server-nutzer
Goto Top

Sensibilisierung für Phishing bzw. Malware per Mail

Hallo Leute.

Auf ntv las ich folgenden Artikel: https://mobil.n-tv.de/panorama/Kieler-Behoerden-fallen-auf-Fake-Mails-he ...

Phishing-Mails sind weit verbreitet und können großen Schaden anrichten - gerade in Behörden. Weil immer noch zu viele Menschen darauf hereinfallen, hat sich die Stadt Kiel ein ganz besonderes Sensibilisierungstraining ausgedacht. Mit erschreckendem Ergebnis.

14-28 % der Verwaltungsmitarbeiter öffneten/klickten bei den mehreren Testrunden auf die Anhänge/Links.

In meinem (Firmen)Umfeld würde ich auch auf eine so hohe Quote tippen und gemutmaßt besonders auch die Führung würde draufklicken... face-confused

Wenn Ihr einen vergleichbaren Sensibilisierungstest fahren wollen würdet, würdet Ihr da die Führung vorher einbeziehen und fragen?
Da die Testmails ja keinerlei Schadwirkung haben - außer ggf. Unmut "sich Ertappt" zu fühlen -, dürfte ein Negativfeedback der Führung ja eher gering ausfallen.

Kurz: Würdet Ihr ohne Leitungseinbeziehung als IT-Verantwortlicher eines Kleinbetriebes (ca. 15 MA und flachen Strukturen) solch einen Test durchführen?

Eure Meinung interessiert mich.

Beste Grüße und Danke für ein Feedback.
Jörg

Content-Key: 378038

Url: https://administrator.de/contentid/378038

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 23.06.2018 um 14:04:18 Uhr
Goto Top
Hallo Jörg,

kommt stark auf das Verhältnis an. Ich als externer Dienstleister mit mittlerem zweistelligen Kundenkreis, würde das ohne starkes Nachdenken bei 3 Kunden ohne Probleme durchziehen können - die sind allerdings schon sensibilisiert. Bei weiteren 4 ggf. unter Einbezug des kleinsten Kreises, beim Rest wäre mir das rechtliche und zwischenmenschliche Risiko zu hoch.

Daher kommt es stark drauf an wie du positioniert bist und die Leute ticken.

Viele Grüße,

Christian
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 24.06.2018 aktualisiert um 06:34:17 Uhr
Goto Top
Moin Jörg,

Ich würde die Leute nicht testen.

Ein Test ist eine Kontrolle und Kontrollen sind kein Zeichen des Vertrauens.

Ich würde die Leute an echten Beispielen schulen!

So mache ich das als IT-Verantwortlicher bei mir. Und ich sehe den Erfolg.

Ich zeige den Leuten, wie sie solche E-Mails erkennen (sogar wie man die Adressen im Header richtig deutet!).
Sie lernen bei mir, dass eine E-Mail, die an ihre Adresse gerichtet ist, sie aber nicht persönlich anspricht eine Gefahr sein kann, wenn ein Anhang, dran ist oder ein Link.

Das Feedback erkenne ich, da Leute mich bezügl. mancher E-Mail zur Sicherheit noch mal fragen (was ich immer begrüße). Und meistens ist deren Anfangsverdacht dann auch richtig. Je besser diese Erkennung wird, desto weniger Sorgen habe ich.

Ich vertraue meinen Leuten.

Für alles andere habe ich einen Virenschutz, der so eingestellt ist, dass E-Mails mit POTENTIELL gefährlichen Anhängen, sich in der Quarantäne verfangen. Wohl bemerkt, dass alle Anhänge mit Potential zum Gefährlich sein betroffen sind. Sie müssen nicht gefährlich sein, aber sie könnten.

Aktiver Code in einer E-Mail kommt bei mir so nicht durch.

Viele Grüße,
Andreas
Mitglied: Server-Nutzer
Server-Nutzer 24.06.2018 aktualisiert um 10:28:43 Uhr
Goto Top
Danke für Eure Kommentare.


Zitat von @beidermachtvongreyscull:

Ein Test ist eine Kontrolle und Kontrollen sind kein Zeichen des Vertrauens.

Ich würde die Leute an echten Beispielen schulen!

Den Ansatz finde ich gut. Allerdings fehlen mir da bei einer Schulung an echten Beispielen das Know how, nicht dass ich da beim Schulen was auslöse.

Ich würde mir also ein Testumfeld bauen mit z.B. zwei neu aufgesetzten PC mit Office, Mail & Co., welche an einem eigenen Router hängen, der widerum an einer expliziten Internetleitung hängt, oder wie? Separate Internetleitung hätte ich zur Verfügung.

Und wo bekomme ich - für mich einschätzbare - Beispiele her, ohne da Risiko zu schaffen für mein Firmenumfeld?

Dennoch würde ich dann nach Monaten einen solchen, oben beschriebenen Test ins Auge fassen. Quasi als Stufenplan.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 24.06.2018 um 10:38:40 Uhr
Goto Top
Zitat von @beidermachtvongreyscull:

Moin Jörg,

Ich würde die Leute nicht testen.

Ein Test ist eine Kontrolle und Kontrollen sind kein Zeichen des Vertrauens.

Sehe ich nicht so, es kommt drauf an, wie man es aufzieht. Man muss es nicht als Test auswerten - vielleicht nicht direkt öffentlich - sondern eher als Eröffnung. Klar, die Prangerwirkung muss ausgeschlossen werden und wie gesagt kommt das auf die Gesetztheit der Firma an.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 24.06.2018 um 20:45:16 Uhr
Goto Top
Ein Test ist eine Kontrolle und Kontrollen sind kein Zeichen des Vertrauens.

Falls dazu Deine Ansicht eine andere ist, akzeptiere ich das. Ich verstehe es eben nicht anders.

Nur eine Möglichkeit zum freiwilligen Selbsttest würde ich nicht als Kontrolle sehen. Alles andere lässt sich für mich schwierig nicht als Kontrollinstrument verkaufen.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 25.06.2018 um 07:31:43 Uhr
Goto Top
So wie ich das von Kunden im Selbstverständnis mitbekommen habe dient es vor allem der Sensibilisierung. Einige sehen es natürlich als Kontrolle, darum führte ich es oben auf den Status zurück.

Du kennst sicher auch die Diskrepanz zwischen denen die eine Firewall als Schutz sehen und denen die eine Firewall als unnötigen Aufwand betrachten.

Aber so gesehen kann alles bis hin zum Tacho als (selbst-)Kontrolle gesehen werden.