-Domain

Zusätzliche Differenzierung nach: Funktion des Empfängers Grad der Individualisierung Schwierigkeitsgrad Sprache

… sind die Ergebnisse sind z.T. dramatisch.

Quelle: SoSafe Kundenprojekte 2018

Warum ist das so einfach?

~18% durchschnittliche

Klickrate

74% Eingaben auf

Fake-Login-Seiten

Hilfsbereitschaft?

Lohnende Hilfsbereitschaft:

‚Nigerian Scam‘ bleibt ein Evergreen.

▪ Top 10 Mail in unseren Simulationen

▪ Entsprechende Betrugsfälle wurden bereits 1989 per Telex verschickt

▪ 390 Millionen Euro Schaden allein in Nigeria selbst (2016)

45 % Klickrate

Hilfsbereitschaft

Gier / Finanz. Anreiz

Autorität

Daher: CxO-Fraud wird uns noch

ein wenig länger begleiten…

Autorität

Druck / Angst

Vertrauen

Hilfsbereitschaft 83 % Klickrate

▪ Top 1 in unseren Simulationen

▪ Hoher Erfolg trotz zahlreicher Phishing-Anzeichen

▪ Zahlreiche weitergehende Angriffswinkel:

▪ Emotet-Anhang

▪ Password-Phishing

▪ Social-Engineering

Neugier

Auf die menschliche Neugier ist Verlass.

Vertrauen

Neugier / Interesse

50 % Klickrate

▪ Top 7 in unseren Simulationen

▪ Extrem simpler Aufbau

▪ Aufwand für den Phisher:

3Minuten

Key Success Factor Phishing:

Ausnutzung von Neugier in vertrautem Kontext.

80%

60%

30%

20% 20%

10% 10%

Quellen: Kundenprojekte Q3/2018-Q3/2019; Top 10 meistgeklickte Phishing-Mails

Häufigkeitsverteilung psychologischer

Faktoren in Top 10 in unseren

Simulationen

Durchschnitt: 18 %

Industrien im Vergleich.

12%

16% 16% 17% 17% 17%

23% 23%24%

Quelle: SoSafe Kundenprojekte 2018-2019, Initialwerte & mehrwöchige Tests

Die gute Nachricht:

Systematische Awareness zeigt ihre Wirkung.

-69 % in 6 Wochen

Quellen: SoSafe Kundenbeispiel

Und das ist wichtig: denn in Zeiten komplexer Angriffe…

…kommt es auf die Menschliche Firewall an.

Lassen Sie sich selber „phishen“!

Link zum Test: demo.sosafe.de

Amateure hackenSysteme,

Profis hackenMenschen.

“

”Bruce Schneier,

Experte fürCryptographieund Computersicherheit,

Harvard University

SoSafe GmbHEhrenfeldgürtel 76 50823 Köln

info@sosafe.de