Lernen und Lehren mit NoPhish

Tools und Materialien

Das NoPhish-Lernkonzept ist in einer Reihe von Materialien und interaktiven Tools umgesetzt, um jedmöglichen Bedürfnissen der Nutzer, allem voran in Unternehmen, gerecht zu werden. Diese Arbeitshilfen können für den nicht-gewerblichen Einsatz von der SECUSO-Website [1] kostenlos heruntergeladen werden (d. h. auch Unternehmen dürfen diese Materialien für den eigenen Gebrauch verwenden – eine gewerbliche Nutzung, etwa zur Schulung Dritter, ist jedoch untersagt).

• Poster als Umsetzung der Sensibilisierungskomponente: Auf den Postern wird dargestellt, man hätte eine Nachricht eines Anbieters empfangen, der einen auffordert, auf einen enthaltenen Link zu klicken. Die Poster liegen in zwei Varianten vor: Eines davon enthält einen Original-Link, das andere einen gefälschten Link. Die Nutzer werden somit angeregt, darüber nachzudenken, welcher Nachricht beziehungsweise welchem Link sie vertrauen würden.
• Android-App / Online- Training: In beiden Formen sind die verschiedenen Regeln in einzelnen Leveln konzipiert, die vom Nutzer durchlaufen werden. Die Android- App (https://play.google.com/store/ apps/details?id=de.tudarmstadt.informatik. secuso.phishedu2) und das Online-Training (https://nophishweb. secuso.org) bilden zusammen mit den beiden nachfolgend genannten Schulungsunterlagen die umfangreichsten Materialien. Mittels anschaulicher Beispiele wird hier zunächst in das Thema eingeführt und die Nutzer werden für die Problematik sensibilisiert. In den nachfolgenden Theorieteilen der App und des Onlinetrainings werden den Nutzern dann im Rahmen der Wissensvermittlung die wichtigsten Tipps und Tricks zur Erkennung von Phishing mitgegeben. Im abschließenden Übungsteil haben sie die Möglichkeit, ihr Wissen anzuwenden.
• Schulungsunterlagen für das Selbststudium: Hierbei kann man zwischen Kurz- und Langfassungen von Foliensätzen wählen, sodass dem Nutzer freigestellt ist, ob er zusätzlich fakultative Übungen zum Festigen des Wissens durchlaufen möchte. In Zusammenhang mit den Übungen adressieren die Schulungsunterlagen genau wie die Android-App und das Online-Training alle drei Komponenten des Lernkonzepts.
• Schulungsunterlagen für Seminare: Auch Lehrenden stehen Kurz- und Langfassungen der Foliensätze als Schulungsunterlagen für Seminare zur Auswahl. Die Unterlagen können wahlweise mit oder ohne aktive Beteiligung der Lernenden genutzt werden (d. h. mit und ohne Übungen). In Bezug auf die Komponenten des Lernkonzepts gilt hier dasselbe wie für die Unterlagen zum Selbststudium.
• Flyer, Poster und Infokarte: Diese Materialien vermitteln in kurzer und einprägsamer Weise die zentralen Inhalte des Lernkonzepts. Im Vordergrund stehen dabei die sieben im Kasten genannten Regeln zur Erkennung gefährlicher Links. Die Formate gehen aufgrund ihrer Komprimiertheit nur auf die wesentlichen Inhalte des Lernkonzepts ein und sprechen somit nur die Komponente der Wissensvermittlung an.

Die Effektivität der verschiedenen Formate (abgesehen von der Infokarte) wurde in mehreren wissenschaftlichen Studien evaluiert [4,5,6,7], wobei für jede der Maßnahmen eine signifikante Verbesserung bei den Teilnehmern festgestellt wurde. Die größte Verbesserung zeigte sich hier bei der Präsenzschulung, die darüber hinaus vor allem in den Bereichen Effizienz (Geschwindigkeit und korrekte Erkennung von legitimen und Phishing-URLs), Zufriedenheit der Nutzer und Vertrauen der Nutzer in Bezug auf ihre eigenen Fähigkeiten bezüglich der Unterscheidung von legitimen und Phishing-Nachrichten die besten Ergebnisse aller Trainingsformate erzielen konnte [7].

Weitere Websites

Ausgewählte Materialien sind darüber hinaus in eine Plattform zur Steigerung des Sicherheitsbewusstseins eingebunden, die kleinen und mittelständischen Unternehmen (KMU) ermöglicht, sich kostenlos zu registrieren und die Inhalte zu nutzen (https://awareness.usd.de – Registrierung erforderlich). Mitarbeiter können ohne großen Aufwand angelegt und eingeladen werden, sodass diese jederzeit und überall den Umgang mit sicherheitsrelevanten Themen trainieren und ihr Sicherheitsbewusstsein stärken können.

