Einige IT-Abteilungen in Unternehmen versuchen auf modernem Weg ihre Mitarbeiter über Cybersicherheit aufzuklären. Ob dies hilfreich ist, ist stark umstritten.
So hat beispielsweise der Chief Technology Officer der Atlantic Media, Tom Cochran, vor einigen Wochen eine gefälschte Phishing-E-Mail an alle 450 Angestellten des Unternehmens versendet. Die Nachricht sah aus, als würde sie von Google App stammen, und forderte die Empfänger auf, ihre Kontoinformationen zu bestätigen, indem sie auf den angegeben Link klickten.

Wer dem Link folgte, wurde auf eine Website weitergeleitet, die den Sicherheitstest aufdeckte. Circa 120 Angestellte waren dem Link gefolgt. Weitere 120 Mitarbeiter öffneten zwar die E-Mail, folgten aber nicht dem Link. Die restlichen Angestellten von Atlantic Media haben Tom Cochran wegen der verdächtigen E-Mail kontaktiert oder die Nachricht in ihrem Posteingang markiert.

„Es ist besser, Leuten zu demonstrieren, was passieren kann, als ihnen nur davon zu erzählen. Ich wollte den Mitarbeitern aufzeigen, wie schnell man Opfer einer Phishing-Attacke werden kann und wie einfach es ist, sich vor einer zu schützen“,

sagt Tom Cochran.

Während Cochran davon überzeugt ist, dass es von hohem Nutzen sei, die Mitarbeiter über Cybersicherheit aufzuklären, gibt es auch viele Gegner dieser Trainingsmethoden. So behauptet Bruce Schneier, ein bekannter Technologe und Kryptograph, dass diese Art und Weise, Mitarbeiter zu trainieren, vergeudete Zeit und herausgeworfenes Geld sei.  Dies begründet er damit, dass bereits ein fahrlässig handelnder Mitarbeiter ausreicht, um eine Netzwerk zu gefährden. Vielmehr solle man laut Schneier in Systeme investieren, die fehlerhafte Verhaltensweisen der Mitarbeiter ausbessern, beispielsweise ein Anti-Virus-Programm, das dem Mitarbeiter schon gar nicht ermöglicht, den Link anzuklicken.

Artikel von scmagazine.com, 03.07.2013: CTO of media company faked-out employees with „phishing“ emails