G DATA Phishing Simulation

Das Whitelisting

Die in G DATA Phishing Simulationen verwendeten Phishing-Szenarien sind realen Angriffen nachempfunden. Daher kann es vorkommen, dass Schutztechnologien, insbesondere aus dem Bereich der Anti-Spam Technologien die simulierten Angriffe erkennen.

Um zu gewährleisten, dass die simulierten Phishing-E-Mails Ihre Teilnehmenden erreichen, ist das Whitelisting der verwendeten Phishing Domains in diesen Schutztechnologien notwendig. Darüber hinaus setzen wir in unseren Phishing-Szenarien Webseiten ein, welche in verschiedenen Varianten versuchen ihre MitarbeiterInnen zur Preisgabe von sensiblen Daten, wie Login-Daten oder Telefonnummern zu bewegen. In diesem Fall kann das zusätzliche Whitelisting in eingesetzten Web Filtern benötigt werden.

Damit Ihre G DATA Phishing Simulation reibungslos verläuft und aussagekräftige Messungen liefert, ist es wichtig, dass

die von uns versendeten Mails die Postfächer der Teilnehmenden erreichen,
die Anhänge nicht gelöscht wurden,
der automatische Download von Bildern im E-Mail-Client der Teilnehmenden ausgeschaltet ist,
die enthaltenen Links nicht blockiert werden und der Klick eines Teilnehmenden unsere Server erreicht,
die Links und Anhänge von keiner Schadcode-Analyse Software im Rahmen von Sandbox-Prüfverfahren geöffnet werden.
Diese Art Prüfung öffnet Links und Anhänge innerhalb einer geschützen Sandbox-Umgebung, bevor die Daten an den Empfänger weitergeleitet werden. Unsere Server können nicht unterscheiden, ob der Klick durch eine solche Software oder durch den Empfänger vorgenommen wurde. Somit wäre die Auswertung Ihrer Phishing Simulation verfälscht.

Die von uns verwendeten IPs und Domänen, die in Ihrem Unternehmen entsprechend freigeschaltet sein müssen, finden Sie im Awareness Manager unter dem TAB Whitelisting.

Whitelisting testen

Bitte beachten Sie, dass sobald Ihr Unternehmen über verschiedene Standorte mit eigener Infrastruktur verfügt, die Tests für alle Standorte durchgeführt werden müssen.

Auf dieser Seite finden Sie zwei Kontrollfunktionen, mit denen Sie nach dem Whitelisting testen können, ob die oben genannten Voraussetzungen erfüllt sind.

Mit dem Button Erreichbarkeit prüfen können Sie testen, ob alle unsere verwendeten Domänen erreichbar sind. Erreichbare Domänen werden mit einem grünen Haken gekennzeichnet.
Mit dem Button Testmail versenden können Sie prüfen, ob unsere Mails im Postfach eines Teilnehmenden ankommen und der Anhang noch vorhanden ist.

Beide Kontrollfunktionen müssen einmal erfolgreich durchgeführt werden, bevor Sie die Kampagne starten können.

Hilfe für das Whitelisting

Es gibt auf dem IT-Markt eine Vielzahl an Webfiltern, Mailservern, Proxyservern, Firewalls etc. Daher ist es uns nicht möglich, für alle Produkte Hilfestellungen für das Whitelisting zu leisten.

Im Folgenden haben wir Ihnen eine Auswahl an Anleitungen zusammengestellt.

Für alle anderen Produkte wenden Sie sich bei Fragen bitte an den Herstellersupport des bei Ihnen verwendeten Produktes oder an Ihren Servicepartner, durch den das Produkt bei Ihnen eingerichtet wurde.

Microsoft Exchange Online und Microsoft Defender Standardeinrichtung Phishing-Simulation

Das Whitelisting im Microsoft Defender Portal können Sie bei Standardkonfiguration Ihres Exchange Online mühelos einrichten.

Mit der Anlage einer Phishing-Simulationskampagne im Microsoft Defender können Sie unsere Absender-Domänen und unsere Sender-IP für den E-Maileingang hinterlegen. Microsoft steuert danach mit einer im Hintergrund laufenden Phishing-Regel das weitere Whitelisting.