Zusätzlich steht ein Quiz zur Erhebung des Lernerfolgs zur Verfügung (www.soscisurvey.de/quiz_kurz/ – bei Bedarf kann das Quiz auch im Unternehmen selbst durchgeführt werden): Um festzustellen, wie gut betrügerische Nachrichten erkannt werden, sind 16 Beispiele in unterschiedlichen Kontexten zu beurteilen. Abschließend haben die Nutzer die Möglichkeit, sich eine Auflösung anzusehen – somit bietet sich ihnen die Möglichkeit, eventuell vorhandene Wissenslücken aufzudecken. Die Durchführung dauert ungefähr zehn Minuten. Für Unternehmen bietet das Quiz die Möglichkeit der Evaluation des Lernerfolgs ihrer Mitarbeiter: So lässt sich gezielt ermitteln, an welchen Stellen noch Nachholbedarf besteht – außerdem kann ein Zertifikat für die erfolgreiche Teilnahme erworben werden.

Außerdem steht das ebenfalls kostenlose Add-on „Torpedo“ zur Verfügung, das als Erweiterung für das E-Mail-Programm Thunderbird Internetnutzer bei der Erkennung von Phishing-E-Mails unterstützt (www.secuso. informatik.tu-darmstadt.de/de/secuso/forschung/ ergebnisse/torpedo/). Damit können Nutzer ergründen, welche Webadresse sich tatsächlich hinter einem in EMails angezeigten Link verbirgt – ein entsprechendes Dialogfenster zeigt dazu in Abhängigkeit der Gefährdungslage zusätzlich einen farbigen Rahmen. Für Fälle, in denen das Tool keine klare Empfehlung geben kann und der Nutzer die URL selbst überprüfen muss, erhält er hierzu eine Anleitung, die auf der Wissenskomponente von NoPhish beruht.

Schulungsvideo

Im Februar 2017 ist als neuestes Format ein fünfminütiges Video hinzugekommen, das in Kooperation zwischen SECUSO und Alexander Lehmann entstanden ist (www.youtube.com/user/alexanderlehmann). Es beginnt ebenfalls mit der Sensibilisierung der Nutzer und erläutert, wie Betrüger effiziente Methoden entwickelt haben, die es ihnen ermöglichen, tausende Menschen gleichzeitig über das Internet anzugreifen. Im Folgenden verdeutlicht das Video zwei Methoden der Betrüger: Im ersten Beispiel erhalten potenzielle Opfer Nachrichten, die sie dazu verleiten, auf einen Link zu klicken, über den in einer authentisch wirkenden Webseite sensible Daten (wie Passwörter) abgegriffen werden sollen. Die zweite Methode beschäftigt sich damit, dass es bereits gefährlich ist, auf einen Link nur zu klicken, da hierdurch automatisch Schadsoftware heruntergeladen werden kann. Anschließend beleuchtet das Video die möglichen Konsequenzen für die Opfer wie beispielsweise Identitäts- und Datendiebstahl oder finanzieller Schaden.

Im Anschluss erklärt das Video (Wissensvermittlung), wie man erkennen kann, ob ein Link vertrauenswürdig ist, und gibt dazu zwei Tipps zum Identifizieren des „Wer-Bereichs“ sowie darin versteckter Buchstabendreher, Tippfehler oder einer Folge von Zeichen, die einer legitimen URL ähneln und bei flüchtiger Überprüfung schnell übersehen werden können (vgl. die NoPhish-Regeln im Kasten).

Evaluation des Videos

In einer wissenschaftlichen Untersuchung sollte der Einfluss des nur fünfminütigen Videos auf die Leistung von Probanden bei der Erkennung von Phishing- Nachrichten ergründet werden.

Hypothesen

Für die Evaluation des Videos wurden mehrere Hypothesen formuliert, die sich zunächst mit der Gesamtleistung der Probanden beschäftigen. Außerdem stand in je zwei nachrangigen Hypothesen eine Verbesserung der Erkennungsleistung in den beiden Kategorien Phishing und legitime Nachrichten auf dem Prüfstand:

• H1: Die Probanden stufen nach dem Video signifikant mehr Nachrichten richtig ein als zuvor.
• H1.1.: Die Probanden stufen nach dem Video signifikant mehr Phishing-Nachrichten richtig ein als zuvor.
• H1.2: Die Probanden stufen nach dem Video signifikant mehr legitime Nachrichten richtig ein als zuvor.

