G DATA Phishing Simulation

Das Whitelisting

Bitte beachten Sie: Das Whitelisting liegt in der alleinigen Verantwortung des Kunden. Wenn es zu Problemen bei Ihrer Kampagne kommt, die ausschließlich im Netz des Kunden und seinen Schutzmechanismen begründet sind, kann G DATA keine Gewährleistung für einen reibungslosen Ablauf übernehmen. Damit Sie Ihr Whitelisting vor der eigentlichen Kampagne prüfen können, bietet Ihnen G DATA verschiedene Testmöglichkeiten. Mit Übersenden der Daten bestätigen Sie, dass das Whitelisting korrekt durchgeführt wurde.

Die in G DATA Phishing Simulationen verwendeten Phishing-Szenarien sind realen Angriffen nachempfunden. Daher kann es vorkommen, dass Schutztechnologien, insbesondere aus dem Bereich der Anti-Spam Technologien die simulierten Angriffe erkennen.

Was muss kundenseitig gewährleistet sein?

Um zu gewährleisten, dass die simulierten Phishing-E-Mails Ihre Teilnehmenden erreichen, ist das Whitelisting der verwendeten Phishing Domains in diesen Schutztechnologien notwendig. Darüber hinaus setzen wir in unseren Phishing-Szenarien Webseiten ein, welche in verschiedenen Varianten versuchen ihre MitarbeiterInnen zur Preisgabe von sensiblen Daten, wie Login-Daten oder Telefonnummern zu bewegen. In diesem Fall kann das zusätzliche Whitelisting in eingesetzten Web Filtern benötigt werden.

Damit Ihre G DATA Phishing Simulation reibungslos verläuft und aussagekräftige Messungen liefert, ist es wichtig, dass

  • die von uns versendeten Mails die Postfächer der Teilnehmenden erreichen,

  • die Anhänge nicht gelöscht wurden,

  • der automatische Download von Bildern im E-Mail-Client der Teilnehmenden ausgeschaltet ist,

  • die enthaltenen Links nicht blockiert werden und der Klick eines Teilnehmenden unsere Server erreicht,

  • die Links und Anhänge von keiner Schadcode-Analyse Software im Rahmen von Sandbox-Prüfverfahren geöffnet werden.
    Diese Art Prüfung öffnet Links und Anhänge innerhalb einer geschützen Sandbox-Umgebung, bevor die Daten an den Empfänger weitergeleitet werden. Unsere Server können nicht unterscheiden, ob der Klick durch eine solche Software oder durch den Empfänger vorgenommen wurde. Somit wäre die Auswertung Ihrer Phishing Simulation verfälscht.

Die von uns verwendeten IPs und Domänen, die in Ihrem Unternehmen entsprechend freigeschaltet sein müssen, finden Sie im Awareness Manager unter dem TAB Whitelisting.

Hilfe für das Whitelisting

Es gibt auf dem IT-Markt eine Vielzahl an Webfiltern, Mailservern, Proxyservern, Firewalls etc. Daher ist es uns nicht möglich, für alle Produkte Hilfestellungen für das Whitelisting zu leisten.

Im Folgenden haben wir Ihnen eine Auswahl an Anleitungen zusammengestellt.

Für alle anderen Produkte wenden Sie sich bei Fragen bitte an den Herstellersupport des bei Ihnen verwendeten Produktes oder an Ihren Servicepartner, durch den das Produkt bei Ihnen eingerichtet wurde.

Microsoft Exchange Online und Microsoft Defender Standardeinrichtung Phishing-Simulation

Das Whitelisting im Microsoft Defender Portal können Sie bei Standardkonfiguration Ihres Exchange Online mühelos einrichten.

Mit der Anlage einer Phishing-Simulationskampagne im Microsoft Defender können Sie unsere Absender-Domänen und unsere Sender-IP für den E-Maileingang hinterlegen. Microsoft steuert danach mit einer im Hintergrund laufenden Phishing-Regel das weitere Whitelisting.

Microsoft bietet eine komfortable Umgehung seiner Schutzmechanismen für Phishing-Kampagnen, wenn der Eingang der E-Mails über den Microsoft Standard Connector erfolgt. Dieser Connector ist "unsichtbar" und wird von Microsoft genutzt, um E-Mails zu empfangen, wenn kein weiterer Connector von Ihrem Administrator angelegt wurde, um den Nachrichtenfluss durch eigene Connectors abweichend zu steuern.

