Mit Awareness Trainings zu mehr IT-Sicherheitsbewusstsein

Die Stiftung Bühl setzt sich seit 1870 mit viel Fachkompetenz und Innovationsgeist für Kinder und junge Erwachsene mit geistiger oder Lernbehinderung ein. Aktuell kümmern sich 300 Angestellte um rund 200 Klientinnen und Klienten, die dort zur Schule gehen oder eine Ausbildung absolvieren. Technologisches Rückgrat der Stiftung ist das IT-System. Es besteht aus zwei separaten Netzwerken: einem Schulnetzwerk mit Lernplattform für Schülerinnen, Schüler und Auszubildende sowie einem Produktionsnetzwerk für Mitarbeitende. Beide Systeme sind physisch getrennt. Mit zweieinhalb engagierten Angestellten kümmert sich die IT-Abteilung um die Sicherheit der Infrastruktur und stellt die Inte­grität, Vertraulichkeit und Verfügbarkeit der Daten sicher.

Aufgrund der aktuellen hohen Bedrohungslage im digitalen Raum sind sich die Verantwortlichen der Bedeutung von Security Awareness bewusst. Aufmerksame Angestellte können mit dem richtigen Verhalten und dem notwendigen Wissen Angriffsversuche etwa über Phishing-Mails frühzeitig unterbinden. Aus diesem Grund hat sich die Stiftung Bühl dazu entschlossen, ihre Mitarbeitenden für aktuelle Cybergefahren zu sensibilisieren. Ziel ist es, alle Angestellten zu schulen, bevor ein Sicherheitsvorfall eintritt.

«Es gab schon unzählige DDoS-Angriffe und Versuche, unser IT-System zu infiltrieren. Glücklicherweise konnten wir bis heute alles auffangen und es kam nicht zum IT-Notfall», sagt Max Hinder, Leiter IT der Stiftung Bühl.

Onlineschulungen für die gesamte Belegschaft

Aufgrund der grossen Anzahl von Teilzeitbeschäftigten und der starren Schulstruktur war es nicht möglich, Präsenzschulungen anzubieten. Aus diesem Grund hat sich die Stiftung Bühl für Onlineschulungen entschieden.

Die Verantwortlichen haben einen Anforderungskatalog erstellt, um marktgängige Angebote zu prüfen. Die gesuchte Lösung sollte einfach ins System integrierbar sein und gut gestaltete Kurse für die Mitarbeitenden anbieten. Ausserdem sollte es möglich sein, eigenes Kursmaterial in die Plattform einzufügen. Zudem sollte der Lernplan individuell anpassbar sein, um den Bedürfnissen der Stiftung Bühl gerecht zu werden. Damit das Personal den richtigen Umgang mit gefährlichen Phishing-Mails lernt, war es für die Stiftung wichtig, dass das Angebot auch eine Phishing-Simulation umfasste. Bei der Suche nach einem Partner mit langjähriger Erfahrung in Cybersicherheit überzeugte die G DATA academy im Auswahlverfahren als kompetenter Partner mit dem besten Gesamtpaket.

Die Integration der Security Awareness Trainings verlief reibungslos und ohne Probleme. Dies war möglich, weil G DATA einen gut etablierten Prozess mit klaren Vorgaben implementiert hat, der den Aufwand für den Kunden minimiert. Das zeigt, dass G DATA grossen Wert darauf legt, seinen Kunden den bestmöglichen Service zu bieten. Direkt nach der Installation des Learning-Management-Systems konnten die Angestellten der Stiftung Bühl die Kurse absolvieren.

Führungskräfte gehen mit gutem Beispiel voran

Zum Start der Trainings verschickte die Stiftung Bühl E-Mails aus dem Starter-Kit der G DATA CyberDefense AG. Darin informierte die Geschäftsleitung die Angestellten über den Sinn und Zweck der Awareness Trainings und sorgte so für eine entsprechende Motivation. Aktuell müssen die Teilnehmenden 12 Kurse absolvieren. Fast die Hälfte der Angestellten hat die Schulungen bereits angefangen oder auch schon vollständig durchlaufen. Herausfordernd ist, dass gerade Mitarbeitende mit wenig IT-Affinität die Sinnhaftigkeit der Kurse infragestellen. Immer wieder erwähnen sie den zusätzlichen Zeitaufwand als Grund dafür, warum sie die Kurse noch nicht absolviert haben. «Die Geschäftsleitung steht voll und ganz hinter dieser Sicherheitsmassnahme und hat bereits die Trainings absolviert», sagt Max Hinder. «Auf diesem Weg können wir allen Kritikern den Wind aus den Segeln nehmen, die mangelnde Zeit aufführen.»