• H2: Die Probanden sind sich nach dem Video signifikant sicherer in ihrer Entscheidung als zuvor.
• H2.1: Die Probanden sind sich nach dem Video signifikant sicherer in ihrer Entscheidung bei Phishing- Nachrichten als zuvor.
• H2.2: Die Probanden sind sich nach dem Video signifikant sicherer in ihrer Entscheidung bei legitimen Nachrichten als zuvor.

Studiendesign

In der Studie wurden zwei Quiz präsentiert, um die Entwicklung in der Beurteilung von Phishing-Nachrichten und legitimen Nachrichten zu bewerten: Das eine Quiz absolvierten die Probanden, bevor sie das Video sahen – das andere Quiz im Anschluss an das Video.

Zu Beginn der Untersuchung wurden den Probanden Instruktionen zum hypothetischen Szenario gezeigt, die es für jede Entscheidung zu berücksichtigen galt:

• Der eigene Name ist Max Müller (was dem Empfänger der Nachricht entspricht).
• Max Müller nutzt alle in den Nachrichten genannten Dienste.
• Max Müllers Kollege heißt Jonas Schmidt (dieser trat als Absender einiger erhaltener Nachrichten auf).

In jedem Quiz mussten die Probanden für 16 Nachrichten entscheiden, ob die ihnen vorliegende E-Mail betrügerisch oder legitim ist – zusätzlich sollten die Probanden angeben, wie sicher sie sich bei ihrer Beurteilung sind.

Die Hälfte der Nachrichten enthielt gefährliche Links, die andere Hälfte legitime Links. Es handelte sich bei allen Nachrichten um plausible Inhalte, die zu einem Verhältnis von 1:3 aus Nachrichten von einem Internetdienst (z. B. der Volksbank) und privaten Nachrichten (z. B. von Jonas Schmidt) bestanden.

Bei der Anzeige der URLs wurden zusätzlich zwei Kategorien unterschieden: Entweder befand sich die Anzeige des Ziels eines Links in der Statusleiste der Anwendung (d. h. am unteren Rand des Anwendungsfensters) oder aber in einem Tooltip (also direkt am Mauszeiger).

Die Phishing-Nachrichten teilten sich dabei auf die beiden in den Tipps des Videos behandelten Typen im Verhältnis von 1:1 auf.

Nach jedem Quiz wurde den Probanden rückgemeldet, wie viele Nachrichten sie korrekt eingestuft hatten. Dabei wurde jedoch nicht explizit zurückgemeldet, welche der Nachrichten falsch beantwortet wurden und auch keine Aufteilung in betrügerisch und legitim vorgenommen.

Rekrutierung, Prozedur und Ethik

Die Evaluation wurde im Rahmen einer Onlinestudie mithilfe von SosciSurvey durchgeführt (www. soscisurvey.de) – die Rekrutierung fand ebenfalls über Onlineplattformen statt. Dabei wurde versucht, eine möglichst breite Streuung des Alters zu erreichen. Die Ethikkommission der TU Darmstadt hat für die Forschung unter Einbeziehung des Menschen bestimmte Anforderungen festgelegt, die allesamt eingehalten wurden: Alle Daten wurden unabhängig von der Identität der Probanden erhoben. Des Weiteren waren keine Drittparteien (neben SosciSurvey) in die Evaluation der Daten involviert, um sicherzustellen, dass nur berechtigte Personen Zugriff darauf erhielten.

Ergebnisse

Die Veränderung in der Leistung bei der Erkennung von betrügerischen und legitimen Nachrichten wurde mittels McNemar-Chi-Quadrat-Test, die Veränderung der subjektiven Einschätzung der Sicherheit bei der Beurteilung mittels einseitigem t-Test für abhängige Stichproben gemessen. Im Folgenden wird neben demografischen Daten auf die Ergebnisse der statistischen Auswertung und die Folgen für die formulierten Hypothesen eingegangen.

Insgesamt nahmen 81 Probanden an der Studie teil, darunter 35 weibliche und 46 männliche Personen mit einem durchschnittlichen Alter von 37,5 Jahren (mit einer Standardabweichung von 15,78). Das minimale Alter betrug 20 Jahre, das maximale 60 Jahre.

Nachdem die Probanden das Video gesehen hatten, stuften sie signifikant mehr Nachrichten richtig ein (p < 0,001; Chi-Quadrat = 151,16), wobei der Median für richtig eingestufte Nachrichten bei 11 (vor dem Video) und 15 (nach dem Video) von maximal 16 möglichen richtigen Entscheidungen lag. Hypothese 1 konnte somit bestätigt werden.

Auch die Hypothesen 1.1 und 1.2 können bestätigt werden: Denn die Probanden stuften nach dem Video signifikant mehr betrügerische (p < 0,001; Chi-Quadrat = 87,12) und legitime Nachrichten (p < 0,001; Chi-Quadrat = 46,92) richtig ein. Der Median betrug hier 5 und 7 für Phishing-Nachrichten beziehungsweise 6 und 8 für legitime Nachrichten.

