security-awareness, training & co · phishing-simulationen: nicht überwachen, sondern schulen!...
TRANSCRIPT
Security-Awareness, Training & CoWie Firmen Ihre menschliche Firewall aktivieren können
Amin Motalebi, SoSafe GmbH
SoSafe: Cyber Security für Menschen.
Made with in Cologne.
25+ Mitarbeiter mit ganzunterschiedlichen Hintergründen• Cyber-Security• Software-Entwicklung• Grafikdesign• Wirtschaftsingenieurwesen• Marketing• Vertrieb
SoSafe – Überblick.
Wissenschaftliche Fundierung
TiefeBranchenverankerung
BreiteErfahrung in DACH
Kunden aus zahlreichen Industrien / Sparten, wie Handel, Industriegüter,
Stadtwerke/KRITIS, etc.
Kooperationen mit zahlreichen Branchenverbänden, Speaker-
Slots auf Messen, Artikel in Fachzeitschriften
Akademischer Expertenbeirat aus
führenden Institutionen der IT-Sicherheits-Forschung
Bundestagsfraktion
Der Nutzer istStartpunkt
der meistenCyber-Angriffe.
Und somit auch die letzte Verteidigungslinie.
156 MioPhishing-Mails werden
täglich versandt
Quellen: Symantec, McAfee, Verizon, Google/University of Florida
80% aller Mitarbeiter können differenziertePhishing-Mails nicht erkennen.
16 Miokommen durch
Spam-Filter
Filter
8 Miowerden geöffnet
Nutzer
68% der Mails sind jedenTag neu.
Phishing- und Social Engineering-Angriffe
werden immer häufiger und komplexer.
Quellen: Verizon, Mimecast, WIK
Phishing-E-Mails sind das
häufigste Einfallstor
92% aller Cyberangriffe starten
mit einer Phishing-E-Mail
92%SocialEngineering ist lukrativ
und kommt daher oft vor
74% der Unternehmen weltweit
werden mindestens einmal
jährlich Opfer einer gezielten SocialEngineering-Attacke
74%Die Angreifer geben sich
immer mehr Mühe
Gezielte Attacken wie Spear-
Phishing nehmen um über 50%
pro Quartal zu
>50%
Spektakuläre Phishing-Fälle
begegnen uns seit geraumer Zeit.
Das Prinzip ist nicht neu –
Nur die Kanäle haben sich geändert.
Der spanische Gefangene(18. Jhd.)
Die Gegenseite rüstet auf –
Beispiel: Dynamite Phishing.
▪ Polymorpher Schadcode Emotet verändert sich stetig selbst und ist schwerer zu entdecken
▪ „Dynamite Phishing“: zielgerichtete, aber doch großzahligeAngriffe
Klassische Awareness-Formate
sind ein guter Anfang…
Klassische Offline-Formate(z.B. Präsenzkurse)▪ Kosten-und zeitintensiv▪ Wenig flexibel▪ Schwer auf alle Mitarbeiter übertragbar
Kommunikations-kampagnen▪ Gehen in der Nachrichtenflut unter▪ Teilweise schwer übertragbar▪ Nutzen sich schnell ab
Die tagtägliche Umsetzung von Wissen in Handeln bleibt ein Problem
Quelle: James Clear (2017)
Was hat plastische
Chirurgie mit
Cybersecurity zu tun?
21 TageEs dauert (mind.)
um sich an ein
neues Gesicht zu
gewöhnen.
Wie bewegt man Menschen zur
Gewohnheitsveränderung?
NudgingÄnderung durch kleine „Stubser“ im Alltag, ohne Verbote oder Gebote zu verwenden
Inzidentelles Lernen
Änderung durch iteratives Lernen und Ad-hoc-Feedback in der realen Welt
Praxisbeispiel: Inzidentelles Lernen
Beispiel: Sprachreise▪ Sprachschüler setzt sich neuem regionalen Umfeld aus▪ Durch Interaktion mit Menschen/Kultur lernt er Sprache kennen▪ Die Sprache wird kontextuell („am Objekt“) verinnerlicht
Inzidentelles Lernen ▪ Findet außerhalb klassischer Lehrumgebungen statt▪ Erfolgt vielmehr „beiläufig“ im privaten oder beruflichen Umfeld▪ Ad-hoc-Feedback ermöglicht dabei iteratives/effektives Lernen
Praxisbeispiel: Nudging
Beispiel: Platzierung von Speisen am Buffet▪ Wird an einem Kantinenbuffet Obst erhöht in Griffnähe, Gebäck
aber weiter hinten präsentiert, so wird öfter zum Obst gegriffen▪ Ein hinter dem Buffet platzierter Spiegel hat denselben Effekt▪ Kantinengäste bilden so gesunde Ernährungsgewohnheiten
Nudging▪ Kleine lenkende „Stupser“, die Menschen freiwillig zu
erwünschten Handlungen bewegen▪ Handlungen werden nicht durch Verbote/Gebote, sondern
motivational durch Emotionen/unbewusste Prozesse initiiert
Was sind einfach Mittel zur
Anwendung im Bereich IT-Sicherheit?
