Wie eine Vishing-Simulation die Cybersicherheitskultur der Abteilung Cher verändert hat
Interview mit Aurélien LALEVEE, RSSI des Departements Cher.
Ziel: Die Wachsamkeit gegenüber Vishing testen... und zeigen, dass „das nicht nur anderen passiert“.
Auf die Frage, warum er eine Simulationskampagne starten möchte, antwortet Aurélien ganz klar:
„Unser Hauptziel war es, die Wachsamkeit unserer Mitarbeiter gegenüber einem Vishing-Versuch (betrügerischer Anruf) zu testen, insbesondere in einem Szenario mit einer gefälschten internationalen Überweisung (FOVI).“
Aurélien LALEVEE, RSSI des Departements Cher
Die Idee: Die Fähigkeit der Teams zu bewerten, einen Social-Engineering-Versuch per Telefon und E-Mail zu erkennen und vor allem zu überprüfen, ob sie die richtigen Reflexe anwenden.
Hinter diesem operativen Ziel stand jedoch auch eine Botschaft: Angriffe richten sich nicht nur gegen andere, und es ist viel einfacher als man denkt, jemanden am Telefon in eine Falle zu locken.
Inszenierung: ein falscher Agent, eine gefälschte Nummer und ein sehr glaubwürdiges Szenario
Zur Umsetzung der Übung stützte sich die Abteilung auf die Lösung von Hucency („Avant de Cliquer” zum Zeitpunkt der Einführung).
Das Szenario war auf dem Papier einfach, aber äußerst realistisch.
Ein falscher Beamter, der sich als neuer Mitarbeiter der Haushaltsabteilung ausgab, rief bestimmte Beamte an und bat sie, ihre Bankverbindung über einen per E-Mail versandten Link zu aktualisieren, wobei er eine Domain verwendete, die fast identisch mit der offiziellen Domain war.
„Das Szenario war realistisch, da wir eine Telefonnummer der Haushaltsabteilung missbraucht hatten, aber ohne technische Konsequenzen: Es wurden keine tatsächlichen Änderungen vorgenommen.“
Aurelien LALEVEE, RSSI des Departements Cher
Diese Situation war Teil eines bestehenden Prozesses innerhalb der Organisation, was die Glaubwürdigkeit des Aufrufs noch verstärkte.
Ein wichtiger Punkt des Projekts: die uneingeschränkte Unterstützung durch die Geschäftsleitung, insbesondere durch die Finanzdirektorin, die alle Hindernisse aus dem Weg geräumt hat.
Während des Trainings: Stress, Misstrauen ... und ein paar Klicks
Die Simulation dauerte vier Tage, einen Tag weniger als geplant. Sehr schnell zeigten sich gegensätzliche Verhaltensweisen:
- Einige Mitarbeiter erkennen den Betrug sofort und legen auf.
- Andere setzen das Gespräch fort und klicken schließlich auf den Link.
Eine prägende Lektion:
„Statistisch gesehen sind die ersten Spieler diejenigen, die am leichtesten hereingefallen sind. Dann haben Mundpropaganda und eigenständige Kommunikation zu einer erhöhten Wachsamkeit geführt.“
Aurelien LALEVEE, RSSI des Departements Cher
Als sich die internen Gerüchte verbreiteten, wurden die Teams misstrauischer und aufmerksamer.
Nach der Übung: Bewusstwerdung und spontane Diskussionen
Die Übung löste zahlreiche spontane Diskussionen innerhalb der Teams aus.
Die Erkenntnis kam sofort: Ja, selbst ein einfaches Szenario kann glaubwürdig erscheinen, vor allem wenn es mit internen Codes spielt.
Einige Reaktionen waren heftig: gestresste Beamte, die überzeugt waren, einen echten Fehler begangen zu haben, und denen man erst einmal versichern musste, dass es sich um einen Test handelte, ohne dies jedoch zu früh zu verraten.
Die Geschäftsleitung begrüßte diese Initiative, die Verbesserungsmöglichkeiten in den Bereichen Schulung und Wachsamkeit aufgezeigt hat.
Die Lehren: Nichts kann Ausbildung, Realität und Menschlichkeit ersetzen.
Was lässt sich aus dieser Erfahrung lernen? Dass Sensibilisierung nie endgültig erreicht ist.
„Die Übung hat gezeigt, dass selbst einfache Szenarien Nutzer in die Falle locken können, wenn der Kontext glaubwürdig erscheint. Sie hat auch gezeigt, dass solche Übungen trotz der Befürchtungen hinsichtlich psychosozialer Risiken nicht unmöglich durchzuführen sind.“
Aurelien LALEVEE, RSSI des Departements Cher
Ein wichtiger Punkt: Wenn Sie den Test persönlich, transparent und mit etwas Humor erklären, wird er zu einem lehrreichen Moment und nicht zu einer Quelle von Stress.
Hucency: eine „professionelle, reaktionsschnelle und lehrreiche“ Zusammenarbeit
Wie lässt sich die Partnerschaft mit Hucency zusammenfassen? Der Projektleiter nimmt kein Blatt vor den Mund:
„Hucency hat das Szenario an unsere technischen und rechtlichen Vorgaben angepasst und dabei ein hohes Maß an Realismus gewährleistet. Die Anrufe waren sehr realistisch, bis hin zur Inszenierung einer akustischen Atmosphäre.“
Aurelien LALEVEE, RSSI des Departements Cher
Da wir bereits mit den Kampagnen zu Phishing und USB-Dropping (Phishing per USB-Stick) zufrieden waren, war die Entscheidung für eine erneute Zusammenarbeit naheliegend.
„Heute würde ich mich für sie entscheiden, weil sie über Fachwissen im Bereich Social Engineering verfügen, realistische Szenarien erstellen können und einen pädagogischen Ansatz verfolgen. Mit ihrer Lösung lassen sich die Reaktionen der Nutzer konkret messen.“
Aurelien LALEVEE, RSSI des Departements Cher
Ein Ratschlag für CIOs und CISOs?
„Trauen Sie sich, den Schritt zu wagen. Diese Simulationen sind aussagekräftige Indikatoren für Risikoverhalten. Sie ermöglichen konkrete Diskussionen und verbessern die internen Praktiken.“
Aurelien LALEVEE, RSSI des Departements Cher
Und wie geht es weiter?
Das Departement will es dabei nicht belassen.
Neue simulierte Kampagnen wurden bereits gestartet: Phishing, Smishing (Angriffe per SMS) und andere verschiedene Szenarien, um die Cybersicherheitskultur weiter zu stärken.
