Sie geben sich den Anschein von Glaubwürdigkeit: gefälschte E-Mails, deren Absender sich als bekannte Dienstleister, Kollegen oder Vorgesetzte ausgeben. Teilweise sind solche Phishing-Mails eher primitiv, es gibt aber auch Phishing-Angriffe, die täuschend echt in Aufmachung und Stil daherkommen. Mit gefälschten Logo beispielsweise von Paypal, Amazon oder einem anderen großen Anbieter bitten sie die Nutzer darum, ihre Daten zu bestätigen, oder aber warnen, dass man das Konto gesperrt hätte.

Ziel dieser E-Mails ist es, arglose Empfängerinnen und Empfänger dazu zu verleiten, auf einen Link zu klicken oder einen E-Mail-Anhang zu öffnen. Tut man dies, dann kann man entweder auf eine gefälschte Website gelangen, auf der man dazu verleitet wird, Passwörter oder sogar Kontodaten preiszugeben. Im anderen Fall lädt der Klick auf den Anhang ein Virus oder einen Trojaner auf den heimischen Rechner – ein Schadprogramm, durch das die Cyberkriminellen dann Zugang zum Computer und Computernetzwerk erlangen. Dadurch können sie Daten ausspähen und ebenfalls Passwörter ausspionieren.

Phishing-Mails auf Geheiß der Chefs

Doch wer glaubt, dass hinter solchen Phishing-Mails immer Cyberkriminelle stecken, irrt. Denn inzwischen gibt es auch Unternehmen, die die Wachsamkeit ihrer Angestellten durch gefälschte Phishing-Kampagnen kontrollieren. Die Motivation dahinter ist klar: Gerade bei einer größeren Firma genügt es, dass ein einzelner Angestellter einem Phishing-Angriff Glauben schenkt, um großen Schaden zu verursachen.

Um das zu verhindern und um die Anfälligkeit der Mitarbeitenden zu testen, nutzen manche Firmen und Institutionen Phishing-Kampagnen externer Dienstleister. Mit Wissen der Unternehmensleitung werden dann fingierte Phishing-Mails an die Angestellten geschickt. „Die Kampagnen haben das Ziel, Mitarbeiterinnen und Mitarbeiter bewusst zu täuschen, um sie vor realen Gefahren zu schützen und ein Problembewusstsein zu schaffen", erklärt Melanie Volkamer vom Karlsruher Institut für Technologie (KIT).

Dürfen die das?

Aber sind solche Phishing-Kampagnen überhaupt erlaubt? Was ist rechtlich, sicherheitstechnisch und ethisch vertretbar? Das haben Volkamer, ihre Kollegin Franziska Boehm und IT-Sicherheitsexpertin M. Angela Sasse von der Ruhr-Universität Bochum untersucht. Wie sie erklären, sind solche Phishing-Kampagnen innerhalb des Unternehmens nicht verboten. Aber: „Phishing-Kampagnen bringen eine Reihe von Sicherheitsproblemen mit sich, und sie beeinflussen die Vertrauens- und Fehlerkultur in einem Unternehmen stark; auch rechtlich ist einiges zu berücksichtigen“, sagt Boehm.

Ein Problem an solchen Kampagnen: Sie beeinträchtigen das Vertrauen zwischen Unternehmensleitung und Angestellten und sind schlecht für das Arbeitsklima. „Eine Kampagne zu starten, ohne die Angestellten vorher darüber aufzuklären, ist schlicht unfair und trägt nicht zum Vertrauen in die Leitung bei“, sagt Sasse.

Sicherheit und Transparenz sinken eher

Darüber hinaus aber trägt es meist nicht zur IT-Sicherheit bei - eher im Gegenteil, wie die Forscherinnen erklären. Denn zu erfahren, dass man auf Phishing-Nachrichten hereingefallen ist, wirkt sich schlecht auf das Selbstbewusstsein aus: „Die Angestellten merken, dass sie keine Kontrolle über die Situation haben und reagieren mit Resignation, sie bemühen sich nicht einmal mehr, Phishing-Nachrichten zu erkennen“, so Volkamer und ihre Kolleginnen.

Ein weiteres Problem: Gerade wenn klar ist, dass die Firmenleitung ohnehin wenig Vertrauen in ihre Angestellten hat, fördert dies nicht gerade die Offenheit. Als Folge wird ein Mitarbeiter, der merkt, dass er auf eine echte Phishing-Mail hereingefallen ist, dies dann aus Angst vor negativen Konsequenzen möglicherweise nicht melden. Die Forscherinnen raten daher Unternehmen, eher auf Aufklärung zu setzen und klare Melderoutinen für alle Vorfälle solcher Art zu etablieren – ohne dass Repressalien drohen.

Risiko auch bei angekündigten Kampagnen

In einigen Fällen führen Unternehmen solche Phishing-Kampagnen auch mit Ansage durch: Alle Mitarbeitenden bekommen vorher Bescheid, dass in nächster Zeit solche E-Mails kommen können. Das allerdings kann erst recht nach hinten losgehen: „Wenn die Mitarbeiter wissen, dass die Kampagne läuft, sind sie vielleicht neugierig und klicken eine Mail an, in der Annahme, da kann nichts passieren, die Mail ist ja fingiert", sagt Volkamer. "Da aber weiterhin echte Phishing-Mails im Umlauf sind, wird das Schutzniveau herabgesetzt." Denn die angeklickte E-Mail könnte dann doch echt sein – mit allen negativen Folgen.

Umgekehrt kann es sein, dass Angestellte bei einer angekündigten Kampagne übervorsichtig reagieren und sich dann gar nichts mehr trauen. Sie hinterfragen nun auch harmlose Nachrichten und haken nach, was Zeit kostet und den Leistungsdruck auf die Mitarbeitenden erhöht. „Security wird meist ohnehin als lästig und störend empfunden, aus unserer Sicht ist es ein großes Problem von Phishing-Kampagnen, dass sie das Thema noch negativer belegen, denn letztlich greift dabei die Leitung ihre Angestellten an“, sagt Sasse.

Lieber das IT-System technisch aufrüsten

Nach Ansicht der Wissenschaftlerinnen sind daher solche vom Unternehmen angestoßenen Pseudo-Phishing-Kampagnen der falsche Weg, um Mitarbeitende zu sicherheitsbewussterem Verhalten zu motivieren. Sie raten Unternehmen, die ihre IT-Sicherheit stärken wollen, Zeit und Geld stattdessen in erster Linie in eine Verbesserung der technischen Sicherheitsmaßnahmen zu investieren. Erst dann mache es Sinn, die Angestellten zu schulen, welche Phishing-Nachrichten sie trotz der aktuellsten Sicherheitssoftware und des neuesten Betriebssystems noch erreichen können und wie sie diese erkennen.