Quelle: Pixabay
Aufgrund der zunehmenden Cyberangriffe, die sich immer häufiger auch gegen Universitäten und anderen Einrichtungen richten, führt die RWTH Aachen seit dem 06. Dezember 2021 mit Hilfe des Sicherheitsunternehmens SoSafe GmbH eine interne Phishing-Simulation zur Steigerung der Cyber-Security-Awareness durch.
Cyberangriffe verursachen oft große Schäden, nicht nur für den einzelnen Nutzenden, sondern auch für ganze Unternehmen, Hochschulen und Institutionen.
Vor allem ist Vorsicht bei unbekannten Links sowie Anhängen von E-Mails geboten. Diese sollten nur dann geöffnet werden, wenn man sich sicher ist, die oder den Absender*in der E-Mail zu kennen. Wenn ihr eine verdächtige E-Mail bekommt, leitet diese als Anhang an unseren IT-Support und parallel an unseren Spamfilter von Ironport weiter. Auf diese Weise könnt ihr einen großen Beitrag zur IT-Sicherheit leisten und unsere entsprechenden Filter optimieren. Geht grundsätzlich achtsam und sensibel mit empfangenen E-Mails um. Insbesondere persönliche oder dienstliche Informationen sollten prinzipiell nicht preisgegeben werden.
Phishing-Simulation an der RWTH
Im Rahmen der Phishing-Simulation erhalten alle Mitarbeitenden und Studierenden der RWTH über mehrere Monate verteilt E-Mails, die realistischen Phishing-Angriffen auf unsere Hochschule nachempfunden sind. Die von uns versendeten E-Mails dienen der Schulung und der Schaffung von Awareness. Sie enthalten Links, die euch auf interaktive Lernseiten führen. Dabei besteht zu keiner Zeit ein Sicherheitsrisiko für eure Geräte oder Daten.
Diejenigen von euch, die auf die entsprechenden Links in den E-Mails geklickt haben, konnten sich bereits über die detaillierten Lernseiten darüber informieren, wie man Phishing-E-Mails erkennt und mit ihnen umgeht. Für diejenigen, die auf keine der Links in den Phishing-E-Mails geklickt haben, haben wir hier auch noch einmal die Links zu den entsprechenden Lernseiten aufgelistet:
- „Buchung der Lernräume“
- „Microsoft: Bitte authentifizieren Sie Ihr Konto“
- „Video: Bist Du das??“
- „Ihr Beitrag zum RWTH-Jubiläum“
Weder die RWTH als Auftraggeber noch der externe Dienstleister können zu irgendeinem Zeitpunkt sehen, wie ihr persönlich klickt oder euch verhaltet. Die RWTH bekommt lediglich eine anonyme, zusammenfassende Auswertung der Klickraten.
Die Phishing-Simulation in Zahlen (Stand: 28.12.2021)
Bis zum 17. Dezember 2021 wurden über 160.000 simulierte Phishing-E-Mails an die knapp 60.000 Studierende und Mitarbeitenden der RWTH versendet. In 20,8% der Fälle wurde auf eines der Phishing-Element wie beispielsweise einem Link, Bild oder Anhang geklickt.
Dabei fällt auf, dass über 40% der E-Mails auf einem mobilen Endgerät (Smartphone oder Tablet) geöffnet wurden. Gerade auf diesen Geräten sind die Voreinstellungen der E-Mail-Apps oft standardmäßig so gesetzt, dass Bilder automatisch nachgeladen werden. Dadurch wird es schwerer zu identifizieren, was für ein Link sich dahinter verbirgt und welche Seite somit geöffnet wird.
Begleitendes E-Learning-Angebot für Mitarbeitende der RWTH
Während die Phishing-Simulation auch in den nächsten Monaten mit verringerter Intensität weiterlaufen wird, möchten wir, an dieser Stelle nochmal daran erinnern, dass für berechtigte Mitarbeitende seit dem 25. Oktober 2021 die Gelegenheit besteht, das Wissen zum Thema Cyber-Security und Phishing zu vertiefen.
Diese Aktion und eure Unterstützung führen zu einer Reduzierung des Risikos von Cyber-Angriffen. Wir sind davon überzeugt, dass es echten Angreifer*innen künftig schwerer fallen wird, Schadsoftware an der RWTH zu platzieren oder Passwörter zu stehlen.
Ihr wollt mehr zum Thema Phishing erfahren? Dann schaut euch gerne hier auf dem Blog um.
Verantwortlich für die Inhalte dieses Beitrags sind Anastasios Krikas und Nicole Kaminski.
