Telefon-Phishing-Assessment: Awareness-Level ermitteln – Mitarbeitende sensibilisieren

Durch gezielte Anrufe einzelner Mitarbeitenden unter Vorspiegelung falscher Tatsachen wird versucht, bestimmte Ziele zu erreichen, die zuvor mit dem Auftraggeber abgestimmt wurden. Mögliche Ziele sind:

• Herausfinden von Passwörtern oder Eigenschaften von Passwörtern (Länge, Komplexität)
• Auffinden nicht öffentlicher Details über das Unternehmen (z. B. konkrete IT-Sicherheitsmaßnahmen)
• Ausführen von Schadcode (in der Realität etwa Ransomware)

Es wird kein Fehlverhalten einzelner Individuen aufgedeckt. Vielmehr wird die SySS den Angriff auf eine möglichst anonymisierte Weise durchführen und als Ergebnis eine quantitative, statistische Auswertung des Angriffsresultats liefern. Die Ergebnisse werden anonymisiert und managementtauglich in einem Bericht dokumentiert.

Von einem Telefon-Phishing-Assessment sind die folgenden Ergebnisse zu erwarten:

• Statistiken über die aktuelle Awareness der Mitarbeitenden
• Erhöhung der Awareness der Mitarbeitenden
• Überprüfung der Prozesse

Telefon-Phishing-Assessments werden über ein bis zwei Wochen durchgeführt und durchlaufen in der Regel die nachfolgenden Projektphasen:

• Kick-off
• Registrierung von Domänen
• Aufsetzen einer unterstützenden Phishing-Webseite
• Review-Phase
• Anruf einzelner Mitarbeitender
• Auswertung der Ergebnisse
• Dokumentation