Nicht nur privat, auch auf der Arbeit müssen wir aufpassen, auf welchen Link wir klicken. Phishing-Mails, also Hackerangriffe, sind auch auf dem Firmenserver ein Problem. Warum aber verschicken manche Unternehmen selbst Phishing-Mails an Mitarbeitende? Und: Dürfen die das?

Privat sind wir vielleicht etwas achtsamer und schauen uns die Mails genau an, bevor wir auf einen Link klicken. Klar, wenn uns mal wieder 50.000 Euro versprochen werden, wissen wir sofort, dass es sich um eine Phishing-Mail handelt, mit der Hacker sich Zugriff auf unsere Systeme verschaffen wollen. Aber es gibt ja auch durchaus durchdachtere Phishing-Mails.

Auf der Arbeit rechnen die meisten wohl eher nicht damit, dass ihnen Mails mit Links geschickt werden, die großen Schaden anrichten können. Aber auch da sollten wir aufmerksam und kritisch sein. Insbesondere, weil uns die Chefetage gezielt auf die Probe stellen könnte.

IT-Dienstleister bieten Phishing-Kampagnen für Unternehmen

Inzwischen bieten dutzende IT-Dienstleister sogenannte Phishing-Kampagnen für Unternehmen, aber auch Behörden oder Institutionen an. Damit verkaufen sie eine Art Angriffssimulation. Deutschlandfunk-Nova-Reporter Michael Gessat berichtet, dass es mit Office 365 sogar ein spezielles Microsoft-Paket für Unternehmenskundinnen und -kunden gibt.

"Mit dem Microsoft-Office-365-Paket können IT-Administratoren in einer Organisation so eine Phishing-Kampagne relativ einfach selbst aufsetzen."
Michael Gessat, Deutschlandfunk-Nova-Reporter

Den eigenen Mitarbeiterinnen und Mitarbeitern Phishing-Mails zu schicken, ist zwar noch keine Alltagspraxis, kommt aber vor. Und Angebote gibt es ausreichend.

Wie genau der Wortlaut der jeweiligen Mail ist, hängt vom Unternehmen ab. Je nach Branche könnte es beispielsweise heißen: "Für neueste Informationen zum Coronavirus, bitte hier klicken." Oder: "Hallo Dennis, ich mail mal von zuhause. Du musst mal sofort 15.000 Euro an Konto xyz schicken, wir haben da eine wichtige Rechnung verschlafen."

Cheffinnen stellen Mitarbeiter auf die Probe

Hintergrund dieser Phishing-Mails aus der eigenen IT-Abteilung ist wahrscheinlich, dass die Cheffinen und Chefs ihre Leute testen wollen. Möglich sei auch, so Michael Gessat, dass sie einen Grund für eine Abmahnung oder sogar eine Kündigung suchen.

Vor einem Missbrauch dieser Phishing-Mails warnen auch drei Professorinnen vom Karlsruher Institut für Technologie und der Ruhr-Uni Bochum in einem Paper. Phishing-Kampagnen sind aus verschiedenen Gründen nämlich auch ziemlich heikel.

Datenschutz- und arbeitsrechtliche Bedenken

Abgesehen von der Frage, welches Signal da auf menschlicher Ebene gesendet wird, gibt es auch Datenschutz- oder arbeitsrechtlichen Bedenken. Wenn die Ergebnisse eines solchen Tests nicht komplett anonymisiert, also zum Beispiel nur pseudonymisiert werden, müsse der Betriebs- oder Personalrat miteinbezogen werden, oder es müsse eine generelle Einwilligungserklärungen geben, erläutert Michael Gessat.

In dem Paper der Professorinnen werden noch weitere Fallstricke erwähnt: In manchen Netzkonfigurationen könnte es nötig sein, das allgemeine Sicherheitslevel runterzusetzen, damit die Fake-Phishing-Mails überhaupt bis zu den Mitarbeitenden durchkommen.

"Wenn die Phishing-Mails inhaltlich so angelegt sind, dass sie vermeintlich von Kollegen kommen, könnte das betriebsinterne Konflikte befeuern."
Michael Gessat, Deutschlandfunk-Nova-Reporter

Die Autorinnen des Papers ziehen ein kritisches Fazit zu betriebsinternen Phishing-Kampagnen. Wenn man diese schon durchführen wolle, sei grundsätzlich zu überlegen, wie und in welcher Form. Man könne es ohne Vorankündigung machen. Dann gehe man aber das Risiko ein, dass sich die Mitarbeitenden vorgeführt und hintergangen fühlen. Man könne diesen Test aber auch ankündigen. Dann sei aber die Frage, wie nachhaltig diese Kampagne ist, wenn Mitarbeiter und Mitarbeiterinnen bewusst darauf achten.

Mehr IT-Sicherheit durch Schulungen

Sicherlich geht es den Chefs und Cheffinnen im Kern um die Sicherheit im eigenen Unternehmen. Aber sind Tests in Form von Phishing-Kampagnen der geeignete Weg? Die Autorinnen des Papers sind da genauso skeptisch wie Michael Gessat. Er sagt: "A und O für jede Institution ist zunächst mal, von der technischen IT-Konfiguration her das Risiko so weit wie möglich zu senken. Also Ausfiltern von potentiell gefährlichen Mails, Abschalten von gefährlichen Makros und Scripten in Word oder Excel."

Außerdem schlägt er vor, die Mitarbeitenden regelmäßig zu schulen und zu sensibilisieren; auch dahingehend, dass sie Phishing-Versuche sofort melden – auch wenn sie selbst darauf geklickt haben. Wenn man keine Angst vor Sanktionen habe, würde das auch klappen.

Und noch ein ziemlich simpler Vorschlag: Wenn im Betrieb regelmäßig über solche Themen ein Austausch stattfindet, braucht der Arbeitgeber auch keine aufwendige Phishing-Kampagne mehr.