In diesem Artikel werden die verschiedenen Risikostufen beschrieben, in die Nutzer je nach ihrem Umgang mit Phishing-Mails eingestuft werden können.
Beschreibung der Zustände
Weak
Nutzer, der sehr häufig auf Phishing-Mails klickt. Im Durchschnitt klickt ein Nutzer in diesem Status mindestens 4 Mal auf die letzten 5 erhaltenen Kampagnen.
0.61<click_rate<=1
Intermediate
Nutzer, der mit mittlerer Häufigkeit auf Phishing-Mails klickt, also 2 oder 3 Mal bei den letzten 5 erhaltenen Kampagnen.
0.21<click_rate<=0.61
Strong
Nutzer, der noch nie auf eine Phishing-Mail geklickt hat oder nur sehr selten, insbesondere höchstens einmal bei den letzten 5 erhaltenen Kampagnen.
0<click_rate<=0.21
Cyber Defender
Nutzer mit einem hohen Bewusstsein für IT-Sicherheit, der Phishing-Mails aktiv erkennt und die entsprechende Meldefunktion nutzt. Um diesen Status zu erreichen, muss der Nutzer die letzte erhaltene Phishing-Kampagne gemeldet haben, ohne in den letzten fünf Kampagnen auf eine Phishing-Mail geklickt zu haben.
(Diese Information ist nur verfügbar, wenn die Meldefunktion implementiert wurde.)
N.A. Nutzer, der in den letzten 5 Kampagnen keine Phishing-Mail erhalten hat oder keine Phishing-Lizenz besitzt und daher keiner Risikoklassifizierung zugeordnet ist.
Statusvergabe bei der ersten Kampagne
Für einen Nutzer, der nur eine Kampagne erhalten hat, kann der Status nur „Weak“ sein, wenn er geklickt hat, oder „Strong“, wenn er nicht geklickt hat. Der Status „Intermediate“ ist erst nach mehreren Kampagnen mit Interaktionen relevant.
Wenn der Nutzer nicht geklickt, aber gemeldet hat, kann er als Cyber Defender eingestuft werden.
CSV-Report und Plattform-Grafiken
Es ist wichtig zu beachten, dass im CSV-Report, der auf der Statistikseite für Phishing heruntergeladen werden kann, auch inaktive Nutzer enthalten sind (erkennbar an der Spalte „active“ mit dem Wert 0), die dennoch als Strong User klassifiziert werden. Aus diesem Grund können die Zahlen im CSV-Report von denen in den Plattform-Grafiken abweichen, da dort nur aktive Nutzer berücksichtigt werden.
Ein wichtiger Punkt bei den Reports ist die Klassifizierung eines Nutzers: Bei einer regulären Kampagne wird der Status auf Basis des Verhaltens in den letzten 5 regulären Kampagnen berechnet; bei einer Remediation hingegen bezieht sich der Status ausschließlich auf diese Remediation und stimmt daher nicht mit dem Wert im Dashboard überein (wo der Status auf Basis der regulären Kampagnen angezeigt wird).
Abweichungen bei der Berechnung der Click Rate zwischen Plattform und Report
Die Daten in den Plattform-Grafiken (wie die Click Rate) berücksichtigen nur die letzten 12 abgeschlossenen Kampagnen. Im CSV-Report hingegen werden alle im Laufe der Zeit abgeschlossenen Kampagnen berücksichtigt. Um eventuelle Abweichungen mit dem CSV-Report abzugleichen, müssen im CSV manuell nur die letzten 12 exportierten Kampagnen gefiltert werden.