Im ersten Teil haben wir drei Tipps geteilt, wie Sie Phishing-Simulationen erfolgreich einführen. Heute folgen vier weitere Erfolgsfaktoren, die in der Praxis oft unterschätzt werden – und die wir aus unzähligen Projekten nur empfehlen können.
Entscheiden Sie: Wollen Sie ein Lagebild oder Gewohnheiten etablieren
Überlegen Sie, was Sie mit einer Phishing-Simulation erreichen möchten. Falls Sie lediglich einen Ist-Stand des Awareness-Niveaus erheben möchten, ist es ausreichend, über einen Zeitraum von drei bis fünf Wochen Ihre Mitarbeitenden jeweils mit drei bis vier Mails zu konfrontieren. Danach haben Sie genügend Datenmaterial zur Verfügung, um sich ein Lagebild zu machen und Maßnahmen abzuleiten.
Wollen Sie jedoch einen Lerneffekt und dauerhafte Gewohnheiten etablieren, sollte eine Phishing-Simulation längerfristig angelegt werden. Unsere Zahlen zeigen: Erst nach etwa sechs Monaten regelmäßiger Mails (rund drei pro Monat) setzt ein echter Trainingseffekt ein. Wir empfehlen Ihnen eine minimale Laufzeit von 12 Monaten, weil wir sehen, dass Organisationen danach gute Gewohnheiten etabliert haben, Phishing-Mails zu erkennen und abzuwehren. Dieser Effekt lässt nachweislich weniger stark nach, je ausdauernder zuvor mit einer Simulation trainiert wurde.
Kommunizieren Sie Zwischenstände
„Wie schneide ich eigentlich ab?“ „Wie schlägt sich meine Abteilung?“ „Wie machen wir uns als gesamte Organisation?“ – diese Fragen kommen früher oder später von den Mitarbeitenden. Etwa nach einem halben Jahr lohnt sich eine Zwischenbilanz zu kommunizieren. Beantworten Sie Fragen wie:
- Wie entwickelt sich unser Verhalten? Werden wir resilienter?
- Welche Szenarien waren besonders erfolgreich gegen uns?
- Welche Eigenschaften dieser Mails führen zu dem Erfolg – worauf müssen wir also zukünftig mehr achten?
- Was sind unsere Top 5-Abteilungen in der Phishing-Abwehr?
- Wo stehen wir im Branchenvergleich?
Sie werden merken, dass eine Phishing-Simulation die Chance bietet, dass diese Fragestellungen auf großes Interesse stoßen. Nutzen Sie dieses Interesse, indem Sie beispielsweise Webinare zu diesem Thema anbieten. Wir haben sehr gute Erfahrungen damit gesammelt, nicht nur diese Fragen zu beantworten, sondern in Webinaren auch Diskussionen dazu zuzulassen und Erfahrungen auszutauschen: Schaffen Sie über kommunikative Methoden Momente, in denen sich Teilnehmende öffnen und schildern, in welcher Situation sie auf eine Phishing-Mail wie reagiert haben. Diese Erkenntnisse sind für die gesamte Gruppe Gold wert und fördern eine aktive Sicherheitskultur – weit mehr als Zahlen alleine.
Wagen Sie den Perspektivwechsel
Ein kleiner Kniff mit großer Wirkung: Wenn Sie Ihre Mitarbeitenden in einem Webinar oder einer Schulung zum Thema Phishing versammelt haben: Wagen Sie den Perspektivwechsel und fragen Sie die Teilnehmenden: „Was glaubt Ihr, wie müsste eine Phishing-Mail aussehen, die in unserem Hause besonders viel Erfolg hätte?“
So verlassen sie die reine Opferrolle und reflektieren ihre eigene Verwundbarkeit. Sie setzen sich also implizit mit dem Charakter Ihres Hauses und kritisch mit den eigenen Sicherheitskonzepten auseinander. Dies hilft enorm im Prozess der Selbsterkenntnis und im Aufbau einer höheren Achtsamkeit.
Fügen Sie dieses gemeinsam entwickelte Szenario im Nachhinein zur Phishing-Simulation hinzu und geben den Teilnehmenden Rückmeldung dazu. Eine spannende, emotionalisierende Erfahrung für alle.
Wählen Sie Szenarien sorgfältig aus
Ob eine Phishing-Simulation in Ihrem Hause Erfolg hat oder nicht, hängt maßgeblich von den ausgespielten Szenarien und ihrer Qualität zusammen. Auch wenn es viel Aufwand sein kann: Prüfen Sie alle Szenarien, bevor Sie sie einsetzen und achten Sie auf folgende Fragen:
- Gibt es Red Flags, die auf keinen Fall im Rahmen einer Simulation thematisiert werden sollten? Dies können heiße Themen sein, die in Ihrer Organisation für Missstimmung sorgen – beispielsweise Bewertungsgespräche, Stellenabbau, Umstrukturierungen, Gehaltsprozesse, Umgang mit Abwesenheiten, Bonusprogramme etc. Verzichten Sie auf derartige Szenarien.
- In einem Startup gibt es andere Themen, andere Ansprachen und eine andere Tonalität als in einem Großkonzern oder einem Ministerium: Passen die Szenarien überhaupt in Ihre Organisation?
- Aktualität: Gibt es saisonale Szenarien (wie Geschenkgutscheine vor Weihnachten)? Sind die ausgespielten Szenarien aktuell? COVID-19-basierte Szenarien sind beispielsweise unpassend.
- Wie stark befördert ein Szenario den Prozess der Selbsterkenntnis? Hilft es Mitarbeitenden, sich selbst zu reflektieren, warum sie gegebenenfalls auf dieses Szenario hineingefallen sind?
- Werden in der von Ihnen genutzten Plattform alte Szenarien aussortiert und permanent durch aktuelle Phishing-Wellen ersetzt?
Das klingt alles nach viel Aufwand? Naja, etwas Handarbeit ist selbst bei durchautomatisierten Plattformen notwendig, wenn Sie möglichst viel Erfolg erzielen wollen. Wir helfen Ihnen jedoch dabei und stehen mit unserer jahrelangen Expertise gerne zur Verfügung. Lassen Sie uns ins Gespräch kommen, damit eine Phishing-Simulation in Ihrem Haus ein großer Erfolg wird.
Im dritten Teil dieser Serie erhalten Sie die finalen drei Tipps – er erscheint am 18. September.
