Empfehlungen für einen optimalen Baseline Phishing-Test
Wir empfehlen, allen Nutzer:innen vor dem Start des Security Awareness-Trainingsprogramms einen unangekündigten simulierten Phishing-Test zu senden. Dadurch erhalten Sie eine erste Einschätzung hinsichtlich der Situation in Ihrer Organisation.
Die Ergebnisse dieses Baseline Phishing-Tests geben Auskunft über den anfänglichen Phish-prone Percentage in Ihrer Organisation. Der Phish-prone Percentage gibt den Prozentsatz an Nutzer:innen wieder, die wahrscheinlich auf eine Phishing-E-Mail klicken. Betrachten Sie den anfänglichen Phish-prone Percentage als „Baseline“ oder Ausgangspunkt für Ihre Organisation. Der Phish-prone Percentage insgesamt für Ihre Organisation oder der kontospezifische durchschnittliche Phish-prone Percentage basiert auf dem Phish-prone Percentage Ihrer aktiven Nutzer:innen, die mindestens einen Phishing Security Test erhalten haben. Vergleichen Sie den anfänglichen Phish-prone Percentage mit den Werten, die Ihre Organisation nach regelmäßiger Durchführung von Phishing-Tests erzielt, um den Erfolg Ihres Security Awareness-Trainingsplans zu messen.
In den folgenden Abschnitten erfahren Sie mehr über unsere Empfehlungen für Ihre Baseline Phishing-Kampagne und welche Schritte nach der Durchführung Ihres Tests anstehen.
Springen zu:
Warum sollte ich den Test nicht ankündigen?
Empfohlene Einstellungen für die Baseline Phishing-Kampagne
Schritte nach dem Baseline Phishing-Test
Wichtig:
Stellen Sie vor der Durchführung Ihres Baseline Phishing-Tests sicher, dass die IP-Adressen oder Domains von KnowBe4 in Ihrer E-Mail-Umgebung den entsprechenden Whitelists hinzugefügt wurden. Verwenden Sie hierzu unseren Whitelisting-Assistenten oder lesen Sie unsere Whitelisting-Anleitung, um sich über bewährte Whitelisting-Methoden für Ihren E-Mail-Client und Spamfilter zu informieren.
Warum sollte ich den Test nicht ankündigen?
Wir empfehlen, den Baseline Phishing-Test nicht anzukündigen, um möglichst genaue Ergebnisse zu erhalten. So können Sie ermitteln, wie verwundbar Ihre Organisation bei einem tatsächlichen Phishing-Angriff wäre. Mit den Erkenntnissen aus dem Baseline Phishing-Test können Sie sich die Unterstützung Ihrer Entscheidungsträger sichern. Weitere Informationen finden Sie hier: Wie kann ich Entscheidungsträger für meinen Security Awareness-Trainingsplan gewinnen?
Empfohlene Einstellungen für die Baseline Phishing-Kampagne
Gehen Sie wie folgt vor, um eine Baseline Phishing-Kampagne zu erstellen. Rufen Sie in Ihrer Konsole die Registerkarte Phishing auf. Klicken Sie dann oben rechts auf die Schaltfläche +Phishing-Kampagne erstellen, um die Seite Neue Phishing-Kampagne zu öffnen.
Tipp:
Wir empfehlen, nach dem Whitelisting und vor dem Erstellen der Baseline Phishing-Kampagne mindestens eine Testkampagne mit einer kleinen Gruppe von Nutzer:innen durchzuführen. Weitere Informationen finden Sie unter Vorläufige Testkampagne in unserer Schnellstartanleitung für die Implementierung.Folgende Einstellungen werden für Baseline Phishing-Kampagnen empfohlen:
-
Kampagnenname: Geben Sie Ihrer Kampagne einen aussagekräftigen Namen, z. B. „Baseline Test“.
- Senden an: Wählen Sie Alle Nutzer aus.
- Häufigkeit: Wählen Sie Einmalig aus.
- Startzeit: Wählen Sie aus den Dropdown-Menüs das gewünschte Datum und die Uhrzeit für Ihren Baseline Phishing-Test aus.
