IT-Sicherheitstechnik leistet viel, aber nicht alles. Um der steigenden Gefahr durch Phishing-Attacken zu begegnen, bedarf es einer starken menschlichen Firewall.
Das wissen auch die IT-Sicherheitsverantwortlichen bei der SBK Siemens-Betriebskrankenkasse. Mit über einer Million Versicherten ist die SBK die größte Betriebskrankenkasse in Deutschland und zählt zu den zehn größten bundesweit geöffneten Krankenkassen.
Ein hohes IT-Sicherheitsbewusstsein ist gerade für die SBK-Beschäftigten ein Muss, da diese täglich mit hochsensiblen Gesundheitsdaten umgehen. So kann jeder unberechtigte Zugriff zu einem Vertrauensverlust bei den Versicherten führen. Hinzu kommen strenge gesetzliche Vorgaben, die einen Sozialversicherungsträger wie die SBK zu besonderen technisch-organisatorischen Datenschutzmaßnahmen verpflichten, allen voran die EU-DSGVO.
Alarmiert durch die zunehmenden Meldungen über erfolgreiche Phishing- und Spear-Phishing-Angriffe, suchte die SBK nach Möglichkeiten, um das IT-Sicherheitsbewusstsein ihrer Mitarbeiter:innen zu schärfen. So warnte der Lagebericht 2021 des Bundesamts für Sicherheit in der Informationstechnik (BSI) die Unternehmen eindringlich vor Social Engineering – und machte eine unzureichend geschulte oder unaufmerksame Belegschaft als zentrales Problem für die deutsche Wirtschaft aus.
„Spätestens damit war uns klar, dass wir unverzüglich handeln mussten“, erinnert sich René Bürger, Informationssicherheitsbeauftragter der SBK. „Zumal die Angriffe immer öfter auf das Konto hochprofessioneller Betrügerbanden gehen, die ihre Opfer mit immer raffinierteren Phishing-Mails hereinlegen.“
In Phase 1 wurden die Mitarbeiter:innen zunächst über das Intranet mit einschlägigen BSI-Informationen, frei zugänglichen Schulungsvideos und eingesteuerten Warnmeldungen bei Phishingverdacht auf die Thematik vorbereitet. Vier Wochen vor dem Start erfolgte die Ankündigung der ersten Trainingseinheiten.
Dazu erhielt jeder Teilnehmer einen persönlichen Zugang zum Security Hub, der Lernplattform von IT-Seal. Als besonders zielführend wertet René Bürger die professionelle Projektbegleitung durch IT-Seal: Jeder Mitarbeiter war am Ende umfassend über die anstehenden Schulungen informiert.
Die Security-Awareness-Trainings von IT-Seal kombinieren unterhaltsam gestaltete E-Learnings sowie Online- und Präsenzseminare mit praxisnahen Spear-Phishing-Simulationen. Dabei verwendet IT-Seal echte Unternehmens- und Mitarbeiterdaten, um authentische Attacken nachzustellen.
Fällt ein Nutzer darauf herein, landet er direkt auf einer interaktiven Erklärseite mit Hinweisen auf verdächtige Merkmale, wie Buchstabendrehern in der Adresszeile, gefälschte Subdomains oder zweifelhafte Links.
In gewissen Zeitabständen werden die Phishing-Simulationen wiederholt und an aktuelle Phishing-Methoden angepasst. „Durch diesen kontinuierlichen ,Beschuss‘ werden unsere Mitarbeiter:innen besonders effektiv in der Angriffserkennung geschult“, betont René Bürger. „Das zeigt sich an den großen Lernfortschritten innerhalb kurzer Zeit.“
Objektiv messbar sind diese Entwicklungen mit dem patentierten Employee Security Index (ESI®) von IT-Seal. Er bietet eine Kennzahl zur Ermittlung des Sicherheitsbewusstseins der Mitarbeiter:innen und richtet sich danach, wie diese auf Phishing-Simulationen unterschiedlicher Schwierigkeitsgrade reagieren. Anonymisiert auf einzelne Bereiche und Teams heruntergebrochen, ist der ESI® jederzeit über ein Management Dashboard einsehbar.
Die Sicherheitsverantwortlichen der SBK erhalten damit zeitnahe Transparenz über den Verlauf und die Fortschritte der Schulungen. Sie können feststellen, wo Defizite und Handlungsbedarfe entstehen und nachgearbeitet werden sollte. Über den Security Hub sehen auch die Mitarbeiter:innen ihren aktuellen ESI® ein.
Einen weiteren Schutzwall gegen Phishing-Angriffe konnte die SBK mit dem Reporter Button von IT-Seal errichten. Direkt in Microsoft Outlook integriert, ermöglicht dieser Button die Meldung zweifelhafter E-Mails. So können die Nutzer eine nicht IT-Seal-Testmail, die sie als Gefährdung einstufen, über den Button direkt an das Postfach „Informationssicherheit“ weiterleiten. Dort erfolgt dann unverzüglich die Bearbeitung durch den Informationssicherheitsbeauftragten und sein Team.
Diese wiederum beziehen in die Analysen den IT-Dienstleister BITMARK ein, der die Absender als gefälscht identifizierter E-Mails unverzüglich sperrt. Auf Basis aller Meldungen über den Button kann sich René Bürger einen sehr guten und fast tagesaktuellen Überblick über die Bedrohungslage verschaffen, Gefahrenquellen werden reduziert.
Mit dem Wechsel auf eine aktuelle Outlook-Version kann die SBK auch die Prüffragen-Funktion des Buttons nutzen. Dann erhalten die Mitarbeiter auf Knopfdruck nützliche Hinweise, ob eine Mail gefälscht sein könnte.
Ein spürbar gesteigertes Sicherheitsbewusstsein der Mitarbeiter:innen, Transparenz über akute Phishing-Risiken und ein ausgezeichnetes Feedback von Seiten der Belegschaft und des IT-Dienstleisters:
Mit den Security-Awareness-Trainings von IT-Seal hat die SBK eine wichtige Weiche in Richtung Cybersecurity gestellt.
Damit dieser Effekt nachhaltig wirkt, sollen die Schulungen unbefristet weitergeführt werden. „Damit können wir nicht nur die neuen Mitarbeiter:innen in die Schulungsangebote von IT-Seal einbinden“, erläutert René Bürger. „Auch die vorhandene Belegschaft wird von den regelmäßigen Auffrischungen außerordentlich profitieren.“
Lernen Sie unser Next-Gen Security Awareness Training bei Hornetsecurity unverbindlich kennen. Fordern Sie Ihre persönliche Demo jetzt kostenlos an und erfahren Sie alles über:
Hilpertstr. 31 | 64295 Darmstadt | Telefon: +49 511 515464-200
Made with ♥ in Security Valley Darmstadt