Achtung Phishing-Mails!
13.07.2021Wer eine Phishing-Mail erhält und auf den Link darin klickt, kann Cyber-Angreifern ein Einfallstor zur IT der Universität öffnen. Ein neues Projekt soll die Beschäftigten für diese Problematik sensibilisieren.
Der Mensch ist Angriffspunkt Nummer eins, wenn es um die Sicherheit der IT-Systeme von Behörden und Unternehmen geht. 92 Prozent aller Cyberangriffe starten mit einer Phishing-Mail – das sind E-Mails, in denen die Nutzerinnen und Nutzer aufgefordert werden, Passwörter preiszugeben oder auf Weblinks zu klicken. Tun sie das, kann das Tür und Tor für Cyberangriffe öffnen.
Fast 75 Prozent aller Nutzerinnen und Nutzer klicken auf mindestens eine von drei Phishing-Mails, die in ihren Mailboxen landen.
Diese beunruhigenden Zahlen haben, zusammen mit zahlreichen Vorfällen in bundesdeutschen Einrichtungen, die Universität Würzburg dazu veranlasst, ein Sicherheitstraining für Beschäftigte einzuführen, gekoppelt mit der zufälligen Ausspielung von Fake-Phishing-Mails. Das gibt das Rechenzentrum der Uni in seinem jüngsten Newsletter bekannt.
Wie das Sensibilisierungsprogramm abläuft
„Wir möchten mit Online-Trainingseinheiten gemeinsam mit Ihnen erreichen, dass Sie sich in unsicheren Situationen besser gewappnet fühlen“, sagt Matthias Funken, Leiter des Rechenzentrums. Kooperationspartner bei dem Projekt ist die SoSafe GmbH (Köln). Sie stellt die Trainingsplattform zur Verfügung.
Über den Projektzeitraum von drei Jahren werden in loser Reihenfolge und ohne Konzentration auf einzelne Bereiche der Uni in unregelmäßigen Abständen präparierte Mails an Beschäftigte versendet. Im Hintergrund arbeitet ein System, das das Öffnen der Mails erkennt und das dann reagiert, wenn auf die eingebetteten Links geklickt wird. In diesem Fall werden den Betroffenen didaktisch aufbereitete Lernmodule und Trainingsvideos angeboten, die sie möglichst durcharbeiten sollten.
Die Inhalte der Module sind praxisnah und motivierend gestaltet. Klickt jemand auf einen der Links, gelangt er auf eine entsprechende Lernseite im Browser. Neben einer kurzen Aufklärung lernt sie oder er, wie sich die Gefahr das nächste Mal besser erkennen lässt. Ein zusätzlicher Vorteil für alle Beschäftigten: Individuelle Zertifikate weisen die durchgearbeiteten Lernmodule und den Lernerfolg nach.
Persönliche Daten werden nicht erhoben
„Ganz wichtig ist dabei, dass wir keine persönlichen Daten erheben“, sagt Funken. Wer also im Einzelnen mal falsch klickt, wird durch das System nicht „verraten“. Das Rechenzentrum erhält lediglich Einblick in die Zahl der Öffnungen und Klicks im Lauf der Kampagne. Dabei kann es im Idealfall feststellen, dass die Nutzerinnen und Nutzer zunehmend sensibilisiert werden.
Das Ausspielen der präparierten Mails startet im Laufe des Juli 2021. In seinem Newsletter will das Rechenzentrum während der Projektdauer immer wieder Zwischenergebnisse vorstellen.
Wer allgemeine Fragen zur Lernplattform der SoSafe GmbH oder zu den geplanten Maßnahmen hat, findet hier einen Überblick: https://sosafe.de/faq/