Im ersten und zweiten Teil haben wir bereits sieben Tipps vorgestellt, wie eine Phishing-Simulation in Ihrer Organisation zum Erfolg werden kann und nachhaltig die Sicherheitskultur stärken kann. Zum Abschluss dieser Serie folgen die letzten drei – und die haben es in sich.
Je individueller, desto besser
Die Zeiten, in der eine Mail gleichzeitig an alle Mitarbeitenden versandt wurde, sind vorbei. Denn dies hatte mehrere Nachteile. In einem Firmenchat macht so eine Mail schnell die Runde. Obwohl der Austausch über das Thema natürlich begrüßenswert ist, werden Ihre Messwerte weniger belastbar.
Zudem kitzelt dieses eine Szenario nur einen Bruchteil der möglichen Reaktionen Ihrer Mitarbeitenden hervor. Vielleicht reagieren sie auf andere Ansprachen ganz anders? Das ist wie einen Raum zu erkunden, indem man nur durch das Schlüsselloch schaut.
Je mehr Szenarien und Ansprachen Sie verwenden, desto mehr Erkenntnisse gewinnen sie und desto eher nehmen Ihre Mitarbeitenden die Simulation als Bildungsmaßnahme mit Substanz wahr. Individuelle Mails zu individuellen Zeitpunkten sind empfehlenswert.
Moderne Plattformen bieten spannende Ansätze, die Ihre Mitarbeitenden individuell herausfordern: beispielsweise in Abhängigkeit ihrer Position, ihres Verhaltens in der Simulation, ihrem Standort, ihrer Sprache, ihrer Position im Organigramm usw. Auch hier hilft immer häufiger KI, Ihre Mitarbeitenden so zu trainieren, dass niemand über- oder unterfordert wird.
Gamification ist gut – Phishing ist aber kein Spiel
Ihre Phishing-Simulation mit Gamification-Elementen anzureichern, kann einen zusätzlichen Motivationsboost geben. Ranglisten von Personen oder Abteilungen helfen. Je nach eingesetzter Plattformen können Sie auch Badges, Levels oder ähnliches vergeben. Vermeiden Sie jedoch „Wall of Shame“-Listen. Auch eine vollständige Listen sind Walls of Shames, da sie auch die letzten Plätze offenbaren. Setzen Sie lieber auf positive Anreize: nutzen Sie beispielsweise Top 10-Listen.
Natürlich können Sie Abteilungen oder Mitarbeitende auch incentivieren. Vermeiden Sie jedoch, dass Ihre Mitarbeitenden die Phishing-Simulation als Spiel ansehen, nach dessen Ende sich alle wieder zurücklehnen und in die alten Verhaltensweisen zurückfallen können. Kommunizieren Sie klar, dass die eigentliche Herausforderung die Mails außerhalb der Simulation sind.
Bieten Sie Anti-Phishing-Coachings an
Insbesondere in lang laufenden Phishing-Simulationen werden Sie feststellen, dass es Bereiche oder Personen gibt, deren Fortschritte in der Erkennung und Abwehr von Phishing-Mails sehr viel langsamer sind. Aus unserer Sicht sind dort zwei Dinge wichtig:
- Bieten Sie an diesen Stellen besondere, individuelle Unterstützung an, damit sich Personen verbessern können.
- Finden Sie heraus, was die Gründe sind, dass der Fortschritt an diesen Stellen gebremst ist.
Beides kann wunderbar in persönlichen Gesprächen am Telefon, per Videocall oder direkt geschehen. Wir empfehlen dazu, externe Phishing-Coaches einzusetzen, da diese unvoreingenommen an das Thema herangehen und eine gewünschte Anonymität gewahrt bleiben kann. Wir beginnen solche Gespräche oft mit einfachen Fragen: „Erinnern Sie sich an eine Mail aus der Simulation? Was hat dazu geführt, dass Sie geklickt haben?“ Die Erkenntnisse aus diesen Gesprächen sind ein wahrer Schatz, weil sie viel über Rahmenbedingungen offenbaren, die dazu beitragen, ob Personen sicherheitswahrend agieren können oder nicht.
Oftmals sind es nämlich andere Dinge als die persönliche Motivation oder die Lernbereitschaft, die Menschen so handeln lassen, wie sie es tun. Das im Workload, in Sprachbarrieren, im Technikverständnis, in der technische Ausstattung etc. begründert sein. Diese Einblicke gewinnen Sie in keinem Phishing-Simulations-Dashboard. Abschließend geben unsere Coaches Ihren Mitarbeitenden Tipps mit auf den Weg, wie sie zukünftig ganz konkret die geschilderten Situationen noch besser meistern können. Unsere Erfahrung zeigt: Individuelle Anti-Phishing-Coachings sind kein Nachsitzen. Stattdessen fühlen sich Mitarbeitende durch die individuelle Ansprache und das Zuhören unserer Coaches gewertschätzt.
Finden Sie das Anti-Phishing-Coaching interessant? Wie fanden Sie unsere zehn Tipps? Wir können Ihnen versichern: Die Tipps zeigen nur einen Bruchteil unserer Erfahrung auf. Haben Sie Interesse, eine Phishing-Simulation mit uns durchzuführen oder sich dahingehend beraten zu lassen? Wir freuen uns auf Ihren Kontakt.
