Der Hintergrund
Cyberkriminalität ist zu einer enormen Bedrohung für die deutsche Wirtschaft geworden. Ganz vorne in der Angriffsstatistik rangieren Phishing- und Spear-Phishing-Angriffe. Die Betrüger nutzen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, etwa um vertrauliche Daten zu stehlen.
Besonders schwerwiegende Folgen können Spear-Phishing-Attacken für Unternehmen im hochregulierten Umfeld der Finanzwirtschaft haben. Zu ihnen gehört die Star Finanz, die 1997 gegründet wurde und seit 2010 eine 100%ige Tochter der Finanz Informatik, dem IT-Dienstleister der Sparkassen-Finanzgruppe, ist. Als führender Anbieter multibankenfähiger Online- und Mobile-Banking-Lösungen in Deutschland hat das Unternehmen häufig mit Finanz- und Transaktionsdaten von Endkunden und Unternehmen zu tun.
André Haase
Senior Security Architect – Star Finanz
Die Herausforderung
Um diese sensiblen Kundendaten vor Phishing- und Spear-Phishing-Angriffen zu schützen, hatte die Star Finanz bereits eine IT-Sicherheitsstrategie etabliert. Neben technischen Sicherheitsmaßnahmen, wie Spam- und Phishing-Filter und Firewalls, wurden Security-Awareness-Schulungen für die Mitarbeiter:innen durchgeführt. Diese umfassten monatliche Blogposts und Besprechungen zu akuten Awareness-Themen, an denen alle Firmenbereiche teilnahmen. Jede Schulung schloss mit einer Wissensprüfung ab.
„Doch bald wurde klar, dass die internen Schulungen nicht mehr ausreichten, um unser Unternehmen nachhaltig vor den immer raffinierteren Spear-Phishing-Attacken zu schützen“, berichtet André Haase, Senior Security Architect bei der Star Finanz. „Also beschloss das Sicherheitsmanagement, das Thema in professionelle Hände zu legen.“
Dass die Wahl auf IT-Seal fiel, liegt zum einen an dem Full-Service-Konzept, das der führende Anbieter von Security-Awareness-Trainings verfolgt.
Dazu werden E-Learnings, Videos und Präsenzschulungen mit praxisnahen Spear-Phishing-Simulationen kombiniert.
Die Lösung
Praxisnahe Spear-Phishing-Simulationen
Diese Phishing-Simulationen verwenden echte Unternehmens- und Mitarbeiterinformationen, um authentische Angriffe nachzustellen.
Fällt ein Mitarbeiter auf einen simulierten Angriff herein, landet er direkt auf einer interaktiven Erklärseite. Dort wird ihm gezeigt, welche verdächtigen Merkmale die E-Mail enthält: von Buchstabendrehern in der Adresszeile über Fake-Subdomains bis hin zu zweifelhaften Links.
„Spear-Phishing-Simulationen sind ausgesprochen wirksam, weil sie den ,Most teachable Moment‘ eines Mitarbeiters nutzen, um ihn auf sein Fehlverhalten aufmerksam zu machen“, unterstreicht André Haase. „Genau dann ist dieser Mitarbeiter besonders aufnahmebereit und verinnerlicht das neu Gelernte langfristig.“
Employee Security Index (ESI®) misst Lernerfolg
Überzeugt hat die Star Finanz-Sicherheitsverantwortlichen auch der patentierte Employee Security Index (ESI®) von IT-Seal. Er bietet eine Kennzahl zur Messung des Sicherheitsbewusstseins der Mitarbeiter und ergibt sich daraus, wie diese auf Phishing-Simulationen verschiedener Schwierigkeitsgrade reagieren. Mit dem ESI® ist es der Star Finanz jederzeit möglich, den individuellen Lernfortschritt ihrer Mitarbeiter zu ermitteln und den gezielten Einsatz weiterer Trainingsmaßnahmen abzuleiten.
Da IT-Seal die Daten der Kunden ausschließlich in Deutschland verarbeitet, sind sämtliche Trainingsmaßnahmen mit der EU-DSGVO kompatibel. Dies ist für einen Anbieter im Umfeld der Finanzbranche von zentraler Bedeutung. Darüber hinaus hat die Star Finanz mit der Nutzung der anerkannten Awareness-Maßnahmen von IT-Seal eine wichtige Weiche für die mögliche zukünftige ISO 27001-Zertifizierung gestellt.
Erfolgreicher Kampagnenstart
Im Juni 2021 starteten die ersten Phishing-Simulationen. Dazu erstellte und versandte IT-Seal vollautomatisiert hunderte Angriffe in verschiedenen Schwierigkeitsgraden an die rund 350 Mitarbeiter:innen der Star Finanz. Per Blogposts und Rundmails war die Belegschaft zuvor auf die Phishing-Kampagne vorbereitet worden.