Microsoft bietet eine komfortable Umgehung seiner Schutzmechanismen für Phishing-Kampagnen, wenn der Eingang der E-Mails über den Microsoft Standard Connector erfolgt. Dieser Connector ist "unsichtbar" und wird von Microsoft genutzt, um E-Mails zu empfangen, wenn kein weiterer Connector von Ihrem Administrator angelegt wurde, um den Nachrichtenfluss durch eigene Connectors abweichend zu steuern.

Dies kann zum Beispiel bei der Nutzung von Drittanbieter Spam- und Virenschutz der Fall sein, oder wenn Sie einen Exchange Online im Hybridmodus mit einem On Premise Exchange betreiben. Sollten Sie solche Connectors bei sich eingerichtet haben, muss sichergestellt sein, dass

unsere IPs entweder nicht über diese Connectors empfangen werden oder
das Whitelisting muss in den Schutzmechanismen des Microsoft Defenders selbst eingerichtet werden.

Haben Sie den Nachrichtenfluss durch Connectors verändert, gehen Sie weiter zum nächsten Abschnitt dieses Artikels.

Microsoft Exchange Online und Microsoft Defender Alternative Einrichtung

Als Alternative zu der Einrichtung einer Phishings-Simulationskampagne in Microsoft Exchange Online können Sie, falls Sie einen alternativen Nachrichtenfluss eingerichtet haben, die IPs Ihrer G DATA Kampagne innerhalb der Schutzmechanismen selbst whitelisten:

Unsere IP-Adressen müssen auf Ihre IP-Whitelist gesetzt werden.
Dies ist notwendig, damit der Verbindungsfilter im Microsoft Exchange unsere IPs kennt. Bei der Verbindungsfilterung wird die IP-Adresse des sendenden Mailservers mit den Werten in der Whitelist verglichen. Ist die IP auf der Whitelist vorhanden, wird die E-Mail ohne zusätzliche Verarbeitung durch andere Antispam-Agenten an die Postfächer Ihrer Teilnehmenden weitergeleitet.
Die von G DATA genutzten IP-Adressen müssen im Microsoft Junk-Filter auf die Whitelist gesetzt werden, damit dieser die E-Mails nicht aussortiert und in die Spamordner der Teilnehmenden verschiebt.
Es müssen Umleitungen für Anlagen und Links angelegt werden, wenn sie von unseren Domänen versendet wurden.

Exchange Online Protection (EOP)

Exchange Online Protection (EOP) ist sowohl Bestandteil des Microsoft 365 Defender als auch als Einzelprodukt für den Cloud-Schutz von On-Premises Exchange Servern im Einsatz.

Die Anleitung entspricht dem Vorgehen für Exchange Online (Office 365) und Microsoft 365 Defender:

Lediglich die Umleitungen für Anlagen und Links fallen weg, da diese Funktion in EOP nicht enthalten ist.

Exchange Server 2019

Exchange Server 2019 hat einen integrierten Spam- und Virenschutz (ATP) in Form von Transport Agents auf Edge-Transport-Servern.

Das Whitelisting erfolgt hier in einem Schritt:

Unsere IP-Adressen und Domänen müssen auf die Whitelist gesetzt werden.

Domänen-Whitelisting (Firewall)

Um realistische Ergebnisse bei einer Phishing Simulation zu erhalten, müssen eine Reihe von Domänen erreichbar sein. Welche dies sind, können Sie im Awareness Manager unter dem TAB "Whitelisting durchführen" ("Schritt 1: Sicherheitstechnologien konfigurieren") einsehen.

Screenshot anzeigen

Alle hier aufgeführten Domänen müssen erreichbar sein und dürfen nicht von der eingesetzten Firewall geblacklistet oder blockiert werden. Dies hat den Hintergrund, dass sonst nicht alle Klicks in den gesendeten E-Mails ausgewertet werden können.

Aufgrund der Vielzahl verfügbarer Firewall-Produkte und der nicht vorhandenen Möglichkeit zu evaluieren welche Lösung genau verwendet wird, ist es an dieser Stelle nicht möglich eine 1zu1-Anleitung anzubieten.