NoPhish Konzept: Awareness-/Schulungs-/Trainingskonzept zum Thema Phishing und andere betrügerische Nachrichten
Internetbetrüger nutzen verschiedene Strategien, um Ihnen und/oder Ihrem Unternehmen zu schaden. Eine beliebte und weit verbreitete Methode ist es, Ihnen Nachrichten mit betrügerischen Inhalten zu schicken. Dabei können die Nachrichten auf unterschiedliche Art und Weise gefährlich sein. Die Nachricht kann Sie auffordern Überweisungen zu tätigen, (kostenpflichtige) Anrufe zu tätigen oder die Nachricht enthält gefährliche Links und/oder gefährliche Anhänge. Dabei können die Nachrichten in Form von E-Mails oder aber auch über jegliche andere Nachrichtenform verschickt werden. Im Fall von gefährlichen Links in E-Mails spricht man oft von Phishing-E-Mails.
"Ich bin der Forschungsgruppe SECUSO am KIT in Karlsruhe besonders dankbar, denn sie stellen sehr gute Awareness-Materialien zur Verfügung, um sich gegen Betrüger im Internet zu schützen." (Arne Schönbohm, Präsident des BSI)
Worum geht es in unserem Konzept?
Um die Angriffsform 'betrügerische Nachrichten' besser zu verstehen und zu lernen, wie man sich schützen kann, haben wir Awareness-, Schulungs- und Trainingsmaßnahmen entwickelt. Das Konzept umfasst vier Themenbereiche:
- Einführung in das Thema
- Erkennung von unplausiblen, betrügerischen Nachrichten
- Erkennung von Nachrichten mit gefährlichen Links (inkl. Finden der URL hinter dem Link, Aufbau der URL und Tricks der Angreifer)
- Erkennung von Nachrichten mit gefährlichen Anhängen (inkl. Finden des Formats der Datei, Liste von besonders gefährlichen Dateiformaten und Tricks der Angreifer)
Mit der Entwicklung des NoPhish Konzept wurde an der TU Darmstadt begonnen. Dies geschah u.a. innerhalb des vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft geförderten Projekts KMU Aware und im Rahmen des vom Bundesministerium für Bildung und Forschung geförderten CRISP Projekts. Das Konzept wiederum hat auf Forschungsarbeiten rund um die NoPhish App aufgebaut. Die verschiedenen Maßnahmen sowie das Konzept werden nach wie vor evaluiert und auf Basis der Ergebnisse weiter entwickelt. Außerdem werden neue Maßnahmen erarbeitet. Derzeit wird die Forschung rund um das NoPhish Konzept unterstützt durch Mittel aus dem Subtopic Engineering Secure Systems der Helmholtz Gemeinschaft (HGF) und durch KASTEL Security Research Labs.
Hier finden Sie eine kurze und eine ausführlichere Beschreibung des Konzept als pdf.
Wie wurde das Konzept umgesetzt?
Das NoPhish Konzept wurde in unterschiedliche Maßnahmen implementiert. Diese sind unterschiedliche detailliert. Weitere Informationen zur Anwendung finden Sie hier.
- Infokarte - mit den wichtigsten Regeln zur Erkennung von Phishing und anderen betrügerischen Nachrichten im Hosentaschen-Format
- Poster - mit den wichtigsten Regeln zur Erkennung von Phishing und anderen betrügerischen Nachrichten zum Aufhängen im Büro oder zentralen Orten
- Challenge Poster - mit verschiedenen Formen von (betrügerischen) Nachrichten und der Frage: Ist diese Nachricht vertrauenswürdig? Mit Hilfe eines QR-Codes kann man diese Frage beantworten und landet dann auf einer Seite mit der Auflösung und weiteren Tipps zum Erkennen von Phishing und anderen betrügerischen Nachrichten.
- Videos - mit einer allgemeinen Einführung ins Thema, den wichtigsten Regeln und anschaulichen Beispielen. Das alles haben wir gemeinsam mit Alexander Lehmann in unseren drei fünf-minütigen NoPhish-Erklärvideos zusammengestellt.
