FAQ und Problembehebung

Teilen

Ist dieser Artikel hilfreich?

Letzte Aktualisierung:

So identifizieren und beheben Sie falsch positive Ergebnisse

Wenn Sie in einer Phishing-Kampagne ungewöhnliche Ergebnisse erhalten, liegt dies möglicherweise an falschen Klicks. Wenn für eine Kampagne eine Klickrate von 100 Prozent oder IP-Adressen angezeigt werden, die nicht zu Ihrer Organisation gehören, können falsch positive Ergebnisse vorliegen. Im Folgenden finden Sie einige Ursachen für falsch positive Ergebnisse sowie Tipps, diesbezügliche Probleme zu beheben.

Was wird als „Klick“ gezählt?

Klicks werden aufgezeichnet, wenn Nutzerinnen und Nutzer auf einen Phishing-Link in einer simulierten E-Mail klicken. Klicks können jedoch auch unter anderen Umständen registriert werden. Mit falsch positiven Ergebnissen sind Klicks gemeint, die nicht dadurch verursacht werden, dass Nutzerinnen und Nutzer auf einen Phishing-Link klicken. Im Folgenden finden Sie Ursachen für falsch positive Ergebnisse:

  • Falsches Whitelisting Ihrer Spamfilter. Durch falsches Whitelisting können automatisierte Klicks oder Bot-Klicks verursacht werden. Wenn Sie wissen möchten, wie Sie Klicks als Bot-Klicks identifizieren können, lesen Sie den Abschnitt So identifizieren Sie Bot-Klicks weiter unten.
  • Weitere Whitelisting-Maßnahmen erforderlich. Möglicherweise sind in Ihrem Spamfilter weitere Whitelisting-Maßnahmen erforderlich, damit simulierte Phishing-E-Mails von der Link-Analyse ausgeschlossen werden.
  • E-Mail-Filter mit Add-on-Sicherheitspaketen wurden nicht auf die Whitelist gesetzt.
  • Endpunktsicherheit oder Antivirus-Software.
  • Linkvorschau-Funktionen von Mobilgeräte-Betriebssystemen.
  • Sicherheitssoftware von Mobilgeräteverwaltungssystemen (MDM).
  • Phishing-E-Mails, die sich Nutzerinnen und Nutzer gegenseitig weiterleiten. Diese Aktion wird möglicherweise als Klick registriert, weil die weitergeleitete E-Mail vom E-Mail-Server in einer Sandbox überprüft wurde oder weil die Empfängerin bzw. der Empfänger der weitergeleiteten E-Mail auf den Link geklickt hat.

So identifizieren Sie Bot-Klicks

Falsches oder unzureichendes Whitelisting kann einen Bot-Klick verursachen. Bot-Klicks werden durch einen automatisierten Prozess innerhalb Ihrer Infrastruktur ausgelöst. Sie können Bot-Klicks identifizieren, wenn Sie die Ergebnisse Ihrer Phishing-Kampagne analysieren. Klick-Bots können wie folgt identifiziert werden:

  • Die Vorkommen in den Spalten Zugestellt, Öffnen und Klicks sind alle identisch oder zeitnah (innerhalb einer Minute) erfolgt.
  • Der auf der Registerkarte Geklickt angezeigte Browser bzw. die dort angezeigte Browserversion wird nicht in Ihrer Umgebung verwendet oder ist veraltet.
  • Das aufgeführte Betriebssystem wird von Ihren Nutzerinnen und Nutzern in Ihrer Umgebung nicht verwendet.
  • Die IP-Adresse lässt sich auf einen Anbieter eines Ihrer Sicherheitsprodukte zurückführen.

Unerwartete IP-Adressen in Kampagnenergebnissen

Wenn in der Konsole ein Klick registriert wird, wird die IP-Adresse erfasst, über die der Klick erfolgt ist. Warum möglicherweise eine unerwartete IP-Adresse angezeigt wird:

