FAQ zu Phishing-Simulation, E-Learning & Co.

Hier finden Sie Antworten auf die häufigsten Fragen von Nutzer/innen unserer Awareness-Lösung, z.B. zum E-Learning oder zur Phishing-Simulation.

Die Schulungsmaßnahmen von SoSafe richten sich an alle Mitarbeiter/innen von Unternehmen, um diese im Bereich IT-Sicherheit weiterzubilden. Im Rahmen dieses sog. “Awareness Buildings” (d. h. der Schaffung von Bewusstsein für IT-Sicherheit) bieten wir im Auftrag Ihres Arbeitgebers eine umfangreiche Lernumgebung (E‑Learning) an: Anhand von interaktiven Lernmodulen, kurzen Videos, Beispielen aus dem Arbeitsalltag und kurzen Quizfragen erlernen Sie die wichtigsten Regeln und Hinweise für den sicheren Umgang mit Computern, Smartphones und Daten. Behandelt werden z. B. Themen wie Passwortnutzung, Schadsoftware oder Datenmissbrauch. Außerdem versenden wir an alle Mitarbeiter/innen in unregelmäßigen Abständen simulierte Phishing-Mails. Ziel dieser Simulation ist es, dass Sie “direkt am Objekt” lernen können, wie Phishing-Mails funktionieren und woran Sie diese erkennen können. Ihr Arbeitgeber erhält keine individuellen Daten über die Phishing-Simulation, sondern lediglich eine vollkommen anonyme Auswertung.

Dieses IT-Sicherheitstraining wird Ihnen von Ihrem Arbeitgeber angeboten und durch uns – die SoSafe GmbH aus Köln – bereitgestellt.

In Abstimmung mit Ihrem Arbeitgeber und der/dem Datenschutzbeauftragten Ihres Unternehmens erhalten wir von Ihrem Unternehmen eine Liste mit den E-Mail-Adressdaten aller Mitarbeiter/innen. Diese Liste beinhaltet die korrekte Anrede (Herr/Frau), den Vornamen und Nachnamen, die E-Mail-Adresse, die Sprache sowie eine optionale Zuordnung zu einer Gruppe (z. B. Abteilung oder Standort). Diese Daten werden von uns benötigt, um die Phishing-Simulation durchzuführen. Der Auftraggeber erhält eine aggregierte und anonyme Auswertung über den Umgang mit den E-Mails. Diese Auswertung lässt keinen Rückschluss auf das Verhalten einzelner Personen zu. Sämtliche Daten werden von uns ausschließlich im Rahmen der bestehenden vertraglichen Vereinbarungen zur auftragsbezogenen Verarbeitung personenbezogener Daten mit Ihrem Arbeitgeber verarbeitet. Im Zuge dessen treffen wir umfangreiche Maßnahmen, um sämtliche Daten zu schützen.

Nein, die Mails sind nicht gefährlich, es handelt sich dabei nur um eine Simulation. Zu keiner Zeit sind Ihre persönlichen/geschäftlichen Daten oder Ihre Endgeräte in Gefahr. Wenn Sie auf einen enthaltenen Link in einer unserer Phishing-Mails klicken, gelangen Sie auf eine Lernseite im Internet. Dort erhalten Sie nähere Informationen zu der Simulation und vor allem konkrete Hinweise woran Sie bei dieser bestimmten Mail hätten erkennen können, dass es sich um einen Phishing-Versuch handelt.

Ja, diese Antwortmails werden von unseren Servern angenommen. Dort werden sie jedoch sofort vollständig anonymisiert. Sie sind also nicht einer Person zuzuordnen. Es wird lediglich automatisiert ausgewertet, ob eine Antwort erfolgt ist und ob es sich um eine technische Antwort (automatisch von Ihrem Mail-Server generiert), eine automatische Abwesenheitsnotiz oder um eine tatsächliche Antwortmail gehandelt hat. Der Arbeitgeber erhält eine Kennzahl, die wiedergibt, auf wie viele der Phishing-Mails geantwortet wurde. Er erhält aber keinen Einblick in den Inhalt der Antworten.

Einige unserer Phishing-Mails führen Sie auf eine speziell präparierte Webseite, wo z. B. Ihr Windows-Passwort abgefragt wird. Egal was Sie dort in die Formularfelder eingeben, diese Daten werden von uns selbstverständlich nicht gespeichert. Sie müssen also nichts befürchten. Es wird von unserem Server lediglich registriert, dass Daten eingegeben wurden. Im Rahmen der Auswertung der Phishing-Simulation erhält Ihr Arbeitgeber von uns eine Information, bei wie vielen solcher Eingabemasken etwas eingegeben wurde. Auch hier ist jedoch nicht nachvollziehbar, welche/r Mitarbeiter/in Daten eingegeben hat. Ein Rückschluss auf Verhalten einzelner Personen ist technisch ausgeschlossen. Grundsätzlich empfiehlt es sich aber, Ihr Passwort umgehend zu ändern, wenn Sie den Verdacht haben, eine Eingabemaske könnte manipuliert worden sein.

