Eine beliebte Maßnahme, Mitarbeiter:innen in Hinblick auf Phishing-Nachrichten zu sensibilisieren, sind simulierte Phishing Trainings. Aber vielen Unternehmen ist nicht bewusst, dass diese Maßnahmen nicht besonders effektiv sind und das Vertrauen der Mitarbeiter:innen in die Security Abteilung herabsetzen. Prof. Melanie Volkamer, Leiterin der SECUSO Forschungsgruppe am Karlsruher Institut für Technologie, Prof. Martina Angela Sasse, Professorin für Human-Centered Security an der Ruhr Universität Bochum, und Prof. Franziska Böhm, Professorin am Zentrum für Angewandte Rechtswissenschaften des Karlsruher Instituts für Technologie, haben diese simulierten Phishing Kampagnen evaluiert. Die Autorinnen kommen zu dem Schluss, dass simulierte Phishing-Trainings, die Sicherheitsprobleme minimieren, nicht gleichzeitig rechtskonform und aussagekräftig sein können. In Anbetracht der hohen Kosten und der negativen Auswirkungen für die Sicherheit des Unternehmens, das Vertrauen der Mitarbeiter:innen untereinander und das Vertrauen der Mitarbeiter:innen in das Unternehmen, empfehlen die Autorinnen, von diesen Kampagnen Abstand zu nehmen.

Bewusstsein schaffen, Wissen vermitteln, Wissen anwenden und eine Sicherheitskultur im Unternehmen etablieren - das sind die wichtigsten Aufgaben einer / eines Informationssicherheitsbeauftragten. Doch wie und mit welcher Priorität sollte man diese Maßnahmen angehen? Prof. Melanie Volkamer, Leiterin der SECUSO Forschungsgruppe am Karlsruher Institut für Technologie, und Benjamin Bachmann, Director Cyber Security bei EXXETA, sieben Handlungsempfehlungen zusammengefasst. Basierend auf wissenschaftlichen Erkenntnissen und praktischen Erfahrungen, sollen Informationssicherheitsbeauftragte damit einen Leitfaden haben, um Sicherheitsmaßnahmen in ihren Unternehmen umzusetzen. Der Fokus liegt dabei sowohl auf technischen Maßnahmen wie der Einrichtung eines funktionierenden Backup Systems, als auch auf organisatorischen Maßnahmen (z.B. Einführung eines Meldewesens im Falle eines Angriffs) und Empfehlungen zur Ausgestaltung der eigentlichen Security Awareness Maßnahmen. So sind zum Beispiel Security Maßnahmen dann am effektivsten, wenn mit einer Vielfalt von Medien und Formaten die unterschiedlichen Lernverhalten der Mitarbeiter:innen angesprochen werden. 

Zum diesjährigen Safer Internet Day (SID) war die SECUSO Forschungsgruppe mit verschiedenen Aktivitäten zu den Themen Fake Shops im Internet und Erkennen von Phishing Nachrichten vertreten. Beide Themen trafen auch in der Presse auf Resonanz. So interviewten SWR 4 und Radio Lotte Prof. Melanie Volkamer zum Thema Sicherheit im Netz. SWR 3 nahm die Cyberattacke auf ein Wasserwerk in Florida zum Anlass, mit Frau Prof. Volkamer über die Sicherheit kritischer Infrastrukturen in Deutschland zu reden und BadenTV interviewte Frau Prof. Volkamer und Herrn Dr. Mayer zum Phishing Master Game. Nach dem SID ist vor dem SID - in diesem Sinne bleiben unsere Aktionen natürlich auch weiterhin verfügbar!

Together for a better internet – das ist nun schon zum 18. Mal das Motto des Safer Internet Day. Der Safer Internet Day (SID) ist ein von der Europäischen Union initiierter weltweiter Aktionstag. Die Forschungsgruppe SECUSO des KIT nimmt diesen Tag zum Anlass, um mit verschiedenen Formaten auf die Themen Phishing und Fake Shops aufmerksam zu machen, so z.B. mit einem Phishing Shooting Game einem NoPhish-Quiz oder einer FAQ zum Thema Fake Shops.