  • Wenn Nutzerinnen und Nutzer den Link auf einem Mobilgerät auswählen, wird der „Klick“ möglicherweise dem Mobilfunkanbieter zugeordnet.
  • Wenn Nutzerinnen und Nutzer den Link über ihr eigenes WLAN auswählen, wird der „Klick“ möglicherweise einer IP-Adresse des Internetdienstanbieters (ISP) zugeordnet.
  • Wenn Nutzerinnen und Nutzer den Link über ein öffentliches WLAN auswählen, wird der „Klick“ möglicherweise dem Ort zugeordnet, in dem das öffentliche WLAN genutzt wird.
  • Wenn Ihre Organisation oder eines Ihrer Produkte einen gehosteten Dienstanbieter verwendet, z. B. AWS, gehört die IP-Adresse möglicherweise zu einem anderen Standort oder einem anderen Land. Bestimmte Verfahren zur Link-Analyse finden möglicherweise nicht clientseitig statt. Eventuell wird der Link an das Backend-Center für Prozesse/Analysen des Sicherheitsanbieters weitergegeben.
  • Wenn die URL an VirusTotal gesendet wird, stammt die IP-Adresse möglicherweise von einem anderen Standort. Dieser Link wird möglicherweise automatisch von einen von Ihnen oder Ihren Nutzerinnen und Nutzern verwendeten Produkt gesendet. Eine an VirusTotal übermittelte URL wird analysiert, um zu bestimmen, ob sie als gefährlich eingestuft und zu den Bedrohungen hinzugefügt werden muss. Die Link-Analyse erfolgt mitunter unmittelbar, kann jedoch auch erst nach einigen Stunden erfolgen. Diese IP-Adressen können von einem Sicherheitsanbieter oder von einem Internetdienstanbieter stammen.

Gängige Ursachen falsch positiver Ergebnisse

Falsch positive Ergebnisse in Phishing-Simulationen sind meist auf die folgenden drei Ursachen zurückzuführen:

  • Eingriffe durch den Link-Scanner: Sicherheitstools, die Links automatisch auswählen, bevor die E-Mail den Nutzerinnen und Nutzern zugestellt wird
  • Unsachgemäßes Whitelisting: KnowBe4-Domains, die nicht von Sicherheitsscans ausgeschlossen werden
  • Falsch konfigurierte Sicherheitsrichtlinien: Spamfilter- oder E-Mail-Fluss-Regeln, die eine Zustellung von Phishing-Tests verhindern

Um falsch positive Ergebnisse zu minimieren, konfigurieren Sie Ihre Spamfilter so, dass KnowBe4-Phishing-E-Mails von der Link-Analyse ausgeschlossen werden. Stellen Sie sicher, dass Smart Hosts und erweiterte Übermittlungsrichtlinien mit Ihren Kampagnenkonfigurationen übereinstimmen. Wenn Sie Problemen in Zusammenhang mit Link-Scannern nachgehen, überprüfen Sie mit Ihren IT-Admins die Whitelisting-Einstellungen, um ein Gleichgewicht zwischen Sicherheitsanforderungen und genauen Trainingskennzahlen zu schaffen.

So verhindern Sie falsch positive Ergebnisse

Sie müssen Ihre Sicherheitsinfrastruktur kennen. Es gibt zahlreiche Sicherheitssoftware und -produkte, von denen Sie möglicherweise einige einsetzen. Sehen Sie in der Dokumentation dieser Software oder Dienstanbieter nach, ob (und wie) Links oder Domains von Scans oder Link-Analysen ausgeschlossen werden können.

Sie können auch Testkampagnen mit verschiedenen Vorlagen auf Computern ausführen, die genau wie die Computer der Nutzerinnen und Nutzer eingerichtet sind. Anhand dieser Testkampagnen können Sie ermitteln, ob Ihre aktuelle Einrichtung falsch positive Ergebnisse verursacht.

Stellen Sie sicher, dass Ihre Nutzerinnen und Nutzer Phishing-E-Mails ausschließlich über den Phish Alert Button und nicht über die Phishing-Option Ihres E-Mail-Servers oder einen Drittanbieter melden.

Überprüfen Sie, ob Ihre Sicherheitsprodukte über eine Option für zusätzliches Whitelisting verfügen. Setzen Sie unsere Phishing-Link- und Landingpage-Domains auf Ihre Whitelist. Dieser zusätzliche Schritt kann falsch positive Ergebnisse verhindern. Eine Liste unserer Root-Domains für Phishing-Tests finden Sie in Ihrer KnowBe4-Konsole auf der Registerkarte Phishing > Unterregisterkarte Domains. Weitere Informationen zur Unterregisterkarte Domains finden Sie im Artikel So verwalten Sie die Domains des Phishing-Links.

Wenn weiterhin Probleme mit falsch positiven Ergebnissen auftreten, wenden Sie sich an unser Support-Team Support-Team.

War dieser Artikel hilfreich?

9 von 13 fanden dies hilfreich

Sie finden nicht, wonach Sie suchen?

Support kontaktieren