Nach deren Abschluss schaltete IT-Seal im so genannten Security Hub das erste E-Learning frei, um die Lerninhalte zu vertiefen. Dabei handelt es sich um eine Lernplattform, zu der alle Teilnehmer:innen einen eigenen Zugang haben, um die Trainings abrufen und ihre Lernfortschritte einsehen zu können. Für die Sicherheitsverantwortlichen der Star Finanz steht ein eigenes Frontend – der Awareness Manager – zur Verfügung, über das sie die anonymisierten Kampagnen-Ergebnisse abrufen können. Sie werden zudem von IT-Seal mit regelmäßigen Stakeholder- und Quartals-Berichten versorgt. Bis heute wurden mehrere Spear-Phishing-Kampagnen, E-Learnings und Präsenzschulungen durchgeführt. Die jeweilige Stoßrichtung legen die Star Finanz und IT-Seal bei vierteljährlichen Besprechungsterminen fest. Grundlage ist der ESI®, der von IT-Seal für die gesamte Belegschaft und für die einzelnen Bereiche anonymisiert ausgewertet wird.
„Gemeinsam planen wir ständig weitere Optimierungen, um das bereits erreichte hohe Sicherheitsniveau unserer Mitarbeiter zu halten und weiter zu verbessern“, zieht Sicherheitsmanager Haase eine erste Zwischenbilanz. „Bereits heute haben wir uns für eine permanente Laufzeit der Awareness-Trainings entschieden, da nur so eine langfristige und nachhaltige Wirkung auch bei neuen Mitarbeitern erreicht werden kann.“
„Dank des Full-Service-Angebots von IT-Seal konnten wir deutliche Lernfortschritte erzielen, ohne uns um die Steuerung und Umsetzung der Security-Awareness-Trainings kümmern zu müssen. Um eine langfristige und nachhaltige Wirkung zu erreichen, haben wir uns für eine permanente Laufzeit der Kampagnen entschieden.“
André Haase – Senior Security Architect – Star Finanz
Fazit
Mit den Security-Awareness-Trainings von IT-Seal konnte die Star Finanz das Sicherheitsbewusstsein ihrer Mitarbeiter:innen für Spear-Phishing-Risiken deutlich verbessern.
Innovative Methoden und Werkzeuge verbinden sich zu einem Full-Service-Angebot, das auf dem neuesten Stand der Angreifer ist und das interne Sicherheitsmanagement entlastet.
„Ohne uns um die Steuerung und Umsetzung der Trainings kümmern zu müssen, konnten wir deutliche Lernfortschritte erzielen“, betont André Haase – und lobt den familiären und freundschaftlichen Umgang mit IT-Seal: „Wir haben eine großartige Kundenbetreuerin und pflegen einen tollen, oft auch tagesaktuellen Austausch zu allen wichtigen Themen
der Kampagne und zur Planung und Durchführung weiterer Maßnahmen.“
Weitere Informationen
Security-Awareness-Trainings von IT-Seal:
Vorteile auf einen Blick
Hier Klicken
Employee Security Index (ESI®) macht
Sicherheitsbewusstsein messbar
Spear-Phishing-Simulationen nutzen „Most teachable Moment“ von Mitarbeitern
Zusätzliche E-Learnings, Videos und Präsenzschulungen
Kampagnen immer auf neuestem Angreifer-Stand
Full-Service-Angebot entlastet interne Ressourcen
Datensparsame Awareness-Trainings, EU-DSGVO-konform
Anerkannte Security Awareness Maßnahme für ISO 27001
Spear-Phishing-Simulationen nutzen „Most teachable Moment“ von Mitarbeitern
Zusätzliche E-Learnings, Videos und Präsenzschulungen
Kampagnen immer auf neuestem Angreifer-Stand
Full-Service-Angebot entlastet interne Ressourcen
Datensparsame Awareness-Trainings, EU-DSGVO-konform
Anerkannte Security Awareness Maßnahme für ISO 27001
Über
Star Finanz - Software Entwicklung und Vertriebs GmbH
Hier Klicken
Star Finanz - Software Entwicklung und Vertriebs GmbH
Star Finanz, ein Unternehmen der Finanz Informatik, ist führender Anbieter von multibankenfähigen Online- und Mobile-Banking-Lösungen in Deutschland. Seit fünfundzwanzig Jahren prägt das Unternehmen mit Sitz in Hamburg und Hannover mit derzeit über 350 Mitarbeiter:innen das Online-Banking entscheidend mit.
Im Produktgeschäft bietet die Star Finanz mit StarMoney, StarMoney Deluxe und StarMoney Business sowie SFirm passgenaue Banking-Programme für Privat- und Firmenkunden. Im mobilen Bereich entwickelt das Unternehmen u.a. die App Sparkasse sowie weitere Lösungen.
www.starfinanz.de Im Produktgeschäft bietet die Star Finanz mit StarMoney, StarMoney Deluxe und StarMoney Business sowie SFirm passgenaue Banking-Programme für Privat- und Firmenkunden. Im mobilen Bereich entwickelt das Unternehmen u.a. die App Sparkasse sowie weitere Lösungen.
Starten Sie jetzt Ihre Customer Success Story!
Lernen Sie unser Next-Gen Security Awareness Training bei Hornetsecurity unverbindlich kennen. Fordern Sie Ihre persönliche Demo jetzt kostenlos an und erfahren Sie alles über:
- Spear-Phishing-Simulation
- E-Learning-Angebot im Security Hub
- Control Panel
