Bereits seit einigen Jahren führt die RGF Staffing Germany Schulungen durch, um die eigenen Mitarbeiter für Cyberrisiken zu sensibilisieren. Eine reine Power Point-Show war aber auf Dauer zu wenig, so dass die IT-Abteilung bereits frühzeitig auch auf Phishing-Simulationen zurückgegriffen hat. „Die Herausforderung war stets regelmäßige und überprüfbare Trainings zu veranstalten, die möglichst viele der auf
Bereits seit einigen Jahren führt die RGF Staffing Germany Schulungen durch, um die eigenen Mitarbeiter für Cyberrisiken zu sensibilisieren.
Eine reine Power Point-Show war aber auf Dauer zu wenig, so dass die IT-Abteilung bereits frühzeitig auch auf Phishing-Simulationen zurückgegriffen hat. „Die Herausforderung war stets regelmäßige und überprüfbare Trainings zu veranstalten, die möglichst viele der auf mehrere Standorte in ganz Deutschland verteilte Mitarbeiter mitzunehmen. Uns fehlte eine zentrale Plattform, über die wir unsere Aktivitäten steuern und die Ergebnisse analysieren konnten,“ sagt Olaf Kropp, Leiter ICT bei RGF Staffing Germany .
Aus diesem Grund hatte der IT-Support im Jahr 2020 drei Möglichkeiten in Betracht gezogen und klassisch alle drei einem Test unterzogen. „Der Faktor Mensch ist das schwächste Glied in der Security-Kette, aus diesem Grund war für uns klar, dass wir hier eine Lösung benötigen, die effektiv und leicht zu administrieren ist“, sagt Kropp. Der in München ansässige IT-Support umfasst neun Mitarbeiter, die sich unter anderem auch um die Vermittlung für die Security Awareness-Inhalte und Phishing-Tests kümmern. An der Entscheidung, dass eine kommerzielle Lösung für das Problem gefunden werden musste, reifte nicht nur bei der IT, sondern auch bei der Geschäftsführung. Mit der Einbindung der Datenschutzabteilung saßen bei der Auswahl dann auch alle Parteien am Tisch.
Steuerung der Maßnahmen auf einer Plattform
Entschieden hatte sich der Personalvermittler für KnowBe4. Überzeugend war die Automatisierung des gesamten Prozesses über eine SaaS-Plattform. Bereits nach wenigen Stunden kann das eigene Security Awareness-Programm erstellt werden. Zur Seite steht hierbei ein Customer Success Manager, der erste Rückfragen beantwortet und bei der Planung der Kampagnen unterstützt. Der Aufwand für das Aufsetzen, das Kontrollieren und die Durchsetzung weiterer Maßnahmen ist geringer als bei anderen Anbietern. Die Planung der Security Awareness-Maßnahmen erfolgt nun einmal im Jahr und dann wird das Programm in unterschiedlichen Kampagnen ausgerollt.
Nicht bei allen stößt der Ansatz auf Gegenliebe. Im Umgang mit Menschen ist es wichtig ein guter Kommunikator zu sein. Die Schulungsmaßnahmen und vor allem die Phishing Simulationen gefallen nicht allen Mitarbeitern, einige fühlen sich auf den Schlips getreten oder genervt. Deshalb darf vor allem der Test per E-Mail nicht zu oft erfolgen und das Feedback muss einwandfrei kommuniziert werden. „Jemand, der sich ertappt fühlt, wird Hemmungen bekommen auf die nächste E-Mail zu klicken. Wir dürfen es nicht übertreiben und das tun wir auch nicht“, sagt Kropp. Die wohl wichtigste Unterstützung ist daher die der Geschäftsführung. Sind alle an Bord, so schließen sich die Teamleiter und anderen Führungskräfte in der Regel an. Dies ist ein wesentlicher Erfolgsfaktor für dieses Training.
Weniger Klicks auf simuliertes Phishing
Einer der erhofften Effekte war die Abnahme der Fehlklicks. Die Klicks auf die simulierten Phishing-E-Mails konnten reduziert werden und dieses Ergebnis lässt sich mit dem Erfolg einzelner Security Awareness-Inhalte in Verbindung setzen. Ein Zusammenhang zwischen gut gemachten Trainingsinhalten und dem Testen der Mitarbeiter durch gezieltes Phishing mit verschiedenen Templates ist also nicht nur Theorie, sondern Wirklichkeit, die sich messen lässt.
„Wir machen zu Beginn ein Basistraining für jeden neuen Mitarbeiter. Die Gesamtdauer beträgt zwischen 15 und 20 Minuten und besteht aus 1 bis 3 Trainings. Danach gibt es in jedem Jahr 1 bis 2 Zusatztrainings, also ein 1 Training pro Halbjahr. Mitarbeiter, die in dem Jahr ein Basistraining absolviert haben, bekommen kein Zusatztraining. Die Kollegen, die allerdings durch einen Phishing-Test fallen, bekommen ein zusätzliches Phishing-Training von 5 bis 10 Minuten. Dabei handelt es sich um ein Training im Gamification-Ansatz. Zu Beginn der Zusammenarbeit haben wir im ersten Jahr monatliche Phishing-Tests durchgeführt. In diesem Jahr hatten wir auf quartalsweise Tests umgestellt. Allerdings stellten wir dabei fest, dass die Awareness dadurch sinkt. Wir werden deshalb im Jahr 2024 wieder auf monatliche Tests umstellen,“ fasst Kropp zusammen.
Menschliche Schutzlinie gegen Cybercrime
Auf dem Weg zu einer Phishing-resistenteren Belegschaft ist eine kontinuierliche Trainingsbereitschaft und eine dauerhafte Unterstützung durch die Geschäftsführung das A und O. Der lange Atem der Mitarbeiter und der Wunsch sich stetig zu verbessern und neues zu lernen sind letztlich ausschlaggebend für den Erfolg von Security Awareness-Maßnahmen. Dessen ist sich auch Kropp bewusst: „Viel wird über die menschliche Firewall geschrieben, aber wir haben es hier mit Menschen zu tun, die sich nicht einfach konfigurieren lassen. Vielmehr hängt es von jedem Einzelnen ab, wie effektiv unsere Aktivitäten sind. Wir versuchen positive Anreize zu setzen und mit Abwechslung unser Ziel zu erreichen. Die beste Motivation, und das zeigt sich immer wieder, ist die, dass das erlernte Wissen und die Verhaltensänderung dafür sorgen, dass unsere Mitarbeiter auch privat sicherer und selbstbewusster mit E-Mails und unerwarteten Telefonanrufen umgehen.“ Mit der Übertragung von Schulungswissen auf den beruflichen, aber auch privaten Alltag gelingt es eine stetige Veränderung von Verhaltensweisen zu erreichen und eine menschliche Schutzlinie gegen Cybercrime aufzubauen.