Social-Engineering-Rollenspiel

Schulen Sie Mitarbeiter, Phishing, Pretexting, Smishing und Social-Engineering-Angriffe zu erkennen und abzuwehren – durch realistische Simulationen mit sofortigem Feedback zu ihren Reaktionen.

Für Alle Mitarbeiter Sicherheitsteams Finanz- & Führungsteams Compliance-Beauftragte
Beispiel-Prompt für den Joy-Assistenten

/roleplay einen Social-Engineering-Angriff aus unserem Security-Awareness-Playbook: [ein dringender Anruf eines Lieferanten, der die Bankdaten ändert]. Spielen Sie den Angreifer und besprechen Sie danach mit mir, welche Warnsignale ich erkannt und welche ich übersehen habe.

So kann es aussehen

/roleplayeinen Social-Engineering-Angriff aus unserem Security-Awareness-Playbook: ein dringender Anruf eines Lieferanten, der die Bankdaten ändert. Spielen Sie den Angreifer und besprechen Sie danach mit mir, welche Warnsignale ich erkannt und welche ich übersehen habe.

Sie sind in der Finanzabteilung am Telefon; ich spiele Marcus, einen Anrufer, der sich als Ihr Lieferant ausgibt, aus Ihrem Security-Awareness-Playbook und den Angriffen, die Ihr Team protokolliert hat. Ich bleibe in der Rolle und bespreche danach mit Ihnen. Es ist Monatsabschluss, und der Anrufer klingt ruhig und gut vorbereitet.

Marcus von Ihrem Lieferanten
Kurz vor Ihrem Abschluss. Wir haben die Bank gewechselt, daher braucht die heutige Rechnung ein neues Konto. Ich lese Ihnen die Daten vor; können Sie den Zahlungsempfänger vor dem Lauf aktualisieren?
Ich kann Bankdaten nicht per Anruf ändern. Jede Kontoänderung wird über den hinterlegten Kontakt verifiziert, bevor etwas bezahlt wird.
Marcus
Natürlich, aber der Lauf schließt in einer Stunde und Ihre Kreditorenleitung weiß bereits Bescheid. Können Sie die Änderung einfach vornehmen und vermerken?

Coaching

  • Sie haben das zentrale Warnsignal erkannt, eine nicht verifizierte Änderung der Bankdaten unter Zeitdruck, genau das Muster der Business-E-Mail-Compromise-Fälle, die Ihr Team letztes Jahr protokolliert hat.
  • Auf der Regel zu bestehen, den bekannten Kontakt zurückzurufen, statt die vom Anrufer genannte Nummer zu nutzen, ist der Schritt, der diesen Angriff tatsächlich stoppt. Lassen Sie sich davon nicht durch "Ihre Kreditorenleitung weiß bereits Bescheid" abbringen.
  • Eines haben Sie übersehen: Der Vorwand stützte sich auf echten Monatsabschluss-Kontext, der Anrufer hatte also Hausaufgaben gemacht. Melden Sie diese Ausspähung der Sicherheit; oft bedeutet das, dass das Konto bereits ausgekundschaftet wird.

Möchten Sie denselben Vorwand als ausgefeilten E-Mail-Verlauf statt als Anruf?

Richten Sie es auf Ihre eigene Phishing-Bibliothek und führen Sie eine Smishing-Runde für die mobil-lastigen Rollen durch.

Ein anschauliches Beispiel. Ihr Ergebnis hängt von Ihren Quellen, Daten und Anfragen ab. Dies ist ein gekürztes Beispiel. Ein Live-/roleplay läuft Zug für Zug und geht so lange weiter, wie Sie üben.

Lernen durch (sichere) Erfahrung von Angriffen

Ihre Mitarbeiter klicken auf Phishing-Links und fühlen sich dann peinlich berührt, wenn sie erwischt werden. Traditionelles Training zeigt Videos, die sie vergessen. Echte Angreifer nutzen ausgefeiltes Pretexting, Dringlichkeit und Autoritätstricks, auf die eine Diashow niemanden vorbereiten kann. Sie brauchen Übung, keine Vorträge.

  1. Richten Sie Ihre Szenarien ein

    Laden Sie Ihre Sicherheitsrichtlinien hoch, greifen Sie auf Ihr Knowledge Center zurück oder lassen Sie JoySuite realistische Angriffsszenarien generieren. Fügen Sie reale Beispiele aus Ihrer Branche und häufige Angriffsmuster hinzu.

  2. Mitarbeiter üben im Rollenspiel

    Mitarbeiter nutzen den /roleplay-Befehl der JoySuite-Assistentin Joy, um eine Sitzung zu starten. Joy wird zum Angreifer – gibt sich als IT-Support, Lieferant oder Führungskraft aus – und verwendet echte Manipulationstaktiken.

