12 1 Ziele von Phishing-Kampagnen Mit Phishing-Kampagnen werden unterschiedliche Ziele verfolgt. Dazu zählen vor allem die folgenden: 1. Erhebung des Ist-Zustands in der Institution hinsichtlich der Resistenz gegen Phishing-Angrife (ggf. inklusive des Meldens von entdeckten Phishing-Angrifen), z. B. um über die so nach- gewiesene fehlende Resistenz mehr Budget für das Tema IT-/ Informationssicherheit oder Datenschutz zu erhalten oder um zu zeigen, dass eine entsprechende Security-Awareness-Kam- pagne oder Security-Schulung verpfichtend eingeführt wer- den sollte (Ziel 1). 2. Die Phishing-Nachrichten sollen als so genannter Teachable Moment genutzt werden (Ziel 2). Hier wird angenommen, dass jemand, der auf eine (simulierte) Phishing-Nachricht herein- fällt, unmittelbar danach besonders aufnahmefähig für Secu- rity-Awareness-Maßnahmen ist. Dazu bekommt diese Person genau in dem Moment, in dem sie potentiell Opfer geworden wäre, Informationen, wie Phishing-Nachrichten zu erkennen und wie diese zu melden sind. Die Informationen erhalten die Angestellten also nicht zu einem beliebigen Zeitpunkt – z. B. wenn die Security-Awareness-Maßnahme in Form einer Prä- senzschulung oder eines Web-based-Trainings angeboten wird –, sondern nachdem man gerade eine (simulierte) Phishing- Nachricht nicht erkannt hat. Hierbei können zwei Formen der Erhebung unterschieden wer- den: a) ganz ohne die Personen zu zählen, die eine Nachricht nicht als Phishing-E-Mail erkannt bzw. eine Nachricht gemeldet haben (also als reine Security-Awareness-Maßnahme), oder 1 Z. B. BSI-Lagebericht https://www.bsi.bund.de/SharedDocs/Downloads/ DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf 2 Eine Ausführlichere Diskussionen finden Sie unter: https://publikationen.bi- bliothek.kit.edu/1000119662 Melanie Volkamer, Martina A. Sasse, Franziska Boehm Phishing-Kampagnen zur Steigerung der Mitarbeiter-Awareness Analyse aus verschiedenen Blickwinkeln – Security, Recht und Faktor Mensch Phishing-Angriffe sind kein neues Phänomen, aber nach wie vor eine große Gefahr für jede Institution. 1 Um die Resistenz der Angestellten gegen Phishing-Angriffe zu erheben oder zu verbessern, führen zahlreiche Einrichtungen Phishing-Kampagnen durch, bei denen (simulierte) Phishing-Nachrichten an die Angestellten verschickt werden. Der Beitrag geht auf unterschiedliche Ziele und Ausgestaltungsformen von Phishing-Kampagnen ein und betrachtet potentielle Probleme und die Aussagekraft von Phishing-Kampagnen. 2 Prof. Dr. Melanie Volkamer ist Professorin am Karlsruher Institut für Technologie (KIT). Sie leitet dort die Forschungsgruppe Security, Usability, and Society (SECUSO) und ist PI des Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL). E-Mail: melanie.volkamer@kit.edu Prof. Dr. Martina A. Sasse Leiterin des Lehrstuhls Human-Cent- red Security am Horst-Görtz-Institut für IT-Sicherheit der Ruhr-Universität Bochum. E-Mail: Martina.Sasse@ruhr-uni-bochum.de Prof. Dr. Franziska Boehm ist Bereichsleiterin für Immaterialgüterrechte in verteilten Informationsinfrastrukturen (IGR) bei FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur und Professorin am Karlsruher Institut für Technologie (KIT), Zentrum für angewandte Rechtswissenschaft (ZAR). E-Mail: franziska.boehm@kit.edu 518 DuD • Datenschutz und Datensicherheit 8 | 2020 AUFSÄTZE