Phishing-Simulation

Im digitalen Zeitalter ist die Sicherheit unserer Informationen wichtiger denn je. Deshalb ist es unser Ziel, die Mitglieder der Universität Kassel in die Lage zu versetzen, Cyberbedrohungen zu erkennen und angemessen darauf zu reagieren. Unsere Phishing-Simulation ist ein proaktiver Schritt, um Bewusstsein zu schaffen und uns gegen Cyberangriffe zu wappnen.

Übersicht

Jede/r Beschäftigte der Universität erhält während eines vorläufig auf 12 Monate angelegten Trainings durchschnittlich einmal im Monat eine E-Mail, deren Versand zufällig erfolgt. Die simulierten Phishing-E-Mails verhalten sich nicht anders als echte Phishing-E-Mails, nur mit dem Unterschied, dass zu keinem Zeitpunkt Gefahr für die Daten und Geräte der Beschäftigten besteht. Bei Interaktion mit der simulierten Phishing-E-Mail wird der/die Beschäftigte auf die Schulungsinhalte verwiesen.

Was ist eine Phishing-Simulation?

Eine Phishing-Simulation ist eine kontrollierte Form des Trainings, bei der realistische, aber harmlose Phishing-Versuche in einer sicheren Umgebung durchgeführt werden. Diese simulierten Angriffe helfen Ihnen zu lernen, wie Sie echte Bedrohungen erkennen und vermeiden können.

Vorteile der Phishing-Simulation

Praktische Erfahrung: Sie lernen, echte Phishing-Versuche durch praktische Erfahrung zu erkennen, ohne dass echte Gefahren bestehen.
Bewusstseinsbildung: Regelmäßige Simulationen halten das Bewusstsein für Cybersicherheit wach und sorgen dafür, dass das Thema stets präsent bleibt.
Fehlerkultur: In einer kontrollierten Umgebung dürfen Fehler gemacht werden, die im Fall eines echten Phishing-Angriffs schwerwiegende Folgen haben könnten. Hier können Sie aus Fehlern lernen und Ihr Wissen verbessern.
Individuelles Feedback: Bei Interaktion (z.B. Anklicken eines nicht vertrauenswürdigen Links) erhalten Sie personalisiertes Feedback, um Ihre Fähigkeiten im Umgang mit Phishing-E-Mails zu verbessern.
Reduzierung des Risikos: Indem Sie lernen, Phishing-Versuche zu erkennen, tragen Sie dazu bei, das Risiko eines erfolgreichen Cyberangriffs auf unsere Universität zu verringern.
Messbare Erkenntnisse: Aus den anonymisierten Statistiken zu Kennzahlen wie Klickrate oder Interaktionsrate, lassen sich Trends ableiten und zukünftige Schutzmaßnahmen optimieren.

Durch Ihre Teilnahme an unserer Phishing-Simulation tragen Sie aktiv zur Sicherheit der Universität bei.

FAQ

Welche personenbezogenen Daten der Mitarbeitenden werden benötigt?

Name, berufliche E-Mail-Adresse und eine optionale Zuordnung zu einer Nutzergruppe. Der Name wird benötigt, um Sie korrekt anzusprechen (z.B. „Hallo Meike Müller“). Die E-Mail-Adresse wird benötigt, damit Sie im Rahmen der Phishing-Simulation per Mail angeschrieben werden können. Über die optionale Angabe der Nutzergruppe kann eine Auswertung über das Klickverhalten in Phishing-Simulationen gegliedert nach diesen Einheiten vorgenommen werden. Dabei können keine Gruppen ausgewertet werden, die weniger als 5 Personen beinhalten (beispielsweise werden einzelne Fachbereiche jeweils als Gruppe abgebildet, etwa die UB oder die Zentralverwaltung). Die Nutzung solcher Informationen bildet Phishing-Angriffe noch realistischer ab. Denn Cyberkriminelle recherchieren diese Informationen mit überschaubarem Aufwand, z.B. über soziale Netzwerke, selbst – und nutzen sie dann für ihre Angriffe.

Wie erhält SoSafe die Daten der Mitarbeitenden?

Der Ansprechpartner von SoSafe am ITS erhält persönliche Zugangsdaten zum SoSafe Manager. Dort können die Daten über eine verschlüsselte Verbindung direkt auf den SoSafe-Server hochgeladen werden. Für das Aufsetzen des Awareness-Trainings werden Name, E-Mail-Adresse und die Zuordnung zu einer Nutzergruppe benötigt.

Wie lange werden die Daten der Mitarbeitenden sowie die Klickraten gespeichert?

Die Daten werden im Rahmen der Auftragsdatenverarbeitung für die Dauer der Beauftragung gespeichert. Näheres regelt der gemeinsame Vertrag zur auftragsbezogenen Verarbeitung personenbezogener Daten (AV-Vertrag).

Können Klickraten einzelnen Mitarbeitenden in der Phishing-Simulation zugeordnet werden?

Nein, eine solche Zuordnung ist technisch ausgeschlossen. SoSafe hat den Aspekt des Datenschutzes bei dem Design der technischen Systeme von Anfang an berücksichtigt („Privacy-by-Design-Ansatz“). Es besteht allerdings die Möglichkeit, Klickraten Nutzergruppen ab einer Mindestanzahl von 5 Personen (Mindestgrenze kann bei Bedarf auch hochgesetzt werden) zuzuordnen. So erhält die Universität Kassel trotz Einhaltung des Privacy-by-Design-Ansatz ein differenziertes Bild zum Schulungsbedarf in verschiedenen Nutzergruppen, z.B. Abteilungen.

Wird die Anwendung intern oder extern gehostet?

Die Anwendung wird extern bei einer „Software as a Service“ Lösung, gehostet. Das Unternehmen AWS betreibt das Hosting ausschließlich auf zertifizierten Servern in Frankfurt am Main, Deutschland, nach ISO 27001. Alle Unterauftragnehmer sind in der DACH-Region ansässig und werden in der Europäischen Union (EU) gehostet. SoSafe wählt die Anbieter sorgfältig unter technischen, rechtlichen und informationssicherheitstechnischen Gesichtspunkten aus und überprüft sie gemäß Art. 28 (4) Satz 1 DSGVO.

Wer hat Zugriff auf die statistischen Daten und wertet sie aus?

Nur der Ansprechpartner von SoSafe am ITS, der Informationssicherheitsbeauftragte der Universität Kassel sowie der zuständige Customer Implementation Manager und Customer Success Manager bei SoSafe haben Zugriff auf den SoSafe Manager. Der Zugriff auf den SoSafe Manager ist mit einer 2-Faktor-Authentifizierung geschützt.

Wofür werden die statistischen Daten genutzt?

Der Informationssicherheitsbeauftragte der Universität Kassel nutzt die Daten zur besseren Ausrichtung und Steuerung der Schutzmaßnahmen der Informationssicherheit, Erstellung des Jahresberichts zur Bedrohungslage an der Universität und zur besseren Planung weiterer Schulungsangebote.

Weitere FAQs finden Sie auch auf den Webseiten der Firma SoSafe GmbH (öffnet neues Fenster)