Max Hinder ist überzeugt davon, dass die Security Awareness Trainings wirksam sind. Er betont, dass diese Massnahme bereits erfolgreich ist, wenn sie auch nur eine einzige Cyberattacke verhindern kann.

Awareness für Phishing-Angriffe

Zusätzlich zu den Security Awareness Trainings nutzt die Stiftung Bühl die Phishing-Simulation der G DATA academy. Mithilfe dieser Simulation kann die Stiftung gleichzeitig den Status der Awareness in der Belegschaft prüfen und den Status der IT-Sicherheit messen. Ein Reporting zeigt den Verantwortlichen, ob und wie viele Mitarbeitende eine gefährliche E-Mail oder einen Anhang geöffnet oder persönliche Informationen preisgegeben haben. Gleichzeitig hilft die Simulation den Angestellten, routinierter mit Phishing-Versuchen umzugehen und steigert ihr Verantwortungsbewusstsein. Die simulierten Phishing-Mails werden über einen Zeitraum von drei bis vier Wochen verschickt und decken unterschiedliche Schwierigkeitsstufen ab. Dabei variiert auch der Zeitpunkt des Versands, da die Aufmerksamkeit der Mitarbeitenden nicht konstant ist. Manch ein Angestellter ist am Ende des Arbeitstages oder der Arbeitswoche weniger aufmerksam als zu Beginn.

Die Phishing-Simulation hat mittlerweile dreimal stattgefunden. Überraschenderweise war die Bilanz der zweiten Übung schlechter als die der ersten Simulation, wie Max Hinder berichtet. Bei der dritten Simulation stellte sich dann aber eine deutliche Verbesserung ein. Die Lernkurve der Belegschaft ist nach oben gegangen. Trotz dieser positiven Entwicklung war es zunächst erschreckend, dass viele Angestellte persönliche Daten wie Login-Informationen weitergegeben haben. In der Simula­tion blieb dieses Verhalten folgenlos, aber in der Realität stellt es ein ernsthaftes Problem dar. Die Veränderung des Bewusstseins zeigt sich darin, dass Mitarbeitende jetzt verdächtige ­E-Mails hinterfragen. Die Geschäftsleitung geht transparent mit dem Thema um und veröffentlicht die Management Reports. Dies ist ein wichtiger Schritt, um die Awareness weiter zu verbessern. Eine offene Fehlerkultur im Unternehmen ist auch ein wesentlicher Erfolgsfaktor bei der Phishing-Simulation, denn um ein Bewusstsein für das bestehende Risiko innerhalb der Belegschaft zu schaffen, ist es wichtig, offen über Fehlverhalten zu sprechen.

Die Phishing-Simulation hat gezeigt, dass Mitarbeitende aus Neugierde auf gefälschte Mails hereinfallen. Besonders auffällig war, dass überdurchschnittlich viele Angestellte den Anhang einer Bewerbung oder eines angeblichen Nachtrags zur Gehaltsverhandlung geöffnet haben. Ebenfalls hat manchen der Link zu einer gefälschten Seite zur Zwei-Faktor-Authentifizierung in die Falle gelockt. Übrigens: Auch die Geschäftsleitung hat sich durch Phishing-Mails täuschen lassen, nicht nur Angestellte.

Max Hinder bewertet den Austausch mit der G DATA academy nach fast einem Jahr positiv. Er hebt die Vielfalt der Security Awareness Trainings hervor, die ein breites Themenspektrum abdecken. Besonders erfolgreich war die Phishing-Simulation, die vielen Mitarbeitenden die Augen geöffnet hat.

Der Kunde

• Stiftung Bühl in Zürich
• 300 Mitarbeitende
   

Die Herausforderung

• Awareness für aktuelle Cyberrisiken schaffen
• Mitarbeitende zum Teil der Cyberabwehr machen
   

Die Lösung

• Security Awareness Trainings und Phishing-Simulation von der G DATA CyberDefense AG
   

Die Vorteile

• Die Phishing-Simulation zeigt, wie es um das Sicherheitsbewusstsein bestellt ist
• Awareness Trainings sorgen für erhöhte Aufmerksamkeit innerhalb der Belegschaft

>>Weitere Infos zu Security Awareness Trainings finden sie hier.