- Flyer - mit einer allgemeinen Einführung ins Thema und den wichtigsten Regeln und anschaulichen Beispielen
- Schulungs-und Trainingsunterlagen - alles rund ums Thema betrügerische Nachrichten mit vielen Beispielen und weiterführenden Informationen zum Selbststudium oder als Ausgangspunkt für eine Verbreitung des Wissens z.B. durch Vorträge im eigenen Unternehmen. Hierfür bieten unsere Schulungs- und Trainingsunterlagen die ideale Grundlage. Diese Unterlagen enthalten auch Übungsaufgaben.
- KIT Schulung - Für Personen am KIT gibt es auch eine leicht angepasste Version. Hier werden explizit Verweise auf Institutionen des KIT vermittelt. Die aktuellste Version ist für Personen mit KIT-Account über das interne ILIAS abrufbar.
- Quiz - Selbsttest Quiz zum Thema "Erkennen betrügerischer Nachrichten"
- Online-Spiel - "Phishing Master", das etwas andere Serious Game zum Erkennen betrügerischer Nachrichten
- STAR, ein humanoider Roboter, der betrügerischen Nachrichten interaktiv mit Nutzern bespricht. Ein Video eines möglichen Ablaufs finden Sie hier.
Hinweise:
- Hinweise zu verschiedenen Nutzungsszenarien und -rechten finden Sie hier.
- Die meisten Empfehlungen sind nicht absolut, da das Internet sehr komplex ist. Daher werden Sie in dieser Einheit häufig Begriffe wie ‘wahrscheinlich’, ‘sehr wahrscheinlich’, ‘potentiell möglich’ lesen. Die Empfehlungen sollen als solide Entscheidungshilfe dienen, betrügerische Nachrichten zu erkennen.
- Die verwendeten (potentiell) betrügerischen Nachrichten sind entweder direkt aus betrügerischen Nachrichten, die im Umlauf waren, entnommen oder an diese Nachrichten angelehnt.
- Die verwendeten gefährlichen Webadressen sollen lediglich als Beispiele dienen. Im Einzelfall kann es jedoch sein, dass die verwendeten Wer-Bereiche direkt von dem imitierten Unternehmen selbst registriert worden sind, um Betrugsversuche zu unterbinden, oder aber von Einzelpersonen oder Unternehmen registriert worden sind, die damit jedoch keinerlei Betrug beabsichtigen.
Veröffentlichung
- Better Together: The Interplay Between a Phishing Awareness Video and a Link-centric Phishing Support Tool
Berens, B.; Schaub, F., Mossano, M.; Volkamer, M.
2024, Mai Conference on Human Factors in Computing Systems (CHI 2024), Honolulu, Hawai'i, USA, 11.-16.05 Mai 2024 - Taking 5 minutes protects you for 5 months: Evaluating an anti-phishing awareness video
Berens, B. M.; Mossano, M.; Volkamer, M.
2024. Computers & Security, 137, Art.-Nr.: 103620. doi:10.1016/j.cose.2023.103620 - The Phishing Master Anti-Phishing Game
Dietmann, H.; Länge, T.; Matheis, P.; Pawelek, A. A.; Berens, B.; Mossano, M.; Veit, M.; Mayer, P.; Volkamer, M.
2022, Dezember 8. Annual Computer Security Applications Conference (ACSAC 2022), Austin, TX, USA, 5.–9. Dezember 2022 - Phishing awareness and education – When to best remind?
Berens, B. M.; Dimitrova, K.; Mossano, M.; Volkamer, M. 2022. Symposium on Usable Security and Privacy (USEC),San Diego, CA, April 23, 2022 - NoPhish-Challenge-Karten – Evaluation in der Praxis
Aldag, L.; Berens, B.; Burgdorf, M.; Lorenz, A.; Thiery, M.-C.; Volkamer, M. 2021. Datenschutz und Datensicherheit - DuD, 45 (11), 721–726. doi:10.1007/s11623-021-1523-1 - Evaluation der interaktiven NoPhish Präsenzschulung
Berens, B.; Aldag, L.; Volkamer, M. 2021. Mensch und Computer 2021 Workshopband. - An investigation of phishing awareness and education over time: When and how to best remind users.
Reinheimer, B. M.; Aldag, L.; Mayer, P.; Mossano, M.; Düzgün, R.; Lofthouse, B.; von Landesberger, T.; Volkamer, M. 2020. Proceedings of the Sixteenth Symposium on Usable Privacy and Security (SOUPS), 259–284, USENIX Association - Erklärvideo “Online-Betrug” – Nach nur fünf Minuten Phishing E-Mails nachweislich signifikant besser erkennen.
