Keine simulierten Phishing-E-Mails mehr im Postfach? Kein Zugriff mehr auf das eLearning-Programm für Mitarbeitende der RWTH Aachen? Das kann nur eins bedeuten: das Cyber-Security-Awareness-Training an der RWTH Aachen wurde am 09. Mai 2022 vorerst beendet.
Heute blicken wir auf das Training zurück und teilen euch die Ergebnisse mit.
Cyber-Security an der RWTH
Die RWTH unternimmt viele Anstrengungen, sei es in den zentralen Einrichtungen oder in den Lehr- und Forschungseinrichtungen, um ein angemessenes Sicherheitsniveau aufrecht zu erhalten. Diese technischen und organisatorischen Maßnahmen können ihre Wirkung allerdings nur dann vollständig entfalten, wenn auch die Mitarbeitenden über das erforderliche Bewusstsein für die Gefahren verfügen. Es ist wichtig, dass die Mitarbeitenden dafür sensibilisiert werden, dass sie ebenfalls einen Beitrag leisten können, um Angriffe auf die Daten der RWTH zu verhindern oder doch zumindest zu erschweren.
In unserem Beitrag „Insider-Bedrohung: Die Gefahr von innen“ gehen wir dazu mehr ins Details und verraten, was genau Insider-Bedrohungen sind, wie es zu dieser Bedrohung kommen kann und wie sie sich vermeiden lassen. Ihr erfahrt darüber hinaus, wie man sich bei Datenschutzvorfällen an der RWTH richtig verhält und wie die Meldung vonstattengeht.
Phishing-Simulation an der RWTH
Die RWTH hat aufgrund der zunehmenden Cyberangriffe, die sich immer häufiger auch gegen Universitäten und anderen Einrichtungen richten, vom 06. Dezember 2021 bis zum 09. Mai 2022 mit Hilfe des Sicherheitsunternehmens SoSafe GmbH eine interne Phishing-Simulation zur Steigerung der Cyber-Security-Awareness durchgeführt.
Im Rahmen dieser Phishing-Simulation haben alle Mitarbeitenden und Studierenden der RWTH über diesen Zeitraum verteilt E-Mails erhalten, die möglichen Phishing-Angriffen auf unsere Hochschule nachempfunden wurden. Die von uns versendeten E-Mails dienten dabei der Schulung, um gefährliche E-Mails an bestimmten Merkmalen zu identifizieren, und der Schaffung von Awareness, um sich der Gefahr bewusst zu werden.
Hier könnt ihr nochmal nachsehen, welche simulierten Phishing-E-Mails von uns an euch versendet wurden:
- „Buchung der Lernräume“
- „Microsoft: Bitte authentifizieren Sie Ihr Konto“
- „Video: Bist Du das??“
- „Ihr Beitrag zum RWTH-Jubiläum“
- „Sicherheitshinweis: Neuer Evakuierungsplan“
- „Fw: Bund plant grundlegende Bildungsreform“
- „Verfahren gegen Mitarbeiter bei RWTH eingeleitet. Zeugen gesucht!“
- „Dringend: E-Mail-Kontingent aufgebraucht“
- „Wettbewerb: Das sicherste Passwort“
- „Anmeldeinformation zum Training“
- “RWTH Service Update am 16. Februar 2022”
- „Sie haben einen verpassten Anruf“
- „Paket mit hoher Priorität: Verfolgen Sie es jetzt!“
- „[Jobtickets und Parkausweise] Erstattungen nach der Pandemie“
- „[Semesterticket] Jetzt in der gesamten Euregio“
- „Update VPN-Client 5.7.3“
- „Outlook 2023 vor der Tür“
Weder die RWTH als Auftraggeber noch der externe Dienstleister konnten zu irgendeinem Zeitpunkt sehen, wie ihr persönlich geklickt oder euch verhalten habt. Die RWTH hat lediglich eine anonyme, zusammenfassende Auswertung der Klickraten bekommen.
Phishing-Simulation in Zahlen
Initialphase (06.12. – 17.12.2021)
In der Initialphase wurden über 160.000 simulierte Phishing-E-Mails an die knapp 60.000 Studierende und Mitarbeitenden der RWTH versendet.
In 20,8% der Fälle wurde auf eines der Phishing-Elemente wie beispielsweise einem Link, Bild oder Anhang geklickt.
