In diesem Artikel werden die Schritte erläutert, mit denen Sie Security Awareness Trainings und simulierte Phishing-Tests in der KSAT-Konsole implementieren. Weitere Informationen hierzu finden Sie in den nachstehenden Abschnitten.

Schritt 1: Nutzerinnen und Nutzer hinzufügen

Sie können Nutzerinnen und Nutzer zu Ihrer KSAT-Konsole hinzufügen, damit Sie simulierte Phishing-E-Mails versenden und sie für Trainingskampagnen registrieren können. Es gibt mehrere Optionen zum Hinzufügen von Nutzerinnen und Nutzern zur KSAT-Konsole. Die verfügbaren Optionen finden Sie in folgenden dazugehörigen Artikeln:

• Nutzerbereitstellung: Hierbei handelt es sich um die bevorzugte Methode, um Nutzerinnen und Nutzer mit der KSAT-Konsole zu synchronisieren und Ihre Nutzerliste im Zeitverlauf zu pflegen. Mithilfe der Active Directory-Integration (ADI), SCIM oder der Google-Nutzerbereitstellung können Sie Nutzerinnen und Nutzer automatisch in der KSAT-Konsole bereitstellen. Weitere Informationen finden Sie im Leitfaden für die Konfiguration der Active Directory-Integration (ADI), im Leitfaden für die SCIM-Konfiguration oder in der Google User Provisioning (GUP)-Anleitung.
• Schnellimport: Diese Methode ist geeignet, wenn Sie weniger als 100 Nutzerinnen und Nutzer importieren möchten. Weitere Informationen finden Sie im Abschnitt Schnellimport im Leitfaden zur Verwaltung von Nutzerinnen und Nutzern und Gruppen.
• CSV-Import: Wählen Sie diese Methode, wenn Sie eine größere Anzahl von Nutzerinnen und Nutzern importieren und weitere Nutzerdaten wie Name, Telefonnummer, Gruppenmitgliedschaften und mehr einbeziehen möchten. Weitere Informationen finden Sie im Artikel So importieren Sie Nutzerinnen und Nutzer mit einer CSV-Datei.
• Sonstiges: Es gibt weitere Möglichkeiten zum Importieren von Nutzerinnen und Nutzern für Ihre Organisation. Bei Fragen diesbezüglich können Sie sich an unser Kundensupport-Team wenden oder die nachfolgenden Artikel in unserer Wissensdatenbank lesen:
  • So importieren Sie Nutzerinnen und Nutzer aus Active Directory mithilfe von PowerShell
  • Mehrere E-Mail-Domains

Schritt 2: Baseline Phishing-Test durchführen

Wir empfehlen, allen Nutzerinnen und Nutzern vor dem Start des Security-Awareness-Trainingsprogramms einen Baseline Phishing-Test zu senden. Verwenden Sie diesen Test als Ausgangspunkt für Ihr Security-Awareness-Trainingsprogramm.

Weitere Empfehlungen zum Baseline Phishing-Prozess finden Sie in den nachfolgenden Unterabschnitten sowie im Video Baseline Phishing-Kampagne in einer Minute (Klicks).

Vorläufige Testkampagne

Wir empfehlen, vor dem Erstellen der Baseline Phishing-Kampagne mindestens eine Testkampagne mit einer kleinen Gruppe von Nutzerinnen und Nutzern durchzuführen, z. B. Ihrem IT-Team.

Mit dieser vorläufigen Testkampagne kann sichergestellt werden, dass die Whitelist korrekt funktioniert und die E-Mails durch Ihre Spamfilter und Ihre Firewall gelangen.

Außerdem können Sie mit dieser vorläufigen Kampagne sicherstellen, dass Klicks und andere Phishing-Test-Fehler in Ihrem Konto getrackt werden. Klicken Sie auf den simulierten Phishing-Link in der Test-E-Mail, um sicherzustellen, dass solche Fehler in Ihrem Konto getrackt werden. Weitere Informationen erhalten Sie im Artikel So erstellen und verwalten Sie Phishing-Kampagnen oder im Artikel So überwachen und prüfen Sie Phishing-Kampagnen.

Ermitteln der Baseline

Nachdem Sie anhand der vorläufigen Phishing-Testkampagne die korrekte Funktionsweise geprüft haben, können Sie eine Baseline Phishing-Testkampagne für alle Nutzerinnen und Nutzer erstellen. Dieser Test gibt Aufschluss über den anfänglichen Phish-prone Percentage Ihrer Organisation. Der anfängliche Phish-prone Percentage ist Ihr Ausgangspunkt. Durch einen Vergleich mit späteren Werten können Sie den Erfolg Ihres Security Awareness Training-Plans ermitteln.

Die empfohlenen Einstellungen beim Einrichten einer Baseline Phishing-Kampagne finden Sie hier: Best-Practices-Leitfaden: Einrichten eines Baseline-Tests oder im Artikel Empfehlungen für Baseline-Testvorlagen.

Senden eines Baseline Phishing-Tests an Ihr IT-Team

Wir empfehlen außerdem, zwei Baseline Phishing-Tests durchzuführen: einen für Ihr IT-Team bzw. den Helpdesk und zu einem späteren Zeitpunkt einen für die übrigen Mitarbeitenden. Auf diese Weise sind die Mitarbeitenden des IT-Teams und Helpdesks über den Test informiert, wenn die Meldungen der anderen Mitarbeitenden zu verdächtigen E-Mails eingehen. Außerdem können IT-Team/Helpdesk so ebenfalls am Baseline-Assessment teilnehmen. Außerdem überprüfen Sie so, ob unsere E-Mail-Server ordnungsgemäß der Whitelist hinzugefügt werden, sodass die E-Mails des Baseline-Phishing-Tests fehlerfrei versendet werden können.

