„Es war nur ein weiterer Phishing-Test“ – oder doch nicht?
„Der Preis für die bösartigste Firmen-E-Mail“ und „Der grausamste Streich, den man Mitarbeitern spielen kann“ sind nur einige der Schlagzeilen, die in den letzten Tagen aufgetaucht sind und die Phishing-Simulation verurteilen, die GoDaddy an seine Mitarbeiter geschickt hat.

Was ist hier also schief gelaufen?

Phishing-Simulations-E-Mails sind in den meisten Unternehmen Routine im Rahmen von Sicherheitsschulungen für Mitarbeiter. Warum stieß diese Simulation auf so heftige Kritik? War es der Inhalt der E-Mail, der fehlerhaft war? Der Zeitpunkt des Versands? Oder die Art und der Zeitpunkt des Feedbacks, das denjenigen gegeben wurde, die versagt haben?

In diesem Artikel analysiere ich die Schlüsselelemente des Phishing-Tests von GoDaddy – basierend auf den im Copper Courier genannten Fakten – und was wir daraus lernen sollten.

Die wichtigsten Erkenntnisse aus der GoDaddy-Phishing-Simulations-E-Mail

Es gibt drei wichtige Faktoren, die bei der Analyse dieser Phishing-Simulation zu berücksichtigen sind. Es ist wichtig zu sagen, dass keiner dieser Faktoren nur bei GoDaddy vorkommt und wir diese Praktiken schon bei mehreren Unternehmen und Schulungsanbietern gesehen haben:

1. Die E-Mail-Domäne – viel zu authentisch
Aus dem verfügbaren E-Mail-Screenshot geht hervor, dass die Simulation von einer godaddy.com-Domain gesendet wurde. CybeReady bekommt diese Anfrage oft – können wir Phishing-Simulationen von der „echten“ Firmen-Domain verschicken? Technisch ist es möglich, aber keinesfalls empfehlenswert, und hier ist der Grund dafür:

Hacker können Domains fälschen, aber es gibt gute Tools, um dies zu erkennen. Natürlich kann man von den Mitarbeitern erwarten, dass sie in die E-Mail-Header gehen und sich die IP des sendenden Servers oder SPF-Validierungen ansehen, aber das ist zu viel verlangt. Die Mitarbeiter erwarten zu Recht, dass eine E-Mail, die von einer firmeneigenen Domain aus versendet wird, einige Sicherheitsüberprüfungen durchlaufen hat. Die Erkennung von kompromittierten Firmen-E-Mail-Konten ist eine Aufgabe für Sicherheitsteams, nicht für Endbenutzer. Wenn Hacker in der Lage sind, eine E-Mail von einer internen Domain zu senden und am Mail-Relay/Gateway vorbeizukommen und in den Posteingängen der Mitarbeiter zu landen, liegt ein Sicherheitsrisiko vor – aber eines, von dem man nicht erwarten sollte, dass es von den Mitarbeitern erkannt oder gelöst wird.
Die Verwendung interner Domains für Phishing-Tests sendet auch die Botschaft, dass jede E-Mail eine Phishing-E-Mail sein kann. Das mag zwar technisch richtig sein, kann aber auch dazu führen, dass Mitarbeiter misstrauisch werden. Dies ist der Punkt, an dem Sicherheitsschulungen von effektiv und sinnvoll („business enabler“) zu potentiell schädlich – „business disabler“ – werden können. Eines der Ziele von Sicherheitstests ist es, normale Mitarbeiter in die Lage zu versetzen, angemessene Bedrohungen zu erkennen und abzuwehren. Nicht jede Bedrohung sollte auf die Schultern der Mitarbeiter gelegt werden.

2. Der E-Mail-Inhalt – der Kontext ist entscheidend

Der Inhalt in der E-Mail von GoDaddy wurde zum Hauptaugenmerk der meisten Kritiker dieses Fiaskos. Sie versprach einen 650-Dollar-Bonus und die allgemeine Botschaft lautete: „Auch wenn wir während unserer jährlichen Holiday Party nicht gemeinsam feiern können, möchten wir unsere Wertschätzung zeigen und einen einmaligen Holiday-Bonus von 650 Dollar auszahlen!“

Die Phishing-Simulation enthielt einen Zeitplan – „Um sicherzustellen, dass Sie Ihren einmaligen Bonus rechtzeitig zu den Feiertagen erhalten, wählen Sie bitte Ihren Standort aus und füllen Sie die Details bis Freitag, den 18. Dezember, aus.“ und eine implizite Drohung in Bezug auf den potenziellen Verlust – „Alle Einreichungen nach dem Stichtag werden nicht akzeptiert und Sie werden den einmaligen Bonus nicht erhalten.“

