„Security Awareness Trainings sind bereits dann ein Erfolg, wenn sie auch nur eine einzige Cyberattacke verhindern.“

Max Hinder: Die Stiftung Bühl in Zürich gibt es bereits seit 1870. Mit viel Fachkompetenz und Innovationsgeist engagieren wir uns für Kinder und junge Erwachsene mit geistiger Behinderung oder Lernbehinderung. 300 Angestellte kümmern sich aktuell um rund 200 Klientinnen und Klienten, die dort zur Schule gehen oder eine Ausbildung absolvieren.

Max Hinder: Das Rückgrat der Stiftung bildet eine moderne IT mit zwei separaten Netzwerken: ein Schulnetzwerk mit Lernplattform für Schülerinnen, Schüler und Auszubildende und ein Produktionsnetzwerk für Mitarbeitende. Beide Systeme sind physisch getrennt. Die IT-Abteilung hat zweieinhalb Stellen. Das Personal kümmert sich um die Sicherheit der Infrastruktur und stellt die Integrität, die Vertraulichkeit sowie die Verfügbarkeit der Daten sicher.

Max Hinder: Es gab schon unzählige DDoS-Angriffe und Versuche, unser IT-System zu infiltrieren. Glücklicherweise konnten wir bis heute alles auffangen und es kam nicht zum IT-Notfall. Angesichts der aktuell hohen Bedrohungslage sind wir uns bewusst, dass Security Awareness immer wichtiger wird, um Angriffsversuche frühzeitig zu unterbinden. Daher haben wir entschieden, Mitarbeitende für aktuelle Cybergefahren zu sensibilisieren. Unser Ziel ist es, alle Angestellten zu schulen, bevor ein Vorfall eintritt.

Max Hinder: Wir haben zunächst einen Anforderungskatalog erstellt, um marktgängige Angebote zu prüfen und miteinander zu vergleichen. Die gesuchte Lösung sollte sich einfach ins System integrieren lassen, gut gestaltete Kurse für die Mitarbeitenden anbieten und die Möglichkeit bieten, eigenes Kursmaterial zu integrieren. Der Lernplan sollte individuell anpassbar sein, um den Bedürfnissen der Stiftung Bühl gerecht zu werden. Zusätzlich zur Überwachung des Lernfortschritts der Teilnehmenden war es wichtig, dass das Angebot auch eine Phishing-Simulation enthielt, um das Personal im Umgang mit gefährlichen Phishing-Mails zu schulen. Die Stiftung suchte außerdem nach einem Partner mit langjähriger Erfahrung in Cybersicherheit.

Max Hinder: Die Integration der Security Awareness Trainings ist reibungslos und ohne Probleme verlaufen. Dies war möglich, da G DATA einen gut etablierten Prozess mit klaren Vorgaben implementiert hat, der den Aufwand für uns als Kunden minimiert. Das Learning Management System konnte installiert werden und die Mitarbeitenden die Kurse absolvieren.

Max Hinder: Den Start der Trainings haben wir mit E-Mails aus dem Starter-Kit von G DATA CyberDefense begleitet. Darin informierte die Geschäftsleitung die Angestellten über den Sinn und Zweck der Awareness-Schulungen und sorgte so für eine entsprechende Motivation. Aktuell müssen die Teilnehmenden 12 Kurse absolvieren. Fast die Hälfte der Angestellten hat die Schulungen bereits angefangen oder auch schon vollständig durchlaufen. Dabei zeigt sich, dass gerade Mitarbeitende mit wenig IT-Affinität die Sinnhaftigkeit der Kurse infrage stellen. Immer wieder führen Angestellte den zusätzlichen Zeitaufwand ins Feld, warum sie die Kurse noch nicht geschafft haben. Aber die Geschäftsleitung steht voll und ganz hinter dieser Maßnahme und hat bereits die Trainings absolviert. Auf diesem Weg können wir allen Kritikern den Wind aus den Segeln nehmen, die mangelnde Zeit aufführen. Von der Wirksamkeit der Security Awareness Trainings bin ich voll überzeugt. Die Trainings sind bereits erfolgreich, wenn sie auch nur eine einzige Cyberattacke verhindern kann.

Max Hinder: Diese Simulation versetzt unsere Angestellten in die Lage, routinierter mit Phishing umzugehen und steigert ihr Verantwortungsbewusstsein. Gleichzeitig können wir auf diesem Weg den Status der IT-Sicherheit und die Wirksamkeit der Schulungen messen. Ein Reporting zeigt auf einen Blick, ob und wie viele Mitarbeitende eine gefährliche Mail oder einen Anhang geöffnet oder persönliche Informationen preisgegeben haben. Die Training-Mails werden über einen Zeitraum von drei bis vier Wochen verschickt und decken unterschiedliche Schwierigkeitsstufen ab. Dabei variiert auch der Zeitpunkt des Versands. Denn die Aufmerksamkeit der Mitarbeitenden ist nicht konstant. So ist mancher Angestellter in Vorfreude auf den Feierabend oder das Wochenende nicht mehr so aufmerksam wie zu Beginn des Arbeitstages.

Max Hinder: Mittlerweile hat die Phishing Simulation dreimal stattgefunden. Die Ergebnisse waren überraschend. Denn die Bilanz der zweiten Übung waren schlechter als die der ersten Simulation. Erst bei der dritten haben wir eine deutliche Verbesserung gesehen. Jetzt geht die Lernkurve der Belegschaft nach oben. Erschreckend war, dass viele Mitarbeitende persönliche Daten wie Log-in-Informationen weitergegeben haben. In der Simulation ist das unproblematisch, in der Realität ein ernsthaftes Problem.

Max Hinder: Eindeutig ja. Wie sich das Bewusstsein verändert hat, zeigt sich daran, dass unsichere Angestellte in der IT jetzt nachfragen, ob eine E-Mail echt oder falsch ist. Die Geschäftsleitung geht mit dem Thema insgesamt transparent um und veröffentlicht die Management Reports - ein wichtiger Schritt, um die Awareness weiter zu verbessern. Ein wesentlicher Erfolgsfaktor bei der Phishing Simulation ist auch die offene Fehlerkultur im Unternehmen. Nur wer offen über Fehlverhalten sprechen kann, schafft innerhalb der Belegschaft ein Bewusstsein für das bestehende Risiko.

Die Phishing Simulation hat gezeigt, dass Mitarbeitende unter anderem aus Neugierde auf gefälschte Mails hereinfallen. So öffneten überdurchschnittlich viele Angestellte den Anhang einer Bewerbung oder mit einem angeblichen Nachtrag zur Gehaltsverhandlung. Aber auch den Link zu einer gefälschten Seite zur Zwei-Faktor-Authentifizierung lockte manchen in die Falle. Übrigens: Nicht nur Angestellte haben Mails geöffnet, auch die Geschäftsleitung hat sich in die Irre führen lassen.

Max Hinder: Sehr positiv. Sehr gut gefällt die Vielfalt der Security Awareness Trainings, die ein breites Themenspektrum abdecken. Besonders erfolgreich war die Phishing Simulation, bei der vielen Mitarbeitenden die Augen geöffnet wurden. Seitdem denken sie mehr über ihr Verhalten nach und hinterfragen verdächtige Nachrichten.