Schritt 3: Nutzerinnen und Nutzer schulen

Für Ihre erste Security-Awareness-Trainingskampagne empfehlen wir Ihnen, zunächst alle Nutzerinnen und Nutzer für das 45-minütige KnowBe4 Security Awareness Training oder einen ähnlichen umfassenden Kurs zu registrieren. Weitere Informationen zum verfügbaren Training Content finden Sie im Leitfaden zu ModStore und Bibliothek.

Die empfohlenen Einstellungen beim Einrichten Ihrer ersten Trainingskampagne finden Sie hier: Best-Practices-Leitfaden: So erstellen Sie Ihre erste Trainingskampagne.

Unter den nachfolgenden Links erhalten Sie weitere Informationen zum Durchführen von Trainingskampagnen: 

• Leitfaden zu Trainingskampagnen
• So erstellen Sie eine unterstützende Trainingskampagne
• Video: Trainingskampagne einrichten
• Video: Trainingskampagnen überwachen
• Video: Erste Schritte mit KnowBe4 Security Awareness Training

Schritt 4: Kontinuierliche Phishing- und Trainingskampagnen durchführen

Die Durchführung kontinuierlicher Phishing- und Trainingskampagnen ist wichtig, um das Problem von Phishing und Social Engineering in Ihrer Organisation in den Griff zu bekommen.

Es stehen drei Beispielpläne für die Integration von KnowBe4 in Ihre Organisation zur Auswahl: hohes Bewusstsein, mittleres Bewusstsein und niedriges Bewusstsein. Die Pläne richten sich nach dem Awareness-Level. Das Awareness-Level Ihrer Organisation basiert auf den gewünschten Ergebnissen, die Sie mit Ihrem Security-Awareness-Trainingsprogramm erreichen möchten. Weitere Informationen zur den verschiedenen Awareness-Leveln finden Sie in folgendem Artikel: Best-Practice-Leitfaden: So integrieren Sie KnowBe4 in Ihre Organisation.

Wenn Sie sich nicht sicher sind, welchen Plan Sie auswählen sollen, lesen Sie unsere allgemeinen Empfehlungen für Security Awareness Training in den folgenden Unterabschnitten.

Empfehlungen für kontinuierliche Phishing-Kampagnen

Sie sollten mindestens einmal im Monat einen Phishing-Test an alle Nutzerinnen und Nutzer versenden. Sie können beispielsweise eine monatliche Phishing-Kampagne mit folgenden Kriterien erstellen:

• Nehmen Sie mehrere E-Mail-Kategorien und unterschiedliche Phishing-Tests auf.
• Versenden Sie die E-Mails über einen längeren Zeitraum, z. B. eine Woche. Dann wissen Nutzerinnen und Nutzer nicht, wann sie einen Phishing-Test erhalten.
• Fügen Sie Nutzerinnen und Nutzer, die den Phishing-Test nicht bestehen, einer Gruppe zu, die unterstützendes Training erhalten soll.

Neben den monatlichen Phishing-Tests für alle Nutzerinnen und Nutzer sollten Sie zusätzliche Tests für Abteilungen oder Gruppen bzw. Nutzerinnen und Nutzer mit hohem Risiko einrichten, d. h. für alle, die mit höherer Wahrscheinlichkeit einem Phishing-Angriff ausgesetzt sind.

Wenn Sie erfahren möchten, welche Abteilungen oder Gruppen bzw. Nutzerinnen und Nutzer dem höchsten Risiko ausgesetzt sind, lesen Sie unseren Leitfaden zu SmartRisk Agent™ und Risk Score v2.

Weitere Informationen zum Erstellen und Anpassen von Phishing-Kampagnen finden Sie in den folgenden Artikeln:

• So erstellen und verwalten Sie Phishing-Kampagnen
• So erstellen und bearbeiten Sie E-Mail-Vorlagen und Landingpages
• Leitfaden zu Platzhaltern
• Anwendungsbeispiele für Platzhalter

Empfehlungen zu kontinuierlichem Training

Im Folgenden finden Sie unsere Empfehlungen für die Durchführung von kontinuierlichem Security Awareness Training in Organisationen:

• Erstellen Sie eine Gruppe für unterstützendes Training und eine unterstützende Trainingskampagne. Weitere Informationen zu unterstützendem Training finden Sie im Artikel So richten Sie eine unterstützende Trainingskampagne ein oder im Video Unterstützende Trainingskampagnen.
• Schulen Sie bestimmte Gruppen oder Mitarbeitende mithilfe von rollenbasierten Trainings und anderen Spezialkursen. Durchsuchen Sie den ModStore nach den gewünschten Kursen. Weitere Informationen hierzu finden Sie im Leitfaden zu ModStore und Bibliothek.
• Richten Sie eine „Tipps und Tricks für Ihre Sicherheit“-Mitteilungen ein, um Sie an den Nutzerbereich Ihrer Nutzerinnen und Nutzer zu senden. Weiter Informationen finden Sie im Artikel Übersicht über die Mitteilungskategorie Tipps und Tricks für Ihre Sicherheit.
• Um Nutzerinnen und Nutzer auf dem Laufenden zu halten und vor den neuesten Phishing- und Social-Engineering-Betrügereien zu schützen, können Sie eine „Scam der Woche“-Mitteilung einrichten und an Ihre Nutzerinnen und Nutzer versenden. Weitere Informationen finden Sie im Artikel Übersicht über den „Scam der Woche“-Newsletter.