Selbst gut geschulte Mitarbeiter fallen auf Phishing herein: IPCOS

Das musste IPCOS, ein Anbieter von Ingenieurdienstleistungen, im August 2020 am eigenen Leib erfahren.

Nachdem ein Mitarbeiter Opfer einer Phishing-Attacke geworden war, erhielten innerhalb kürzester Zeit zahlreiche Kollegen verdächtige E-Mails – augenscheinlich versendet vom kompromittierten Account. Der Vorfall wurde jedoch frühzeitig erkannt, der Angreifer gestoppt, bevor Daten entwendet werden konnten, und der Schaden blieb gering – obwohl es deutlich schlimmer hätte kommen können.

„Zum Glück schrillten damals die Alarmglocken im Management“, berichtet Bjorn Vandecraen, APC Technology Developer bei IPCOS. „Uns wurde schnell bewusst, dass unsere Mitarbeiter mehr Information und Orientierung benötigten. Kurz darauf wurden wir von Phished kontaktiert – und schon bald starteten wir mit regelmäßigen Simulationen, um unsere Mitarbeiter in Cybersecurity zu schulen.“

So schnell wie es schiefging, ging es auch wieder bergauf: Innerhalb von nur vier Monaten erzielte IPCOS deutliche Fortschritte in Sachen Sicherheitsbewusstsein. Bei der ersten Messung reagierten noch 45 % der Mitarbeiter falsch – im Februar 2021 waren es nur noch 13 %. „Und das, obwohl die Schwierigkeit der Simulation deutlich zugenommen hatte“, erklärt Vandecraen. „Es wurde mit Informationen gearbeitet, die nur internen Personen bekannt sein konnten – was natürlich Vertrauen suggerierte. Trotzdem haben viele die richtige Entscheidung getroffen und nicht reagiert.“

Während der ersten Messung wurden die Mitarbeiter übrigens vorab darüber informiert, dass eine Phishing-Simulation stattfinden würde. Der Beweis, dass jeder – unabhängig von Rolle oder Qualifikation – auf Phishing hereinfallen kann? „Ich denke, es hängt stark mit Bewusstsein zusammen“, sagt Peter Van Overschee, CEO von IPCOS. „Das Thema war bekannt, aber nie präsent. Heute wird wesentlich mehr darüber gesprochen, und jede E-Mail wird mit deutlich mehr Vorsicht behandelt.“

„Nach dem ersten Schockmoment ist allen klar geworden, welche Konsequenzen Phishing haben kann“, so Van Overschee. „Gleichzeitig sorgen wir dafür, dass unsere Mitarbeiter das nötige Selbstvertrauen behalten, um mit legitimen Nachrichten souverän umzugehen. Das Letzte, was wir wollen, ist, dass E-Mails aus übertriebener Vorsicht gar nicht mehr geöffnet werden. Deshalb verfolgen wir einen positiven Ansatz: Wer in eine Simulation tappt, wird nie bloßgestellt.“

„Dieser Ansatz hilft, das Thema offen anzusprechen und dabei motivierend zu bleiben“, ergänzt Vandecraen. „Wir kommunizieren zum Beispiel Durchschnittswerte pro Abteilung – aber alle weiteren Daten bleiben anonym, selbst für das Management. Unsere Botschaft ist: Es gibt Raum für Verbesserung, aber keine Schuldzuweisung. Das hat für sehr positives Feedback gesorgt.“

Neben der Berichterstattung waren gerade die praxisnahen Simulationen ein echter Augenöffner. Van Overschee: „Wir hatten auch schon mit CEO-Fraud zu tun – jemand gab sich als ich aus, nutzte Social Engineering und Typosquatting (z. B. ‘Ipcas’ statt ‘IPCOS’), um hohe Geldsummen zu ergaunern. Damals war der Schock groß – aber anscheinend reicht das menschliche Gedächtnis nicht aus, um die nötige Wachsamkeit langfristig aufrechtzuerhalten.“

„Durch die regelmäßige Konfrontation mit potenziellen Phishing-Angriffen stellen wir heute fest, dass alle deutlich wachsamer sind und Gefahren schneller erkennen“, so Van Overschee weiter. „Zwei-Faktor-Authentifizierung und Aufklärung gab es zwar schon – aber es ist der kontinuierliche Trainingskontakt, der den größten Unterschied macht.“

Nach mehreren realen Phishing-Vorfällen entschied sich IPCOS, ein strukturiertes Trainings- und Coachingprogramm für alle 70 Mitarbeiter zu implementieren. Bereits nach vier Monaten Nutzung der Phished-Plattform zeigte sich ein deutlich gesteigertes Sicherheitsbewusstsein – und die Zahl erfolgreicher Phishing-Versuche ging stark zurück.

IPCOS setzt auf einen positiven und konstruktiven Umgang mit dem Thema: Im Mittelpunkt steht die Begleitung der Mitarbeiter, nicht die individuelle Kontrolle. Rückmeldungen erfolgen anonymisiert und aggregiert – und fördern eine Unternehmenskultur, in der Cybersecurity aktiv gelebt wird und jeder sich für mehr Sicherheit einsetzt.