Empirische Untersuchung der messbaren Security Awareness Steigerung durch Phishing Kampagnen

Erik Mues

Kurzfassung

Phishing ist ein Angriffsvektor, der beträchtliche Schäden verursacht. Ein Ansatz, um den Erfolg von Phishing Angriffen zu minimieren, stellt die Durchführung von simulierten Phishing Kampagnen dar. Aus diesem Grund hat sich das untersuchte Unternehmen entschlossen eine Phishing Awareness Kampagne durchzuführen. Hierbei werden Mitarbeiter bezüglich Phishing sensibilisiert. Innerhalb der Kampagne werden simulierte Phishing E-Mails verschickt und die Reaktion der Probanden gemessen. Nach einem zweiten Angriff wird evaluiert, ob eine Steigerung der Awareness erreicht worden ist, indem die Ergebnisse beider Messungen miteinander verglichen werden. Des Weiteren wird in diesem Bericht ausgeführt, welche Vorkehrungen und Rahmenbedingungen notwendig sind, um eine Phishing Kampagne innerhalb eines Konzerns durchführen zu können.

Schlagwörter: Empirische Studie, Phishing, Security Awareness, IT-Sicherheit

Abstract

Phishing is an attack vector, that causes significant damage. An approach to minimize the success of phishing attacks, is to conduct simulated phishing campaigns to improve the security awareness of employees. Therefore the examined enterprise decided to realize a phishing awareness campaign. The campaign will cover the measurements of the employees' reactions when receiving a phishing email. After a second attack, the behavioural change will be evaluated to determine the increase of it security awareness achieved.
Additionally this bachelor thesis will show, which agreements and frameworks are necessary
to realize a phishing campaign within a corporation.

Keywords: empiric study, phishing, security awareness, it security