  3. Erhalten Sie sofortiges Coaching-Feedback

    Nach jedem Austausch sehen Mitarbeiter, welche Warnsignale sie erkannt haben und welche sie übersehen haben. Lernen Sie, Dringlichkeitstaktiken, Autoritätsimitation und Informationsanfragen zu erkennen, die Alarm auslösen sollten.

  4. Verfolgen Sie Fortschritt und weisen Sie Übungen zu

    Sicherheitsteams sehen Abschlussraten und Leistungsbewertungen nach Abteilung. Weisen Sie zusätzliche Übungen für Hochrisiko-Rollen oder Mitarbeiter zu, die mehr Wiederholungen benötigen.

  5. Machen Sie daraus einen Klick für Ihr Team

    Speichern Sie diese Anfrage als benutzerdefinierten Befehl im Assistenten Ihres Teams: Starten Sie mit einer passenden Assistenten-Vorlage und passen Sie sie mit Ihren eigenen Inhalten an. Danach kann jeder im Team sie mit einem Klick ausführen.

Machen Sie es sich zu eigen

Realistische Simulationen

Joy spielt überzeugende Angreifer mit tatsächlichen Manipulationstaktiken aus Phishing, Pretexting und Smishing.

Sofortiges Feedback

Nach jedem Austausch sehen Mitarbeiter, welche Warnsignale sie erkannt haben und welche sie übersehen haben.

Fortschrittsverfolgung

Sicherheitsteams sehen Abschlussraten und Leistungsbewertungen nach Abteilung, um Hochrisiko-Bereiche zu identifizieren.

Adaptive Szenarien

Szenarien reagieren in Echtzeit auf Mitarbeiteraktionen und schaffen bei jeder Sitzung einzigartige Lernerfahrungen.

Phishing-E-Mail-Übung

Üben Sie das Erkennen bösartiger E-Mails – gefälschte Absenderadressen, verdächtige Links und Dringlichkeitstaktiken.

Smishing (SMS-Phishing)

Üben Sie das Erkennen bösartiger Textnachrichten, die vorgeben, von Banken, Lieferdiensten oder der IT zu sein – und wissen, wann man nicht klickt.

Pretexting-Szenarien

Üben Sie, ausgeklügelten Tarngeschichten zu widerstehen, die darauf abzielen, Vertrauen aufzubauen, bevor sensible Informationen angefordert werden.

Executive-Impersonation

Üben Sie das Erkennen von CEO-Betrug und Business-Email-Compromise-Versuchen, die falsche Dringlichkeit erzeugen.

Häufig gestellte Fragen

Wie hilft KI beim Phishing-Bewusstseinstraining?

Die KI von JoySuite spielt realistische Angreifer mit tatsächlichen Manipulationstaktiken. Mitarbeiter üben das Reagieren auf Phishing-, Pretexting- und Social-Engineering-Versuche in einer sicheren Umgebung mit sofortigem Feedback darüber, was sie richtig und falsch gemacht haben.

Ist das effektiver als Phishing-Simulationen?

Traditionelle Phishing-Tests erwischen Leute, aber schulen sie nicht. Rollenspiel-Training hilft Mitarbeitern, die Taktiken aus erster Hand zu verstehen. Ein Kunde reduzierte die Klickraten von 23% auf unter 5% nach der Einführung von Rollenspiel-Training.

Welche Arten von Social-Engineering-Angriffen können Mitarbeiter üben?

Phishing-E-Mails, Smishing (SMS-Phishing), Pretexting (ausgeklügelte Tarngeschichten), CEO-Betrug, Business-Email-Compromise, IT-Support-Impersonation und Lieferanten-Impersonation-Szenarien.

Kann ich verfolgen, welche Mitarbeiter mehr Sicherheitstraining brauchen?

Ja. Sicherheitsteams sehen Abschlussraten und Leistungsbewertungen nach Abteilung. Weisen Sie zusätzliche Übungen für Hochrisiko-Rollen wie Finanzen oder Führungskräfte zu, oder für Mitarbeiter, die mehr Wiederholungen brauchen.

Verwendet das Training echte Angriffsbeispiele?

Ja. Laden Sie echte Angriffe hoch, die Ihre Organisation erlebt hat, branchenspezifische Bedrohungen und häufige Muster. Die KI generiert Szenarien basierend auf tatsächlichen Taktiken, die Angreifer verwenden.

Bereit, Ihre menschliche Firewall aufzubauen?

Melden Sie sich für die Warteliste an und probieren Sie diesen Workflow bei der Einführung von JoySuite als Erste aus.