Eine reine Power Point-Show war aber auf Dauer zu wenig, so dass die IT-Abteilung bereits frühzeitig auch auf Phishing-Simulationen zurückgegriffen hat. „Die Herausforderung war stets regelmäßige und überprüfbare Trainings zu veranstalten, die möglichst viele der auf mehrere Standorte in ganz Deutschland verteilte Mitarbeiter mitzunehmen. Uns fehlte eine zentrale Plattform, über die wir unsere Aktivitäten steuern und die Ergebnisse analysieren konnten,“ sagt Olaf Kropp, Leiter ICT bei RGF Staffing Germany .

Aus diesem Grund hatte der IT-Support im Jahr 2020 drei Möglichkeiten in Betracht gezogen und klassisch alle drei einem Test unterzogen. „Der Faktor Mensch ist das schwächste Glied in der Security-Kette, aus diesem Grund war für uns klar, dass wir hier eine Lösung benötigen, die effektiv und leicht zu administrieren ist“, sagt Kropp. Der in München ansässige IT-Support umfasst neun Mitarbeiter, die sich unter anderem auch um die Vermittlung für die Security Awareness-Inhalte und Phishing-Tests kümmern. An der Entscheidung, dass eine kommerzielle Lösung für das Problem gefunden werden musste, reifte nicht nur bei der IT, sondern auch bei der Geschäftsführung. Mit der Einbindung der Datenschutzabteilung saßen bei der Auswahl dann auch alle Parteien am Tisch.

Steuerung der Maßnahmen auf einer Plattform

Entschieden hatte sich der Personalvermittler für KnowBe4. Überzeugend war die Automatisierung des gesamten Prozesses über eine SaaS-Plattform. Bereits nach wenigen Stunden kann das eigene Security Awareness-Programm erstellt werden. Zur Seite steht hierbei ein Customer Success Manager, der erste Rückfragen beantwortet und bei der Planung der Kampagnen unterstützt. Der Aufwand für das Aufsetzen, das Kontrollieren und die Durchsetzung weiterer Maßnahmen ist geringer als bei anderen Anbietern. Die Planung der Security Awareness-Maßnahmen erfolgt nun einmal im Jahr und dann wird das Programm in unterschiedlichen Kampagnen ausgerollt.

Nicht bei allen stößt der Ansatz auf Gegenliebe. Im Umgang mit Menschen ist es wichtig ein guter Kommunikator zu sein. Die Schulungsmaßnahmen und vor allem die Phishing Simulationen gefallen nicht allen Mitarbeitern, einige fühlen sich auf den Schlips getreten oder genervt. Deshalb darf vor allem der Test per E-Mail nicht zu oft erfolgen und das Feedback muss einwandfrei kommuniziert werden. „Jemand, der sich ertappt fühlt, wird Hemmungen bekommen auf die nächste E-Mail zu klicken. Wir dürfen es nicht übertreiben und das tun wir auch nicht“, sagt Kropp. Die wohl wichtigste Unterstützung ist daher die der Geschäftsführung. Sind alle an Bord, so schließen sich die Teamleiter und anderen Führungskräfte in der Regel an. Dies ist ein wesentlicher Erfolgsfaktor für dieses Training.

Weniger Klicks auf simuliertes Phishing

Einer der erhofften Effekte war die Abnahme der Fehlklicks. Die Klicks auf die simulierten Phishing-E-Mails konnten reduziert werden und dieses Ergebnis lässt sich mit dem Erfolg einzelner Security Awareness-Inhalte in Verbindung setzen. Ein Zusammenhang zwischen gut gemachten Trainingsinhalten und dem Testen der Mitarbeiter durch gezieltes Phishing mit verschiedenen Templates ist also nicht nur Theorie, sondern Wirklichkeit, die sich messen lässt.

„Wir machen zu Beginn ein Basistraining für jeden neuen Mitarbeiter. Die Gesamtdauer beträgt zwischen 15 und 20 Minuten und besteht aus 1 bis 3 Trainings. Danach gibt es in jedem Jahr 1 bis 2 Zusatztrainings, also ein 1 Training pro Halbjahr. Mitarbeiter, die in dem Jahr ein Basistraining absolviert haben, bekommen kein Zusatztraining. Die Kollegen, die allerdings durch einen Phishing-Test fallen, bekommen ein zusätzliches Phishing-Training von 5 bis 10 Minuten. Dabei handelt es sich um ein Training im Gamification-Ansatz. Zu Beginn der Zusammenarbeit haben wir im ersten Jahr monatliche Phishing-Tests durchgeführt. In diesem Jahr hatten wir auf quartalsweise Tests umgestellt. Allerdings stellten wir dabei fest, dass die Awareness dadurch sinkt. Wir werden deshalb im Jahr 2024 wieder auf monatliche Tests umstellen,“ fasst Kropp zusammen.

Menschliche Schutzlinie gegen Cybercrime

Auf dem Weg zu einer Phishing-resistenteren Belegschaft ist eine kontinuierliche Trainingsbereitschaft und eine dauerhafte Unterstützung durch die Geschäftsführung das A und O. Der lange Atem der Mitarbeiter und der Wunsch sich stetig zu verbessern und neues zu lernen sind letztlich ausschlaggebend für den Erfolg von Security Awareness-Maßnahmen. Dessen ist sich auch Kropp bewusst: „Viel wird über die menschliche Firewall geschrieben, aber wir haben es hier mit Menschen zu tun, die sich nicht einfach konfigurieren lassen. Vielmehr hängt es von jedem Einzelnen ab, wie effektiv unsere Aktivitäten sind. Wir versuchen positive Anreize zu setzen und mit Abwechslung unser Ziel zu erreichen. Die beste Motivation, und das zeigt sich immer wieder, ist die, dass das erlernte Wissen und die Verhaltensänderung dafür sorgen, dass unsere Mitarbeiter auch privat sicherer und selbstbewusster mit E-Mails und unerwarteten Telefonanrufen umgehen.“ Mit der Übertragung von Schulungswissen auf den beruflichen, aber auch privaten Alltag gelingt es eine stetige Veränderung von Verhaltensweisen zu erreichen und eine menschliche Schutzlinie gegen Cybercrime aufzubauen.

Roger Homrich

Recent Posts

Cloud-Ressourcen sind Hauptziel von Cyber-Angriffen

52 Prozent der Unternehmen Deutschland haben bereits eine Verletzung der Datensicherheit in der Cloud erlebt.

13 Stunden ago

Transport Betz automatisiert Geschäftsprozesse

Rückgrat des Digitalisierungsprogramms ist das ERP-System GUS-OS Suite, das der Logistikdienstleister seit 15 Jahren im…

1 Tag ago

Cyberversicherung auf dem Weg zum Standard

Studie: Mehr als die Hälfte der DACH-Unternehmen haben mittlerweile eine Police. Gesamtosten rund um Cyberversicherungen…

2 Tagen ago

Komplexität reduzieren und mit vorhandenen Ressourcen sicherer werden

"Unternehmen sollten Security-Investitionen neu bewerten, entscheiden, wo sie konsolidieren können und mit ähnlichem Geld sich…

5 Tagen ago

Chemiekonzern Kemira archiviert seine SAP-Daten und Dokumente in der Cloud

Kemira hat sich von langjähriger Archivierungslösung getrennt und vertraut nun der Archivierung in der Cloud…

6 Tagen ago

Use-Case: KI-Integration im deutschen Mittelstand

Auch im deutschen Mittelstand setzen mehr und mehr Unternehmen auf den Einsatz von künstlicher Intelligenz.…

1 Woche ago