Sollten in Ihrem Unternehmen Richtlinien für den Umgang mit Spam- und Phishing-Mails gelten, halten Sie sich bitte an diese. Typischerweise kontaktieren Sie diesbezüglich Ihre IT-Abteilung, den Helpdesk oder Service-Mitarbeiter. Von dort werden Sie über das weitere Vorgehen informiert. Wenn Ihr Unternehmen unseren SoSafe Phishing-Melde-Button (Schaltfläche in Microsoft Outlook) einsetzt, brauchen Sie in Outlook nur auf diese Schaltfläche zu klicken und die E-Mail wird – je nach Einstellungen für Ihre Organisation – automatisch an die richtige Stelle weitergeleitet. Sie erhalten dann auch in Outlook eine unmittelbare Rückmeldung, ob es sich um eine unserer Phishing-Mails im Rahmen der Simulation gehandelt hat oder ob die E‑Mail erst einmal von den IT-Experten Ihres Unternehmens analysiert werden muss. Die verdächtige E-Mail wird – je nach Einstellungen für Ihre Organisation – aus Ihrem Postfach gelöscht oder Sie können sie händisch löschen. Wenn Sie die E-Mail zu einem späteren Zeitpunkt doch wieder benötigen, können Sie sich an Ihre IT‑Abteilung wenden, die Ihnen ggf. bei der Wiederherstellung der E-Mail behilflich sein kann.

Die Simulation wird durchgeführt, weil z. B. allein in Deutschland jährlich ein Schaden von 5,6 Mrd. Euro durch Wirtschaftsspionage und Cyberkriminalität entsteht. Solche Angriffe beginnen im Großteil aller Fälle mit einer Phishing-Mail. Bei gezielten Angriffen klicken teilweise die Hälfte der Empfänger/innen einer Phishing-Mail auf enthaltene Phishing-Links oder öffnen gefährliche Dateianhänge und ermöglichen den Angreifern/innen dadurch z. B. Zugang zu sensiblen Unternehmensdaten oder auch privaten Informationen. Um solche Angriffe zu verhindern, ist es daher wichtig, alle Mitarbeiter/innen für die Risiken und den richtigen Umgang mit Phishing-Mails zu sensibilisieren.

Die Simulation hilft Ihnen nicht nur schädliche Phishing-Mails im beruflichen Umfeld zu erkennen und damit sich und Ihr Unternehmen vor potenziell großem Schaden zu schützen. Sie können das erworbene Wissen auch in Ihrem privaten Kontext nutzen, um das Risiko von Cyber-Angriffen für sich und Ihre Familie zu verringern. Denn häufig werden die gezeigten Taktiken auch für Phishing-Angriffe auf Privatpersonen verwendet.

Echte Phishing-Mail-Angriffe können Sie jederzeit treffen – auch bzw. gerade während der Arbeitszeit. Denn Unternehmen werden gezielt von Cyber-Kriminellen angegriffen und es entstehen jedes Jahr hohe finanzielle Schäden für Unternehmen und Privatpersonen durch Phishing und Betrug im Internet. Unsere Phishing-Simulation ist so aufgebaut, dass Sie während der täglichen Arbeit keine zeitaufwändigen Störungen erleben, aber dennoch eine effektive Trainingsmaßnahme für den Umgang mit Phishing erfahren. Zusätzlich bieten wir mit unserer E-Learning-Plattform die Möglichkeit, dass Sie Ihr Wissen zu Themen rund um IT-Sicherheit in kurzen Lernmodulen vertiefen können. Mit diesem Wissen schützen Sie sich selbst und Ihr Unternehmen vor Phishing-Angriffen aus dem Internet.

Wenden Sie sich bei Fragen, die den Einsatz von IT in Ihrem Unternehmen betreffen, bitte zunächst an die IT-Abteilung Ihres Unternehmens. Gerne können Sie sich bei Fragen zu unseren Phishing-Mails oder unserem E-Learning-Angebot auch an unseren Support wenden.

Wenn Sie das Schulungsangebot (E-Learning) über unsere Webplattform verwenden, absolvieren Sie am Ende jedes Lernmoduls ein kurzes Quiz, welches immer vier Fragen umfasst. Ihre individuellen Antworten in diesem Quiz werden nicht an den Arbeitgeber zurückgemeldet. Ihr Arbeitgeber erhält i. d. R. lediglich eine Information darüber, wann Sie sich auf unserer E-Learning-Webplattform registriert haben und wie viele Module Sie bereits abgeschlossen und bestanden haben. In einigen Fällen erhält der Arbeitgeber auch darüber keine Information, sondern sieht nur, wie der Fortschritt aller Mitarbeiter/innen insgesamt ist. Die bei Ihrer Firma geltende Regelung entnehmen Sie bitte den bei der Registrierung für das E-Learning angezeigten Nutzungsbedingungen. Falls das E-Learning über ein bei Ihnen in der Firma installiertes Learning Management System (kurz: LMS) ausgespielt wird, erfragen Sie die Ihrem Arbeitgeber zur Verfügung stehenden Daten bitte bei der dafür zuständigen Fachabteilung (zumeist IT oder HR).

Ja, als registrierte/r Benutzer/in auf unserer E-Learning-Plattform können Sie sich Ihr persönliches Zertifikat ausstellen lassen. Damit können Sie festhalten, dass Sie die Lernmodule absolviert und die Wissensabfragen bestanden haben.

Vertieft werden die Themen rund um IT-Sicherheit in unserer Online-Lernumgebung (E‑Learning-Plattform) aufgegriffen. Der Zugang zu der E-Learning-Plattform wird Ihnen von Ihrem Arbeitgeber zur Verfügung gestellt.