Dies kann zum Beispiel bei der Nutzung von Drittanbieter Spam- und Virenschutz der Fall sein, oder wenn Sie einen Exchange Online im Hybridmodus mit einem On Premise Exchange betreiben. Sollten Sie solche Connectors bei sich eingerichtet haben, muss sichergestellt sein, dass

  1. unsere IPs entweder nicht über diese Connectors empfangen werden oder

  2. das Whitelisting muss in den Schutzmechanismen des Microsoft Defenders selbst eingerichtet werden.

Haben Sie den Nachrichtenfluss durch Connectors verändert, gehen Sie weiter zum nächsten Abschnitt dieses Artikels.

Microsoft Exchange Online und Microsoft Defender Alternative Einrichtung

Bei Verwendung von Drittanbietersoftware in Verbindung mit Exchange Online beachten Sie bitte, dass die erweiterte Filterung eingeschaltet werden muss.

Als Alternative zu der Einrichtung einer Phishings-Simulationskampagne in Microsoft Exchange Online können Sie, falls Sie einen alternativen Nachrichtenfluss eingerichtet haben, die IPs Ihrer G DATA Kampagne innerhalb der Schutzmechanismen selbst whitelisten:

Exchange Online Protection (EOP)

Exchange Online Protection (EOP) ist sowohl Bestandteil des Microsoft 365 Defender als auch als Einzelprodukt für den Cloud-Schutz von On-Premises Exchange Servern im Einsatz.

Die Anleitung entspricht dem Vorgehen für Exchange Online (Office 365) und Microsoft 365 Defender:

Lediglich die Umleitungen für Anlagen und Links fallen weg, da diese Funktion in EOP nicht enthalten ist.

Domänen-Whitelisting (Firewall)

Um realistische Ergebnisse bei einer Phishing Simulation zu erhalten, müssen eine Reihe von Domänen erreichbar sein. Welche dies sind, können Sie im Awareness Manager unter dem TAB "Whitelisting durchführen" ("Schritt 1: Sicherheitstechnologien konfigurieren") einsehen.

Screenshot anzeigen
365 Regel hinzufügen

Alle hier aufgeführten Domänen müssen erreichbar sein und dürfen nicht von der eingesetzten Firewall geblacklistet oder blockiert werden. Dies hat den Hintergrund, dass sonst nicht alle Klicks in den gesendeten E-Mails ausgewertet werden können.

Aufgrund der Vielzahl verfügbarer Firewall-Produkte und der nicht vorhandenen Möglichkeit zu evaluieren welche Lösung genau verwendet wird, ist es an dieser Stelle nicht möglich eine 1zu1-Anleitung anzubieten.

Whitelisting testen

Whitelisting testen
Bitte beachten Sie, dass sobald Ihr Unternehmen über verschiedene Standorte mit eigener Infrastruktur verfügt, die Tests für alle Standorte durchgeführt werden müssen.

Auf dieser Seite finden Sie drei Kontrollfunktionen, mit denen Sie nach dem Whitelisting testen können, ob die oben genannten Voraussetzungen erfüllt sind.

Schritt 1: Sicherheitstechnologien konfigurieren

Mit dem Button Erreichbarkeit prüfen können Sie testen, ob alle unsere verwendeten Domänen erreichbar sind. Erreichbare Domänen werden mit einem grünen Haken gekennzeichnet.

Schritt 2: Whitelisting prüfen

Beide Kontrollfunktionen müssen einmal erfolgreich durchgeführt werden, bevor Sie die Kampagne starten können.

Testlauf

Bisher wurde ein einzelnes Postfach überprüft.

Nachdem Schritt 1 und 2 der Prüfung abgeschlossen wurden sollte das Whitelisting korrekt sein. Bevor die eigentliche Kampagne durchgeführt wird, hat man nun optional noch die Möglichkeit den Empfang der E-Mails durch einen Probelauf zu testen. Geben Sie hierzu 5 E-Mail-Adressen an, mit denen Sie die Kampagne testen wollen. Haben Sie verschiedene Standorte oder unterschiedliche Schutzmechanismen, achten Sie darauf die Adressen so auszuwählen, dass alle Eventualitäten abgedeckt sind.

Teilnehmer für einen Testlauf auswählen G DATA Phishing Simulation
Informieren Sie die Teilnehmer vor dem Versand der E-Mails darüber, dass Sie die E-Mails nicht öffnen dürfen. Nur so wissen Sie anschließend, ob Ihre Sicherheitstechnologien richtig konfiguriert sind.

Sie können den Testlauf beliebig wiederholen.

Nach korrekter Zustellung wird Ihnen im G DATA Awareness Manager ein entsprechender Hinweis angezeigt.

Erfolgreicher Kampagnentest G DATA Phishing Simulation

Bei grünem Status aller Punkte im Dashboard ist die Kampagne bereit für den Versand der Daten und den Start der Kampagne.