Dabei fällt auf, dass über 40% der E-Mails auf einem mobilen Endgerät (Smartphone oder Tablet) geöffnet wurden.
Gerade auf diesen Geräten sind die Voreinstellungen der E-Mail-Apps oft standardmäßig so gesetzt, dass Bilder automatisch nachgeladen werden.
Dadurch wird es schwerer zu identifizieren, was für ein Link sich dahinter verbirgt und welche Seite somit geöffnet wird.
Folgephase (03.01. – 09.05.2022)
In der Folgephase wurden insgesamt über 270.000 dieser simulierten E-Mails versendet. Hierbei wurde bereits die Frequenz deutlich reduziert:
Während in der Initialphase (= zwei Wochen) drei E-Mails pro Angehörigen der RWTH versendet wurden, wurden während der Folgephase (= 4 Monate) im Durchschnitt eine E-Mail pro Monat versendet. Allerdings erfolgte der Versand auch diesmal zufallsgesteuert. Während dieser Phase wurde in 16,7% der Fälle auf ein Phishing-Element geklickt – und somit 4,1% weniger als in der ersten Phase. Parallel wurden auch 8,5% weniger E-Mails auf einem Smartphone oder Tablet geöffnet (insgesamt 31,5%).
Supportanfragen (06.12.2021 – 09.05.2022)
In diesem Kontext hat unser Support-Team von euch im gesamten Zeitraum über 4.500 Anfragen (u.a. inhaltliche und technische Fragen, Feedback, Weiterleitungen der verdächtigen E-Mails) per Chat, E-Mail oder Anruf erhalten.
Euer Feedback zur Phishing-Simulation
Während des Trainings haben wir von euch auch viel konstruktives Feedback erhalten – ob zur Frequenz, zu den Inhalten oder zu fehlenden bilingualen Texten. Das Stimmungsbild war insgesamt jedoch positiv 😊
An dieser Stelle möchten wir uns auch ganz herzlich bei euch bedanken! Denn nur mit eurem Feedback können wir unseren Service optimieren sowie für zukünftige Aktionen berücksichtigen und euch somit am Ende einen Mehrwert bieten.
Begleitendes E-Learning-Angebot für Mitarbeitende der RWTH
Um das Wissen rund um das Thema Cyber-Security und Phishing zu vertiefen, wurde den Mitarbeitenden der RWTH parallel ein E-Learning-Angebot vom 25.10.2021 bis zum 09.05.2022 zur Verfügung gestellt.
Insgesamt haben 13% der berechtigten Teilnehmenden der RWTH das Angebot in Anspruch genommen und im Durchschnitt 91 von 100 Punkten die praxisnahen und interaktiven Lernmodule erfolgreich abgeschlossen.
Die RWTH hat auch bei dieser Maßnahme zu keinem Zeitpunkt Kenntnis darüber erhalten, wer die Lernmodule absolviert hat und mit welchem Ergebnis diese abgeschlossen wurden.
Fazit
Solche Aktionen wie das Cyber-Security-Awareness-Training und eure Unterstützung führen zu einer Reduzierung des Risikos von Cyber-Angriffen. Wir sind davon überzeugt, dass es echten Angreifer*innen künftig schwerer fallen wird, Schadsoftware an der RWTH zu platzieren oder Passwörter zu stehlen.
Ihr wollt mehr über IT-Sicherheit und Phishing erfahren? Unter dem Tag IT-Sicherheit findet ihr all unsere Blogbeiträge zu diesem Thema.
Verantwortlich für die Inhalte dieses Beitrags ist Nicole Kaminski.
Thanks a lot for the insightful evaluation!
As requested by my institute, I had done the security training and found it quite helpful. In that sense, are there any recommended resources, for example, a few pdf/pptx slides, that summarize the most essential security tips for RWTH members? So even if the official training course is over, we could still recommend some specific reading material to new members at our institute. 🙂
Dear Marwa,
thank you for your comment.
You can find many helpful blog posts in the „IT Security“ category. You can filter them in the right column on our blog.
In addition, you have the option to use the tag „IT-Sicherheit“ and you will find some blog posts on this topic. Just follow the link below:
https://blog.rwth-aachen.de/itc/en/tag/it-sicherheit/
If you have any further questions, please feel free to contact us.
Kind regards
the IT Center Blog Team