Customer Success Story

Der Hintergrund

IT-Sicherheitstechnik leistet viel, aber nicht alles. Um der steigenden Gefahr durch Phishing-Attacken zu begegnen, bedarf es einer starken menschlichen Firewall. 

Das wissen auch die IT-Sicherheitsverantwortlichen bei der SBK Siemens-Betriebskrankenkasse. Mit über einer Million Versicherten ist die SBK die größte Betriebskrankenkasse in Deutschland und zählt zu den zehn größten bundesweit geöffneten Krankenkassen. 

Ein hohes IT-Sicherheitsbewusstsein ist gerade für die SBK-Beschäftigten ein Muss, da diese täglich mit hochsensiblen Gesundheitsdaten umgehen. So kann jeder unberechtigte Zugriff zu einem Vertrauensverlust bei den Versicherten führen. Hinzu kommen strenge gesetzliche Vorgaben, die einen Sozialversicherungsträger wie die SBK zu besonderen technisch-organisatorischen Datenschutzmaßnahmen verpflichten, allen voran die EU-DSGVO.   

 

Die Herausforderung

Alarmiert durch die zunehmenden Meldungen über erfolgreiche Phishing- und Spear-Phishing-Angriffe, suchte die SBK nach Möglichkeiten, um das IT-Sicherheitsbewusstsein ihrer Mitarbeiter:innen zu schärfen. So warnte der Lagebericht 2021 des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Unternehmen eindringlich vor Social Engineering – und machte eine unzureichend geschulte oder unaufmerksame Belegschaft als zentrales Problem für die deutsche Wirtschaft aus. 

„Spätestens damit war uns klar, dass wir unverzüglich handeln mussten“, erinnert sich René Bürger, Informationssicherheitsbeauftragter der SBK. „Zumal die Angriffe immer öfter auf das Konto hochprofessioneller Betrügerbanden gehen, die ihre Opfer mit immer raffinierteren Phishing-Mails hereinlegen.“  

Mit IT-Seal entschied sich die SBK für einen Anbieter von Security-Awareness-Trainings, der Inhalte, Methoden und Werkzeuge zu einem überzeugenden Gesamtpaket kombiniert. Von Anfang an wurden Vorstand, Führungskräfte, Hauptpersonalrat und der IT-Dienstleister BITMARCK intensiv in die Awareness-Kampagne eingebunden. An den Schulungen nehmen alle rund 1.800 Beschäftigten der SBK teil.    

Die Lösung

Intensive Vorbereitungsphase

In Phase 1 wurden die Mitarbeiter:innen zunächst über das Intranet mit einschlägigen BSI-Informationen, frei zugänglichen Schulungsvideos  und eingesteuerten Warnmeldungen bei Phishingverdacht auf die Thematik vorbereitet. Vier Wochen vor dem Start erfolgte die Ankündigung der ersten Trainingseinheiten. 

Dazu erhielt jeder Teilnehmer einen persönlichen Zugang zum Security Hub, der Lernplattform von IT-Seal. Als besonders zielführend wertet René Bürger die professionelle Projektbegleitung durch IT-Seal: Jeder Mitarbeiter war am Ende umfassend über die anstehenden Schulungen informiert.  

Spear-Phishing-Simulationen schärfen den Blick

Die Security-Awareness-Trainings von IT-Seal kombinieren unterhaltsam gestaltete E-Learnings sowie Online- und Präsenzseminare mit praxisnahen Spear-Phishing-Simulationen. Dabei verwendet IT-Seal echte Unternehmens- und Mitarbeiterdaten, um authentische Attacken nachzustellen.

 Fällt ein Nutzer darauf herein, landet er direkt auf einer interaktiven Erklärseite mit Hinweisen auf verdächtige Merkmale, wie Buchstabendrehern in der Adresszeile, gefälschte Subdomains oder zweifelhafte Links. 

In gewissen Zeitabständen werden die Phishing-Simulationen wiederholt und an aktuelle Phishing-Methoden angepasst. „Durch diesen kontinuierlichen ,Beschuss‘ werden unsere Mitarbeiter:innen besonders effektiv in der Angriffserkennung geschult“, betont René Bürger. „Das zeigt sich an den großen Lernfortschritten innerhalb kurzer Zeit.“ 

Erfolgreiches Awareness-Training

Employee Security Index (ESI®) misst Sicherheitsbewusstsein

Objektiv messbar sind diese Entwicklungen mit dem patentierten Employee Security Index (ESI®) von IT-Seal. Er bietet eine Kennzahl zur Ermittlung des Sicherheitsbewusstseins der Mitarbeiter:innen und richtet sich danach, wie diese auf Phishing-Simulationen unterschiedlicher Schwierigkeitsgrade reagieren. Anonymisiert auf einzelne Bereiche und Teams heruntergebrochen, ist der ESI® jederzeit über ein Management Dashboard einsehbar. 