Volkamer, M.; Renaud, K.; Reinheimer, B.; Rack, P.; Ghiglieri, M.; Gerber, N.; Mayer, P.; Kunz, A. 2019. IT-Sicherheit als Voraussetzung für eine erfolgreiche Digitalisierung : Tagungsband zum 16. Deutschen IT-Sicherheitskongress, 307–318, SecuMedia Verlag, Gau-Algesheim - Phishing Detection: Developing and Evaluating a Five Minutes Security Awareness Video: Volkamer, M.; Renaud, K.; Reinheimer, B. M.; Rack, P.; Ghiglieri, M.; Mayer, P.; Kunz, A.; Gerber, N.
2018. Trust, Privacy and Security in Digital Business - 15th International Conference (TrustBus), Regensburg, Germany, September 5–6, 2018. Ed.: S. Furnell, 119–134, Springer, Cham - Don't be Deceived: The Message Might be Fake: Neumann, S.; Reinheimer, B.; Volkamer, M. 2017. Trust, Privacy and Security in Digital Business - 14th International Conference (TrustBus), Lyon, France, August 30-31, 2017, 199–214, Springer, Cham.
- NoPhish: Evaluation of a web application that teaches people being aware of phishing attacks: Kunz, A.; Volkamer, M.; Stockhardt, S.; Palberg, S.; Lottermann, T.; Piegert, E. 2016. 46. Jahrestagung der Gesellschaft fur Informatik - 46th Annual Meeting of the German Informatics Society, INFORMATIK 2016, Klagenfurt; Austria, 26th 2016 - 30th September 2016, 509–518, Gesellschaft für Informatik, Bonn
- Über die Wirksamkeit von Anti-Phishing-Training: Stockhardt, S.; Reinheimer, B.; Volkamer, M. 2015. Mensch und Computer 2015 Workshopband. Ed. A. Weisbecker, 647–655, Oldenbourg Wissenschaftsverlag, Stuttgart
- Teaching Phishing-Security: Which Way is Best?: Stockhardt, S.; Reinheimer, B.; Volkamer, M.; Mayer, P.; Kunz, A.; Rack, P.; Lehmann, D. 2016. 31st International Conference on ICT Systems Security and Privacy Protection - IFIP SEC 2016, Ghent, Belgium, May 30th - June 1st, 2016, 135–149, Springer, Cham.
- Learn To Spot Phishing URLs with the Android NoPhish App: Canova, G.; Volkamer, M.; Bergmann, C.; Borza, R.; Reinheimer, B.; Stockhardt, S.; Tenberg, R. 2015. Information Security Education Across the Curriculum (IFIP): 9th IFIP WG 11.8 World Conference, WISE 9, Hamburg, Germany, May 26-28, 2015: Proceedings, 87–100, Springer, Cham.
- NoPhish App Evaluation: Lab and Retention Study: Canova, G.; Volkamer, M.; Bergmann, C.; Reinheimer, B. 2015. NDSS Workshop on Usable Security (USEC), San Diego, California, February 8-11, 2015, 10 S., Internet Society, Reston, VA
- NoPhish: An Anti-Phishing Education App: Canova, G.; Volkamer, M.; Bergmann, C.; Borza, R. 2014. 13th International Workshop, STM 2017, Oslo, Norway, September 14–15, 2017: Proceedings. Ed.: Giovanni Livraga, Chris Mitchell, 188–192, Springer International Publishing, Cham.
Pressespiegel
<kes>, Android-News, ZwischenSeiten, lex-blog, Funkkolleg-Sicherheit, TURN ON, Polizei Hessen, <kes>, Deutschlandfunk, TÜV Rheinlandpfalz, Lehrerrundmail, mimikama.at (Österreich), App der Woche, Facebook Links des BSI, Facebook Links des Fraunhofer SIT, Online PC (Schweiz), Darmstädter Echo, Learnabit, BSI für Bürger, Sparkasse Darmstadt, Netzwerke der LOEWE-Forschung
Abschlussarbeiten
Masterarbeiten:
- Lisa Stiefvater (betreut von Prof. Dr. Melanie Volkamer und Benjamin Reinheimer): Analysing and comparing phishing education/awareness videos
- Katerina Dimitrova (betreut von Prof. Dr. Melanie Volkamer und Benjamin Reinheimer): Evaluation of the effectiveness of the Ilias training on fraudulent messages.
