Cyberkriminalität ist zu einer enormen Bedrohung für die deutsche Wirtschaft geworden. Ganz vorne in der Angriffsstatistik rangieren Phishing- und Spear-Phishing-Angriffe. Die Betrüger nutzen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, etwa um vertrauliche Daten zu stehlen.
Besonders schwerwiegende Folgen können Spear-Phishing-Attacken für Unternehmen im hochregulierten Umfeld der Finanzwirtschaft haben. Zu ihnen gehört die Star Finanz, die 1997 gegründet wurde und seit 2010 eine 100%ige Tochter der Finanz Informatik, dem IT-Dienstleister der Sparkassen-Finanzgruppe, ist. Als führender Anbieter multibankenfähiger Online- und Mobile-Banking-Lösungen in Deutschland hat das Unternehmen häufig mit Finanz- und Transaktionsdaten von Endkunden und Unternehmen zu tun.
André Haase
Senior Security Architect – Star Finanz
Um diese sensiblen Kundendaten vor Phishing- und Spear-Phishing-Angriffen zu schützen, hatte die Star Finanz bereits eine IT-Sicherheitsstrategie etabliert. Neben technischen Sicherheitsmaßnahmen, wie Spam- und Phishing-Filter und Firewalls, wurden Security-Awareness-Schulungen für die Mitarbeiter:innen durchgeführt. Diese umfassten monatliche Blogposts und Besprechungen zu akuten Awareness-Themen, an denen alle Firmenbereiche teilnahmen. Jede Schulung schloss mit einer Wissensprüfung ab.
„Doch bald wurde klar, dass die internen Schulungen nicht mehr ausreichten, um unser Unternehmen nachhaltig vor den immer raffinierteren Spear-Phishing-Attacken zu schützen“, berichtet André Haase, Senior Security Architect bei der Star Finanz. „Also beschloss das Sicherheitsmanagement, das Thema in professionelle Hände zu legen.“
Diese Phishing-Simulationen verwenden echte Unternehmens- und Mitarbeiterinformationen, um authentische Angriffe nachzustellen.
Fällt ein Mitarbeiter auf einen simulierten Angriff herein, landet er direkt auf einer interaktiven Erklärseite. Dort wird ihm gezeigt, welche verdächtigen Merkmale die E-Mail enthält: von Buchstabendrehern in der Adresszeile über Fake-Subdomains bis hin zu zweifelhaften Links.
„Spear-Phishing-Simulationen sind ausgesprochen wirksam, weil sie den ,Most teachable Moment‘ eines Mitarbeiters nutzen, um ihn auf sein Fehlverhalten aufmerksam zu machen“, unterstreicht André Haase. „Genau dann ist dieser Mitarbeiter besonders aufnahmebereit und verinnerlicht das neu Gelernte langfristig.“
Überzeugt hat die Star Finanz-Sicherheitsverantwortlichen auch der patentierte Employee Security Index (ESI®) von IT-Seal. Er bietet eine Kennzahl zur Messung des Sicherheitsbewusstseins der Mitarbeiter und ergibt sich daraus, wie diese auf Phishing-Simulationen verschiedener Schwierigkeitsgrade reagieren. Mit dem ESI® ist es der Star Finanz jederzeit möglich, den individuellen Lernfortschritt ihrer Mitarbeiter zu ermitteln und den gezielten Einsatz weiterer Trainingsmaßnahmen abzuleiten.
Da IT-Seal die Daten der Kunden ausschließlich in Deutschland verarbeitet, sind sämtliche Trainingsmaßnahmen mit der EU-DSGVO kompatibel. Dies ist für einen Anbieter im Umfeld der Finanzbranche von zentraler Bedeutung. Darüber hinaus hat die Star Finanz mit der Nutzung der anerkannten Awareness-Maßnahmen von IT-Seal eine wichtige Weiche für die mögliche zukünftige ISO 27001-Zertifizierung gestellt.
Im Juni 2021 starteten die ersten Phishing-Simulationen. Dazu erstellte und versandte IT-Seal vollautomatisiert hunderte Angriffe in verschiedenen Schwierigkeitsgraden an die rund 350 Mitarbeiter:innen der Star Finanz. Per Blogposts und Rundmails war die Belegschaft zuvor auf die Phishing-Kampagne vorbereitet worden.
Nach deren Abschluss schaltete IT-Seal im so genannten Security Hub das erste E-Learning frei, um die Lerninhalte zu vertiefen. Dabei handelt es sich um eine Lernplattform, zu der alle Teilnehmer:innen einen eigenen Zugang haben, um die Trainings abrufen und ihre Lernfortschritte einsehen zu können. Für die Sicherheitsverantwortlichen der Star Finanz steht ein eigenes Frontend – der Awareness Manager – zur Verfügung, über das sie die anonymisierten Kampagnen-Ergebnisse abrufen können. Sie werden zudem von IT-Seal mit regelmäßigen Stakeholder- und Quartals-Berichten versorgt. Bis heute wurden mehrere Spear-Phishing-Kampagnen, E-Learnings und Präsenzschulungen durchgeführt. Die jeweilige Stoßrichtung legen die Star Finanz und IT-Seal bei vierteljährlichen Besprechungsterminen fest. Grundlage ist der ESI®, der von IT-Seal für die gesamte Belegschaft und für die einzelnen Bereiche anonymisiert ausgewertet wird.
„Gemeinsam planen wir ständig weitere Optimierungen, um das bereits erreichte hohe Sicherheitsniveau unserer Mitarbeiter zu halten und weiter zu verbessern“, zieht Sicherheitsmanager Haase eine erste Zwischenbilanz. „Bereits heute haben wir uns für eine permanente Laufzeit der Awareness-Trainings entschieden, da nur so eine langfristige und nachhaltige Wirkung auch bei neuen Mitarbeitern erreicht werden kann.“
Mit den Security-Awareness-Trainings von IT-Seal konnte die Star Finanz das Sicherheitsbewusstsein ihrer Mitarbeiter:innen für Spear-Phishing-Risiken deutlich verbessern.
Innovative Methoden und Werkzeuge verbinden sich zu einem Full-Service-Angebot, das auf dem neuesten Stand der Angreifer ist und das interne Sicherheitsmanagement entlastet.
„Ohne uns um die Steuerung und Umsetzung der Trainings kümmern zu müssen, konnten wir deutliche Lernfortschritte erzielen“, betont André Haase – und lobt den familiären und freundschaftlichen Umgang mit IT-Seal: „Wir haben eine großartige Kundenbetreuerin und pflegen einen tollen, oft auch tagesaktuellen Austausch zu allen wichtigen Themen
der Kampagne und zur Planung und Durchführung weiterer Maßnahmen.“
Lernen Sie unser Next-Gen Security Awareness Training bei Hornetsecurity unverbindlich kennen. Fordern Sie Ihre persönliche Demo jetzt kostenlos an und erfahren Sie alles über:
Hilpertstr. 31 | 64295 Darmstadt | Telefon: +49 6151 86 27 000
Made with ♥ in Security Valley Darmstadt