Phishing-Trainings: Die Macht der Bilder

Die Aufgabe bestand darin, für das Thema Phishing Aufmerksamkeit zu generieren und dieses anschaulich und greifbar zu präsentieren. Gemeinsam mit G DATA ist es gelungen, die Trainings unterhaltsam zu gestalten und uns so von marktüblichen Lösungen abzuheben. Die Reihe ist didaktisch so gestaltet, dass die Lernenden am Ball bleiben und sich mit dem Thema auseinandersetzen. Die zentrale Idee, eine Reihe zum Thema Phishing mit sieben Episoden zu gestalten, kam aus dem Team der G DATA academy.

Vor diesem Hintergrund haben wir eine Storyline entworfen und die Trainingsreihe konzipiert. Wir haben uns schnell für die Idee mit der Unterwasserwelt entschieden. Die Themen hängen eng aneinander, daher haben wir uns gegen sieben einzelne in sich geschlossene Storys entschieden und erzählen jetzt eine trainingsübergreifende Geschichte.

Nicht nur wir, sondern auch G DATA wollte von Anfang an eine coole, starke Bildsprache und daher haben wir unseren Grafiker direkt in die Konzeption eingebunden. Die Macht der Bilder ist nicht zu unterschätzen. Gestartet sind wir mit der Frage, wie sich Opfer eines Hackerangriffs fühlen. Da ich selbst schon Opfer eines Trojaners war, konnte ich mich noch gut daran erinnern, wie sich das anfühlt: Man ist unter Schock und hilflos. Mir blieb damals der Atem weg. Mit diesen Gefühlen war es nur noch ein kurzer Schritt von Phishing zu Fishing und zum Thema Wasser. Hier landeten wir schnell bei dem Bild des Strudels, der einen in seinen Sog zieht. Wir waren von Anfang an überzeugt, dass wir mit diesem Setting die Lernenden wortwörtlich mitreißen können. Wichtig war für uns außerdem, dass wir die Nutzer*innen auch an ihrem Arbeitsplatz abholen. Daher starten wir das erste Training auch in einer Bürosituation und wechseln schnell in die Wasserwelt, weil es viele Optionen für eine aufregende Storyline und Interaktionen bietet.

Für uns stand die Frage der handelnden Persönlichkeiten im Vordergrund. Der Gedanke mit der Büro-Crew machte dabei am meisten Sinn, weil wir damit jedem Charakter einen Kanal, auf dem Phishing-Attacken erfolgen – SMS, E-Mail und Telefon – zuordnen konnten. Ergänzt wird das Team durch eine Führungskraft, um zu zeigen, dass Menschen in Führungspositionen ganz anders gephisht werden. Von da aus haben wir die Unterwasserwelt entwickelt und mit Inhalten gefüllt. Die Ideen für die grafische Umsetzung kamen dann fast von selbst.

Mit der grundlegenden Entscheidung für die vier Hauptcharaktere und die Unterwasserwelt haben wir als Nächstes die verschiedenen Herausforderungen für die einzelnen Charaktere definiert. Das Ziel der Reise: Die Befreiung aus dem Phishing-Bann, damit die Personen wieder an die Wasseroberfläche gelangen. Dabei haben wir gemeinsam mit den Kolleg*innen von G DATA entschieden, die Tätergruppe differenzierter darzustellen und die Angreifer von der Wasseroberfläche agieren zu lassen. Daher führen wir im dritten Training das Skript-Kiddie, den Nation-State-Phisher und die Spear-Phisherin ein. So lässt sich das Vorgehen der Angreifenden detaillierter darstellen und bietet einen schönen Perspektivwechsel. Die Arbeit an diesen „bösen“ Personen hat viel Spaß gemacht. Natürlich standen wir jederzeit im engen Austausch mit den Fachleuten der G DATA academy. Sie haben uns bei jedem einzelnen Schritt, bei den Charakteren, dem Design, dem Fach-Jargon eng begleitet und uns zu jederzeit mit ihrem Fachwissen zur Seite gestanden.

Dieses Projekt hebt sich deutlich von anderen Trainings ab – mit der coolen Story und der grafischen Umsetzung. Ein Wunsch von G DATA waren beispielsweise viele Interaktionen und eine lebendige Story. Daher haben wir beispielsweise auch immer wieder GIFs eingebaut, sodass das Ganze Bewegung hat – ein flackernder Computer oder flatternde Fledermäuse. Eine Herausforderung lag darin, eine konsistente Story von Anfang an bis zum Ende zu erzählen, die für die Nutzer*innen nachvollziehbar bleibt. Logikfehler wollten wir vermeiden.

Mein Bewusstsein für IT-Sicherheit hat sich deutlich verändert, weil ich sehr intensiv an den Texten gearbeitet habe. Und mit meinen Kolleg*innen im Team haben wir uns auch immer wieder über die Inhalte und potenzielle Fallen abgestimmt. Mir war beispielsweise gar nicht bewusst, dass Phishing auch über SMS oder Anrufe möglich ist - tatsächlich habe ich während der Projektphase zwei SMSen mit angeblichen Sendungsverfolgungen für Pakete erhalten. Natürlich bin ich da sofort misstrauisch geworden, weil ich gar nichts bestellt hatte. Diese Erfahrung habe ich auch mit meinen Kolleg*innen und in der Familie geteilt, weil das schon fies ist.

Wir haben uns bemüht, echte Beispiele in die Trainings einzubauen, um möglichst nahe an der Realität zu bleiben. Auch hier konnten wir uns auf die tatkräftige Unterstützung von G DATA verlassen. Damit es die Lernenden dann direkt im Alltag umsetzen können. Daher habe ich mich an der einen oder anderen Stelle auch ertappt gefühlt, wenn ich verstanden habe, warum Phisher so vorgehen. Sie nutzen eiskalt menschliches Verhalten aus, wenn sie etwa Druck erzeugen. Daher achte ich jetzt in stressigen Situationen darauf, auch mal die Bremse einzulegen und hinterfrage ein E-Mail, bei der ich unsicher bin.

Ich bin auf die gesamte Lernstrecke stolz, weil wir über die gesamte Reihe eine sehr hohe Qualität erreicht haben – im Design, bei den Interaktionen und auch bei der Technik.

Im Laufe der Konzeption wurde die Spear-Phisherin zu meinem Lieblingscharakter. Es hat viel Spaß gemacht, diese Person zu entwickeln. Hier zeigt sich im Übrigen besonders gut die Kraft der Bilder. Gerade das Schlussbild im Introfilm zum Modul „Die Methoden von Phishing“ und das Abschlussbild dieses Trainings bringen ihren Charakter toll zum Ausdruck.

Neugierig, wie die Trainings aussehen? Werfen Sie gerne einen Blick in unsere kostenlose Testversion.