Analoge Ergebnisse lieferten die Tests bezüglich der Überzeugung in die Richtigkeit der Beurteilung durch den Probanden: Insgesamt zeigte sich, dass sich die Probanden nach dem Anschauen des Videos in ihrer Entscheidung signifikant sicherer waren (p < 0,001). Somit kann Hypothese 2 ebenfalls bestätigt werden. Die Mittelwerte für vorher und nachher lagen bei 4,02 sowie 4,35 auf einer Skala von 1 (sehr unsicher) bis 5 (sehr sicher).

Auch die Hypothesen 2.1 und 2.2 können bestätigt werden, da sich die Probanden sowohl bei betrügerischen (p < 0,001) als auch bei legitimen Nachrichten (p < 0,001) nach dem Anschauen des Videos in ihrer Entscheidung sicherer waren: Die Mittelwerte betrugen 4,09 und 4,49 für betrügerische beziehungsweise 3,96 und 4,20 für legitime Nachrichten.

Auffälligkeiten

Es gab zwei Phishing-Nachrichten, die nach dem Ansehen des Videos zwar besser erkannt wurden, aber dennoch eine höhere Fehlerquote aufwiesen als andere Phishing-Mails (die durchschnittliche Fehlerquote über alle Phishing-Nachrichten lag bei 15,28 %):

• Anzeige des Ziels im Tooltip und der richtige Domain-Name (Wer-Bereich) im Pfad der Webadresse: vor dem Video 33,33 % falsch eingestuft, danach 27,16 %
• Anzeige des Ziels in der Statusleiste und Diskrepanz zwischen Link im Text und Ziel: vor dem Video 50,62 % falsch eingestuft, danach 34,57 %

Der erste Fall lässt sich dadurch erklären, dass dieser Angriff im Video nicht explizit aufgegriffen wird: Der Fokus bei Tipp 1 liegt vielmehr auf der Verwendung des richtigen Domain-Namens als Sub-Domain. Die Verwendung im Pfad kommt zwar in Beispielen vor, wird aber nicht explizit besprochen.

Gleiches gilt für den zweiten Fall: Die Beispiele zu Beginn des Videos (wo erklärt wird, dass man die tatsächliche Webadresse in der Statusleiste oder in einem Infofeld findet) verwenden als Link den Text „Link“ in der Nachricht – dort kommt also keine Webadresse vor. Zwar wird dieses Problem am Ende des Videos aufgegriffen, dies allerdings in Kombination mit einem Infofeld und nicht wie im zweiten betrachteten Fall in der Statusleiste. Hier hat sich also noch Verbesserungspotenzial für das Video gezeigt.

Fazit

Gerade für kleine und mittelständische Unternehmen, die meist keine eigene Sicherheitsabteilung besitzen, ist die Wissensvermittlung über Phishing-Nachrichten besonders wichtig. Präsenzschulungen können hier für ein hohes Maß an Effektivität und Zufriedenheit der Nutzer sorgen. Stehen Unternehmen dafür keine Ressourcen zur Verfügung, können auch Flyer, Infokarten oder Poster ausgelegt und aufgehängt werden, die kurz und knapp die wichtigsten Regeln zur Identifizierung betrügerischer Webadressen in E-Mails informieren. Um vorab Mitarbeitern einen ersten Eindruck über die Problematik zu verschaffen und zu verdeutlichen, wie leicht jeder Opfer eines solchen Angriffs werden kann, eignen sich die Sensibilisierungsposter.

Als Alternative zu Flyer, Infokarten und Poster zur Sensibilisierung und Wissensvermittlung steht nun auch ein fünfminütiges Video zur Verfügung. Wie bereits aus der Evaluierung der Hypothesen ersichtlich wurde, kann selbst ein so kurzes Video zum einen maßgeblich zu einer positiven Entwicklung in der Erkennungsleistung bei Phishing-Nachrichten beitragen – und zum anderen kann es auch die subjektive Sicherheit der Probanden bei ihrer Entscheidung erhöhen.

Gleichzeitig haben die Ergebnisse noch gezeigt, wie das Video verbessert werden müsste, um die Effektivität zu maximieren und etwa das Level von Schulungen zu erreichen: Diese konnte hier bessere Werte erzielen, benötigt dafür aber auch erheblich mehr Zeitaufwand. Insofern stellt das Video, gerade aufgrund seiner Kürze, eine gute Grundlage zur Stärkung des Sicherheitsbewusstseins dar – zur Vertiefung können anschließend andere Maßnahmen dienen.