Fast jeder 5. Teilnehmer hat auf eine Phishing Email geklickt – so lautet die Zwischenbilanz der ersten öffentlichen Phishing-Simulation in der Region Köln. Zudem fand ein Teilnehmer die erhaltene Test-Email so echt, dass er eine Strafanzeige gestellt hat.
Wie das am Projekt beteiligte Kölner IT-Security Start-Up SoSafe mitteilt, haben sich inzwischen mehr als Tausend Teilnehmer auf der Webseite www.phish-test.de registriert und drei an realen Beispielen orientierte Phishing Simulations-Emails erhalten.
- 58.2% der bisher versendeten E-Mails wurden von den Teilnehmern auch geöffnet – und haben somit die Spamfilter erfolgreich passiert; oder wurden nicht automatisch vom Empfänger gelöscht.
- Die durchschnittliche Klickrate auf einen Link in der Email lag bei 19.8% – d.h. jede fünfte verschickte Phishing-Mails wäre in der Realitität erfolgreich gewesen. Dies hätte z.B. über einen Drive-by-Exploit zu einer Infektion mit einem Erpressungstrojaner führen können.
- Die erfolgreichste angewandte psychologische Taktik war der Aufbau von Druck/Angst, z.B. in Form eines Abmahnungsschreibens.
- Die als „schwierig“ klassifizierte Mail war, obwohl auch diese mehrere klare Anzeichen eines Betrugsversuches enthält, scheinbar sogar so überzeugend, dass ein/e Teilnehmer/in Strafanzeige bei der Kriminalpolizei gestellt hat. Die Kollegen bei der Polzei konnten dies dann aber glücklicherweise schnell aufklären.
Die kostenlose Phishing Simulation läuft noch bis Ende Oktober und richtet sich nicht nur an Internetnutzer aus der Region Köln. Die Anmeldung ist weiterhin unter www.phish-test.de möglich. Am Ende der Kampagne erhält jeder Teilnehmer zudem eine individuelle Auswertung.
Positive Resonanz erzielt auch die Lernseite, auf der die Teilnehmer anhand der Beispiele aus der Simulation erfahren, wie man die Phishing-Email hätte erkennen können – und somit auch in Zukunft besser gewappnet sind, Phishing Emails zu erkennen. In Hinblick auf die bald anstehende Weihnachtszeit wird die Teilnahme bei der Phishing-Kampagene sicherlich dem einen oder anderen Internetnutzer helfen, möglichen Betrug beim Weihnachtsshopping zu vermeiden.
„Wow… und ich dachte ich wäre gut vorbereitet. Denkste. 2 Mails, 2 mal reingefallen.“
Feedback eines Users zu der Aktion
Die kostenlose Phishing-Simulation zum European Cyber Security Month wird von einem Netzwerk aus der Region Köln bereitgestellt. Durchgeführt wird die Aktion vom IT-Security Start-Up SoSafe, beteiligt sind zudem die Städte Leverkusen und Köln sowie der Rhein-Erft Kreis, der Internetverband eco e.V., die Unternehmen Trusted Shops und eyeo mit ihrem Sicherheitsportal Botfrei.de, die Digitalen Heinzelmännchen, ein Kölner Verein, der sich für die Generation Silver Surfer einsetzt sowie die Polizeibehörden aus Köln/Leverkusen sowie des Rhein-Erft Kreises. Medienpartner ist Radio Erft.
“Mist, ich habe das erste Mal auf eine Phishing-Email geklickt, die sah so realistisch aus”
Feedback eines Users zu der Aktion
Die Schirmherrschaft über die Aktion hat die Kölner Oberbürgermeisterin Henriette Reker. Sie wird dabei vom Kölner Polizeipräsidenten Uwe Jacob, dem leitenden Polizeidirektor des Rhein-Erft Kreis, Roland Küpper sowie vom Leiter der Rechtsabteilung bei Trusted Shops, Dr. Carsten Fröhlisch, unterstützt.
“Hab ihr mir einen Schrecken eingejagt”
Feedback eines Users zu der Aktion
Die detaillierte Gesamtauswertung wird am Ende des Projekts zusammen mit allen Aktionspartnern bei der Abschlussveranstaltung am 30.10.2019 in Köln vorgestellt. Sämtliche Einzelergebnisse verbleiben natürlich vollkommen anonym.
Die Abschlussveranstaltung richtet sich in erster Linie an Interessenten aus der Wirtschaft, der Verwaltung, Vereinen und Medien, die sich in der Region Köln im kommenden Jahr am European Cyber Security Month engagieren möchten. Eine Anmeldung zu der Veranstaltung ist unter folgender Webseite möglich: https://www.eventbrite.com/e/abschlussveranstaltung-des-european-cyber-security-months-in-koln-registrierung-74819799033
Über den ECSM
Der European Cyber Security Month (ECSM) ist ein europaweiter Aktionsmonat unter Federführung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) und sensibilisiert bereits seit 2012 jedes Jahr im Oktober Bürgerinnen und Bürger sowie Organisationen europaweit für den umsichtigen und verantwortungsbewussten Umgang im Cyber-Raum.
ECSM in Deutschland
In Deutschland wird der ECSM vom Bundesamt für Sicherheit in der Informationstechnik (BSI) koordiniert.
Auch in diesem Jahr finden deutschlandweit mehrere Hundert Angebote Aktionen und Veranstaltungen zur IT-Sicherheit statt. Diese sind zudem auf die jeweiligen Zielgruppen wie Bürger, Senioren, Jugendliche oder auch Medienvertreter zugeschnitten. Eine Übersicht der diesjährigen Veranstaltungen bietet der Event-Kalender auf der Seite des BSI.
