Phishing-Test beendet: Auswertung von „Sei kein Phish“

Wir haben über mehrere Wochen den Phishing-Test „Sei kein Phish“ begleitet. Es handelt sich dabei um ein Programm, in dem man sich freiwillig betrügerisch gestaltete Mails zusenden lassen konnte.

Die Phishing-Simulation „Sei kein Phish“ wurde vom Kölner Cyber-Security-Unternehmen SoSafe in Kooperation mit den Polizei-Behörden aus Köln und dem Rhein-Erft-Kreis sowie dem eCommerce-Anbieter Trusted Shops zum European Cyber Security Month 2019 durchgeführt. Zahlreiche Unterstützer, wie die Stadt Köln und Leverkusen, der eco-Verband der Internetwirtschaft e.V., Radio Erft, der Verein Digitale Heinzelmännchen, die eyeo GmbH oder das Sicherheitsportal Botfrei.de haben sich als Partner an der Kampagne beteiligt. Für die Schirmherrschaft der Kampagne konnte die Kölner Oberbürgermeisterin Henriette Reker gewonnen werden.

Die Teilnehmer erhielten im Laufe der Simulation über den Zeitraum einer Woche zeitlich verteilt drei vermeintliche Phishing-Emails. Eine der Emails enthielt hierbei eine Vorladung der Polizei Köln im Namen des Polizeipräsidenten Uwe Jacob. Im Wortlaut war diese Email identisch mit einer echten Phishing-Kampagne aus dem Frühjahr 2019 in Süddeutschland.

Und offensichtlich war die simulierte Phishing-Email so realistisch, dass ein Teilnehmer sogar bei der Polizei Strafanzeige stellen wollte! Offenbar hatte der/die TeilnehmerIn die zuvor erfolgte Registrierung bereits nach wenigen Tagen wieder vergessen. Die beiden anderen Emails enthielten eine angebliche Rechnung aus einem Online-Shop sowie die Abmahnung eines Anwalts zu einem vermeintlich illegalen Download aus dem Internet.

Teilnehmern, die auf den Link geklickt hatten, wurde auf der Kampagnen-Seite www.phishtest.de ausführlich anhand der konkreten Beispiele erklärt, wie sich die einzelnen PhishingEmails erkennen ließen. Dieses Angebot wurde von vielen Teilnehmern auch wahrgenommen.

Phishing-Test Auswertung

„Sei kein Phish“ – Auswertung der Phishing-Simulation für Bürger: 3.000 Teilnehmer, 37% Erfolgs-Quote und eine Strafanzeige! Während des European Cyber Security Months konnten Bürger im Rahmen der Initiative „Sei kein Phish“ ihre Fähigkeit überprüfen, Phishing-Versuche und betrügerische Emails zu erkennen. Auf der Website www.phish-test.de konnten sie sich realistische Phishing-Emails zuschicken lassen und erhielten eine differenzierte Aufklärung, wenn sie hereinfielen.

Die Auswertung der Aktion zeigt nun teils überraschende Zahlen auf: knapp 23% aller Emails wurden angeklickt. Bezogen auf die Teilnehmer, die jeweils drei Phishing-Mails erhielten, zeigt sich sogar, dass mehr als jeder Dritte (37%) auf mindestens eine der Mails hereingefallen ist. Eine sehr hohe Zahl, wenn man bedenkt, dass sich die Teilnehmer wenige Tage zuvor bewusst angemeldet hatten.

Für das kostenlose Training hatten sich bis zum 30.10.2019 knapp 3.000 Teilnehmer registriert – davon 81% Männer und 19% Frauen.

Überraschend ist auch die geringe „Bounce-Rate“ von nur 6%, also der Anteil der Emails, die vom Eingangsserver des jeweiligen Mailanbieters abgelehnt wurden. Hier wurde im Vorfeld eine weit höhere Quote erwartet. Gleiches gilt für die Einordnung als Spam; so wurden mehr als die Hälfte der Phishing-Mails von den Nutzern auch tatsächlich geöffnet.

Abschluss der Aktion

Zum Abschluss der Anti-Phishing-Kampagne erhalten alle Teilnehmer in den nächsten Tagen ihre individuelle Auswertung und die Bestätigung, dass ihre persönlichen Daten gelöscht wurden. Das Fazit der in dieser Form erstmalig durchgeführten Kampagne, ist seitens der Organisatoren durchweg positiv. „Wir haben uns sehr über die große Resonanz gefreut.

Offensichtlich sind Internetbetrug und IT-Sicherheit Themen, die die Leute bewegen“, so Peter Meyer von botfrei.de / eyeo. „Insbesondere die relativ hohe Klickrate trotz Spamfilter und allgemein gehaltener E-Mails hat uns sehr überrascht. Die Raten bei unseren Unternehmenskunden liegen meist höher, allerdings führen wir hier auch zielgerichtete Angriffe durch“, erläutert SoSafe-Geschäftsführer Dr. Niklas Hellemann.

Aber auch bei den Teilnehmern kam der Test gut an: mehr als jeder zehnte Teilnehmer gab ein Feedback zu der Anti-Phishing-Kampagne ab: „Obwohl ich eigentlich Erfahrung im IT-Bereich habe, habt ihr mich erwischt. Gute Arbeit!“, berichtet ein Teilnehmer. „Im ersten Moment: Schock meines Lebens! Als ich die E-Mail erhalten habe, dachte ich wirklich, die wäre echt“, stellt ein weiterer Teilnehmer fest.

Die Simulations-Emails wurden zudem auf zahlreichen Internetseiten und Medien, unter anderem auch bei uns auf der Webseite, dem bekannten YouTube-Channel für IT-Themen „SemperVideo“ und in sozialen Netzwerken ausführlich diskutiert.