- Gamze Canova und Clemens Bergmann (betreut von Prof. Dr. Melanie Volkamer, Prof. Ralf Tenberg und Arne Renkema-Padmos): Development and Evaluation of a Phishing Education App.
Bachelorarbeiten:
- Antonia Gebhardt (betreut von Prof. Dr. Melanie Volkamer und Benjamin Reinheimer): Vergleich von verschiedenen Phishing Awareness Materialien – eine Effektivitäts- und Effizienzanalyse.
- Alexander Thiebes (betreut von David Kelm und Prof. Dr. Melanie Volkamer): Entwicklung einer Anti-Phishing Landing Page.
- Alexandra Kunz (betreut von Prof. Dr. Melanie Volkamer und Paul Gerber): Teachable Moments in der IT-Sicherheit - Klassifizierung und Anwendungsbereiche.
- Henning Stecher (betreut von Prof. Dr. Melanie Volkamer, Michaela Kauer und Prof. Dr. Ralph Bruder): Qualitative evaluation of a website for phishing education.
Ergänzende Tools
Es gibt Tools, die Sie dabei unterstützen, Links mit Hilfe des Erlernten einfacher zu beurteilen:
- TORPEDO - Erweiterung für das E-Mail-Programm Thunderbird, die Sie dabei unterstützt, gefährliche Links in E-Mails zu erkennen.
- QR-Code Scanner App - Android-App, die es ermöglicht, mit dem Smartphone QR-Codes zu scannen. Wenn in dem QR Code eine URL enthalten ist, wird die Webseite nicht direkt geöffnet, sondern die URL wird Ihnen zunächst zur Prüfung angezeigt.
Aktuelle Referenzanwender und Organisation, die auf unser Material verweisen (56)
- Behörden/Institutionen
- Bundeskanzleramt
- Bundesverwaltungsamt
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- United Nations African Union Mission in Darfur (UNAMID)
- Polizeipräsidium Einsatz in Baden-Württemberg
- Polizeipräsidium Südhessen
- Landesamt für Geoinformation und Landesvermessung Niedersachsen (LGLN)
- Verbraucherzentrale NRW e.V.
- Artilleriebataillon 295 der Bundeswehr
- Stadt Dessau-Roßlau
- Stadt Hamm
- Landkreis Marburg-Biedenkopf
- Stadtwerke Jena
- Amt für Gemeindedienst in der Evang.-Luth. Kirche in Bayern
- Landeshauptstadt Stuttgart
- Stadt Elmshorn
- Evangelische Landeskirche in Württemberg
- Stadtverwaltung Neuwied
- Landesverwaltungsamt Sachsen-Anhalt
- Informationssicherheitsbeauftragter der niedersächsischen Justiz
- Kriminalpolizeiinspektion Schwabach
- Hochschulen
- Karlsruher Institut für Technologie
- Eberhard Karls Universität Tübingen
- Ruhr-Universität Bochum
- Informations- und Mediendienste (ZIM) der Universität Duisburg-Essen
- Hochschule Koblenz
- Universität Würzburg
- Universität Kassel
- Technische Universität Braunschweig
- Hochschule Konstanz (HTWG)
- Fernuniversität Hagen
- Hochschule Worms
- Universität Bamberg
- Universität Mannheim
- FH Münster
- Universität Freiburg
- Universität zu Köln
- Pädagogische Hochschule Karlsruhe
- Technische Universität Darmstadt
- TU Dortmund
- Europa-Universität Viadrina
- Bergische Universität Wuppertal
- Universität Jena
- Universität Kassel
- Unternehmen
- Berliner Verkehrsbetriebe
- ASAP Holding GmbH
- HEAG
- Bayerische Gesellschaft für Innovation und Wissenstransfer mbH
- MARKANT Handels- und Industriewaren-Vermittlungs AG
- eligo
- Könitz Porzellan GmbH
- Lemo Maschinenbau GmbH
- AVW Unternehmensgruppe
- Bayern1 Radio
- Welivesecurity by ESET
- dvs.net IT-Service GmbH