Im Allgemeinen ist der Inhalt selbst aus Schulungssicht recht gut. Sie ist als „echte“ Phishing-E-Mail formuliert, hat einen guten Köder und ist gut geschrieben. Die Betrachtung des Inhalts allein gibt jedoch nicht das vollständige Bild darüber wieder, ob dieser Inhalt hätte verwendet werden sollen oder nicht. Obwohl das ultimative Ziel jeder Sicherheitsschulung darin besteht, den Mitarbeitern etwas beizubringen, sollte bei der Auswahl der Inhalte immer etwas gesunder Menschenverstand zum Einsatz kommen, was zu weniger negativen Rückwirkungen führt.

Beim Versenden von Phishing-Simulationen ist es wichtig zu wissen, wer die Mitarbeiter sind, ob es im Unternehmen Entlassungen gegeben hat, wie die interne Kultur des Unternehmens ist usw. Inhalte sind nie neutral; sie werden von den Mitarbeitern immer auf der Grundlage mehrerer Faktoren interpretiert, und Sicherheitsteams sollten diese Faktoren berücksichtigen und an sie denken, wenn sie Phishing-Tests einsetzen.

3. Das Trainingsfeedback – zwei Tage zu lang

Dies bringt uns zum kritischsten Faktor eines effektiven (und fairen), Schulungsprogramms: die Nähe des Schulungsfeedbacks zu den Testergebnissen. Das Hauptproblem des GoDaddy-Phishing-Tests besteht darin, dass das Feedback zusammen mit dem „echten Training“ zwei Tage nach dem Versand der Simulation eintraf. Für uns Sicherheitsexperten mag das eine vernünftige Zeitspanne sein, aber für die Mitarbeiter war es viel zu lang.

Betrachten wir das Ganze mal aus der Perspektive eines Mitarbeiters, der auf die Verlockung hereinfällt: Sie kamen nach Hause zu ihrem Ehepartner, ihren Kindern oder Mama und Papa und teilten mit, dass sie einen Bonus von 650 Dollar von ihrem Arbeitsplatz erhalten haben! Meistens kann jeder eine gute Verwendung für zusätzliche 650 Dollar finden – es ist eine ziemlich aufregende und freudige Art, ein für die meisten Menschen herausforderndes Jahr zu beenden.

Diese Mitarbeiter sind nun also tief involviert und emotional mit dem „Bonus“ verbunden und gehen mit einem ganz anderen Gefühl über sich selbst und ihren Urlaub nach Hause. Vielleicht haben sie sogar auf dem Heimweg angehalten, um sich selbst oder ihren Lieben eine Kleinigkeit zu kaufen, weil sie mit dem versprochenen Bonus gerechnet haben! All das, um ein paar Tage später wieder ins Büro zu kommen und die wahre Situation zu entdecken, die ihnen sicherlich viel Verlegenheit und Frustration bereitet hat.

Und hier liegt das größte Problem mit diesem speziellen Phishing-Test – wäre die Reaktion über das Scheitern der Simulation sofort erfolgt (was in der Branche als „Just-In-Time-Training“ bezeichnet wird), wäre die Gesamtreaktion ganz anders ausgefallen.

„JIT-Training“ bedeutet im Zusammenhang mit Phishing-Simulationen typischerweise eine Landing Page, die sofort generiert wird, wenn Mitarbeiter die Test-E-Mail geöffnet/angeklickt haben. Sie informiert sie sofort darüber, dass sie auf eine Phishing-Simulation (und nicht auf einen echten Angriff) hereingefallen sind und zeigt ihnen idealerweise auch genau, was sie übersehen haben, zusammen mit Best Practices, um in Zukunft nicht mehr auf Phishing-E-Mails hereinzufallen. In diesem bevorzugten Szenario bleibt der „Fehler“ nur zwischen dem Mitarbeiter und der E-Mail, und das Feedback ist schnell und effektiv – was in der Regel zu Engagement und einer hohen Lernkurve führt.

Wenn es hier eine Lektion für alle Infosec-Führungskräfte und Awareness-Trainer gibt, dann ist es diese: Was auch immer Sie in Ihrem Trainingsprogramm tun, geben Sie den Mitarbeitern sofortiges Feedback. Dadurch wird die Lerneffektivität gesteigert, die Leistung der Mitarbeiter verbessert und eine positivere Sicherheitskultur entwickelt – eine, an der die Mitarbeiter gerne teilnehmen, anstatt Unmut, negative Presse und ein allgemeines Schulungsdesaster zu verursachen.