Micro-E-Learnings Phishing-Simulationen
Awareness sollte ganzheitlich gedacht werden.
E-Learning-Suite
▪ 20 interaktive Module zu Security & Datenschutz
▪ Awareness-Videos▪ Durchgehende Storyline
Motivierende Inhalte
Simulation
▪ Realistische Attacken▪ Direkt am Objekt lernen▪ Laufende Sensibilisierung
über das ganze Jahr
Aktivierende Methodik
Toolbox
▪ Dashboard mit techn. und psychologischen KPIs
▪ Phishing-Alarm-Button▪ Mitarbeiter-Zertifikate
Hilfreiche Tools
DSGVO
„Snackable“ Content und durchgehende
Storylines können die Motivation stärken.
Clara und Jan
lösen Probleme
Jedes Modul
mit 5-7 Minuten
Bearbeitungszeit
Phishing-Simulationen:
Nicht überwachen, sondern schulen!
Versand von E-Mails mit
typischen AngriffsszenarienDie Mitarbeiter erhalten E-Mails, wie sie
auch von echten Hackern verschickt
würden – dabei werden sie zum Klicken
von Links oder dem Download von
Dateien angeregt.
Sofortiges Feedback mit
Hinweisen zur konkreten E-MailKlickt ein Nutzer auf einen der Links, öffnet
sich ein Browserfenster und er erhält
differenzierte Hinweise, an denen er die E-
Mail als Phishing-Versuch hätte
identifizieren können.
Analyse der Anfälligkeit des
UnternehmensDas Unternehmen erhält Informationen
zur Anfälligkeit seiner Mitarbeiter – auf
aggregierte/anonyme Weise. Dies kann
im Dialog mit weiteren Maßnahmen
genutzt werden.
Bei systematisch und realistisch erstellten
Phishing-Mails...
Identität
Motiv
KontextPsychologische Mechanismen
Technischer Vektor
Versch. Login-Masken (Google Docs, Dropbox, etc.)Anhänge/Malware
BeruflichFreizeit/Hobby
Persönlich/PrivatÖffentlich
GeldDatensätze
GeschäftsgeheimnissePersönliche Motive
DruckGierVertrauen/HilfsbereitschaftAnerkennungAngstLob/SchmeichelnFlirtNeugier
Adress-SpoofingEchte Absender-Domain
Zusätzliche Differenzierung nach: Funktion des Empfängers Grad der Individualisierung Schwierigkeitsgrad Sprache
… sind die Ergebnisse sind z.T. dramatisch.
Quelle: SoSafe Kundenprojekte 2018
Warum ist das so einfach?
~18% durchschnittliche
Klickrate
74% Eingaben auf
Fake-Login-Seiten
Hilfsbereitschaft?
Lohnende Hilfsbereitschaft:
‚Nigerian Scam‘ bleibt ein Evergreen.
▪ Top 10 Mail in unseren Simulationen
▪ Entsprechende Betrugsfälle wurden bereits 1989 per Telex verschickt
▪ 390 Millionen Euro Schaden allein in Nigeria selbst (2016)
45 % Klickrate
Hilfsbereitschaft
Gier / Finanz. Anreiz
Autorität
Daher: CxO-Fraud wird uns noch
ein wenig länger begleiten…
Autorität
Druck / Angst
Vertrauen
Hilfsbereitschaft 83 % Klickrate
▪ Top 1 in unseren Simulationen
▪ Hoher Erfolg trotz zahlreicher Phishing-Anzeichen
▪ Zahlreiche weitergehende Angriffswinkel:
▪ Emotet-Anhang
▪ Password-Phishing
▪ Social-Engineering
Neugier
Auf die menschliche Neugier ist Verlass.
Vertrauen
Neugier / Interesse
50 % Klickrate
▪ Top 7 in unseren Simulationen
▪ Extrem simpler Aufbau
▪ Aufwand für den Phisher:
3Minuten
Key Success Factor Phishing:
Ausnutzung von Neugier in vertrautem Kontext.
80%
60%
30%
20% 20%
10% 10%
Quellen: Kundenprojekte Q3/2018-Q3/2019; Top 10 meistgeklickte Phishing-Mails
Häufigkeitsverteilung psychologischer
Faktoren in Top 10 in unseren
Simulationen
Durchschnitt: 18 %
Industrien im Vergleich.
12%
16% 16% 17% 17% 17%
23% 23%24%
Quelle: SoSafe Kundenprojekte 2018-2019, Initialwerte & mehrwöchige Tests
Die gute Nachricht:
Systematische Awareness zeigt ihre Wirkung.
-69 % in 6 Wochen
Quellen: SoSafe Kundenbeispiel
Und das ist wichtig: denn in Zeiten komplexer Angriffe…
…kommt es auf die Menschliche Firewall an.
Lassen Sie sich selber „phishen“!
Link zum Test: demo.sosafe.de
Amateure hackenSysteme,
Profis hackenMenschen.
“
”Bruce Schneier,
Experte fürCryptographieund Computersicherheit,
Harvard University
SoSafe GmbHEhrenfeldgürtel 76 50823 Köln