Die Sicherheitsverantwortlichen der SBK erhalten damit zeitnahe Transparenz über den Verlauf und die Fortschritte der Schulungen. Sie können feststellen, wo Defizite und Handlungsbedarfe entstehen und nachgearbeitet werden sollte. Über den Security Hub sehen auch die Mitarbeiter:innen ihren aktuellen ESI® ein.    

Reporter Button meldet zweifelhafte Mails

Einen weiteren Schutzwall gegen Phishing-Angriffe konnte die SBK mit dem Reporter Button von IT-Seal errichten. Direkt in Microsoft Outlook integriert, ermöglicht dieser Button die  Meldung zweifelhafter E-Mails. So können die Nutzer eine nicht IT-Seal-Testmail, die sie als Gefährdung einstufen, über den Button direkt an das Postfach „Informationssicherheit“ weiterleiten. Dort erfolgt dann unverzüglich die Bearbeitung durch den Informationssicherheitsbeauftragten und sein Team. 

Diese wiederum beziehen in die Analysen den IT-Dienstleister BITMARK ein, der die Absender als gefälscht identifizierter E-Mails unverzüglich sperrt. Auf Basis aller Meldungen über den Button kann sich René Bürger einen sehr guten und fast tagesaktuellen Überblick über die Bedrohungslage verschaffen, Gefahrenquellen werden reduziert. 

Mit dem Wechsel auf eine aktuelle Outlook-Version kann die SBK auch die Prüffragen-Funktion des Buttons nutzen. Dann erhalten die Mitarbeiter auf Knopfdruck nützliche Hinweise, ob eine Mail gefälscht sein könnte.

Durch den kontinuierlichen ,Beschuss‘ mit nachgestellten Spear-Phishing-Mails werden unsere Mitarbeiter:innen besonders effektiv in der Angriffserkennung geschult. Das zeigt sich an den großen Lernfortschritten innerhalb kurzer Zeit.“  

René Bürger – Informationssicherheitsbeauftragter – Siemens-Betriebskrankenkasse

Fazit

Ein spürbar gesteigertes Sicherheitsbewusstsein der Mitarbeiter:innen, Transparenz über akute Phishing-Risiken und ein ausgezeichnetes Feedback von Seiten der Belegschaft und des IT-Dienstleisters: 

Mit den Security-Awareness-Trainings von IT-Seal hat die SBK eine wichtige Weiche in Richtung Cybersecurity gestellt. 

Damit dieser Effekt nachhaltig wirkt, sollen die Schulungen unbefristet weitergeführt werden. „Damit können wir nicht nur die neuen Mitarbeiter:innen in die Schulungsangebote von IT-Seal einbinden“, erläutert René Bürger. „Auch die vorhandene Belegschaft wird von den regelmäßigen Auffrischungen außerordentlich profitieren.“ 

Weitere Informationen

Security-Awareness-Trainings von IT-Seal:
Vorteile auf einen Blick

Hier Klicken
Employee Security Index (ESI®) macht Sicherheitsbewusstsein messbar

Spear-Phishing-Simulationen optimieren Angriffserkennung

unterhaltsam gestaltete E-Learnings, Online- und Präsenzseminare

Reporter Button für Identifizierung und Meldung zweifelhafter E-Mails

Transparenz über aktuelle Phishing-Risiken

Security Hub bietet Mitarbeitern individuelle Lernplattform

Kampagnen immer auf neuestem Angreifer-Stand

Full-Service-Angebot entlastet interne Ressourcen

Über
SBK - Siemens Betriebskrankenkasse

Hier Klicken

SBK - Siemens Betriebskrankenkasse

Die SBK Siemens-Betriebskrankenkasse ist die größte Betriebskrankenkasse Deutschlands und gehört zu den 20 größten gesetzlichen Krankenkassen.

Als geöffnete, bundesweit tätige Krankenkasse versichert sie mehr als eine Million Menschen und betreut über 100.000 Firmenkunden in Deutschland – mit mehr als 1.800 Mitarbeiterinnen und Mitarbeitern in 86 Geschäftsstellen.“

www.sbk.org

Starten Sie jetzt Ihre Customer Success Story!

Lernen Sie unser Next-Gen Security Awareness Training bei Hornetsecurity unverbindlich kennen. Fordern Sie Ihre persönliche Demo jetzt kostenlos an und erfahren Sie alles über:

Erfahrungen & Bewertungen zu IT-Seal GmbH
IT-Seal bietet IT-Security made in Germany.