- Wählen Sie eine Uhrzeit, die innerhalb der Geschäftszeiten Ihrer Organisation liegt, da Ihre Nutzer:innen hauptsächlich in dieser Zeit E-Mails abrufen und lesen.
- Wenn diese Einstellung ausgewählt ist, erhalten all Ihre Nutzer:innen die Phishing-E-Mail zur gleichen Zeit. So können sich Nutzer:innen nicht gegenseitig warnen, dass ein Phishing-Test durchgeführt wird. Ihre Testergebnisse werden dadurch genauer.
- Über die Einstellung Aktivität tracken wird festgelegt, wie lange Phishing-Test-Fehler getrackt werden. Dieser Zeitraum beginnt, sobald die letzte E-Mail gesendet wurde.
-
Vorlagenkategorien: Wählen Sie im Dropdown-Menü auf der linken Seite die Kategorie IT aus.
- Suchen Sie dann im Dropdown-Menü auf der rechten Seite nach der Vorlage Passwortänderung sofort erforderlich und wählen Sie diese aus.
Tipp:
Wenn Sie eine andere Vorlage verwenden möchten, achten Sie darauf, eine Vorlage auszuwählen, die allgemein gehalten und für Ihre Mitarbeitenden relevant ist. Sie können zum Beispiel in der Kategorie Baseline-Vorlagen die Vorlage Passwortüberprüfung sofort erforderlich auswählen. Weitere Informationen finden Sie hier: Welche E-Mail-Vorlage sollte ich für den ersten Baseline Phishing-Test verwenden?
- Suchen Sie dann im Dropdown-Menü auf der rechten Seite nach der Vorlage Passwortänderung sofort erforderlich und wählen Sie diese aus.
- Domain des Phishing-Links: Wählen Sie eine Domain aus, die für den Phishing-Link verwendet werden soll. Hierbei handelt es sich um die Domain, die Ihren Nutzer:innen angezeigt wird, wenn sie den Mauszeiger über den Phishing-Link bewegen. Wählen Sie eine Domain aus, die „sicher“ erscheint.
- Landingpage: Wählen Sie die gewünschte Landingpage aus.
- Sie wird den Nutzer:innen angezeigt, die auf den Phishing-Link in der E-Mail klicken. Auf einigen Landingpages steht lediglich, dass die Nutzerin oder der Nutzer den Phishing-Test nicht bestanden hat, während andere Landingpages wie seriöse Websites oder allgemeine Fehlerseiten aussehen. Lesen Sie vor der Auswahl einer Landingpage den Artikel Welche Landingpage sollte ich auswählen?.
- Dieser E-Mail-Report wird gesendet, wenn der unter Aktivität tracken festgelegte Zeitraum abgelaufen ist.
Schritte nach dem Baseline Phishing-Test
Nach dem Baseline Phishing-Test sind Ihre Nutzer:innen aufgrund der erhaltenen E-Mail möglicherweise verwirrt oder besorgt. Wir empfehlen Ihnen, in einer nachfolgenden E-Mail zu klären, dass ein Phishing-Test durchgeführt wurde. In dieser E-Mail können Sie auch den Phish-prone Percentage Ihrer Organisation angeben, um die Bedeutung von Security Awareness Trainings zu betonen. Eine Vorlage, die Sie für diese E-Mail verwenden können, finden Sie hier: Wie gehe ich nach Abschluss des Baseline Phishing-Tests vor?
Registrieren Sie Ihre Nutzer:innen kurz nach dem Baseline Phishing-Test für ein Security Awareness Training. Weitere Informationen finden Sie unter Registrieren von Mitarbeitenden für das Security Awareness Training.
Führen Sie, nachdem Ihre Nutzer:innen das erste Security Awareness Training abgeschlossen haben, regelmäßig Phishing-Tests durch. So können sie die während des Trainings erlernten Fähigkeiten direkt anwenden. Weitere Informationen über regelmäßige Phishing-Tests finden Sie in unserer Anleitung zu bewährten Methoden.
Kommentare
0 Kommentare
Zu diesem Beitrag können keine Kommentare hinterlassen werden.