Bis zu 15 Prozent unserer Mitarbeiter haben auf die falschen Links geklickt.
Dominik Gätje ist IT-Sicherheitsbeauftragter bei der Edelrid GmbH und Co. KG. Im Gespräch erzählt er, vor welchen Herausforderungen er in Bezug auf die Awareness seiner Kolleginnen und Kollegen steht. Außerdem: falsche Geschäftsführer, eine gemeinsame Sprache und was die eigene Tagesverfassung mit IT Security zu tun hat.
Die größte Herausforderung beim Thema IT Security sind die Mitarbeiter. Insbesondere in den Führungspositionen sind viele der Meinung, nicht so genau darauf achten zu müssen, was sie tun und wie sie es tun. Und dann haben wir Mitarbeiter in der Produktion, die weniger IT-affin sind. Dort fängt es bei Fragen an wie: “Wie richte ich mein Smartphone ein?”, “Wo speichere ich Passwörter?”, “Muss ich mir die überhaupt merken?”. All diese Thematiken stehen bei mir auf der Tagesordnung.
2019 hat eine andere Firma ihr Awareness Training bei uns vorgestellt. Das Konzept fand ich zu dem Zeitpunkt schon ziemlich interessant; also die Idee, dem Mitarbeiter nahezubringen, worauf er zu achten hat. Das Produkt hat mich allerdings nicht überzeugt. Und das Budget hat es nicht zugelassen. Die Geschäftsführung zweifelte an der Notwenigkeit solcher Schulungen. Mitte 2020 hat es uns dann richtig böse erwischt.
Die Edelrid GmbH und Co. KG ist ein weltweit agierender Hersteller für Kletterseile, Bergsport- und Arbeitssicherheitsausrüstung mit Sitz im Allgäu. Aber nicht nur die Sicherheit am Berg ist der Firma wichtig: So schult sie alle Mitarbeitenden auch zur Sicherheit in der digitalen Welt – mit Security Awareness Trainings und Phishing-Simulationen der G DATA academy.
Leider ist einer unserer Mitarbeiter auf eine Phishing-Mail hereingefallen, die wie eine Benachrichtigung von MS Teams aussah. Er hat seine Login-Daten eingegeben. Das Ganze ist nur herausgekommen, weil ich per Mail eine Warnung vor genau dieser Spam- und Phishing-Welle an alle geschickt hatte. Daraufhin hat der betreffende Mitarbeiter mir geschrieben. Auch in der Marketing-Abteilung gab es einen Fall. Hier hat sich ein Angreifer als unser CEO ausgegeben und eine 500-Euro-Google-Play-Card verlangt. Weil die angeschriebene Kollegin gerade im Urlaub war, ging die Anfrage noch über den Abteilungsleiter und unseren Finanzverantwortlichen. Erst beim zweiten Versuch haben sie Verdacht geschöpft. Ich habe dann in der ganzen Firma einen Phishing-Test mit G DATA zusammen durchgeführt. Dabei kam heraus: Bis zu 15 Prozent unserer Mitarbeiter haben auf die falschen Links geklickt. Das entspricht bei uns 23 Mitarbeitern.
Die Geschäftsleitung und die Abteilungsleiter waren geschockt. Daraufhin habe ich mit ihrer Unterstützung eine verpflichtende Security-Schulung angesetzt. Und es waren wirklich alle anwesend. Selbst die Leute, die im Urlaub waren, wurden gebeten, ihren Urlaub für 30 Minuten zu unterbrechen und dabei zu sein.
Bis zu 15 Prozent unserer Mitarbeiter haben auf die falschen Links geklickt.
Wie die Kurse aufbereitet sind, gefällt mir sehr gut. Und ich kenne keine andere Plattform, die Single Sign-On ermöglicht. Zur Erklärung: Seit diesem Vorfall ist die Anordnung für jedes Programm, das angeschafft wird, dass es Single Sign-On können muss. Ob SAML oder OAuth ist völlig egal. Nahezu alle Programme stellen eine Verbindung ins Internet her und ich möchte hier einfach sicher arbeiten.
Unterm Strich hat es die Firma wesentlich sicherer gemacht. Wir bekommen in der IT-Abteilung viel häufiger E-Mails mit der Bitte, sie zu prüfen. Oder einfach nur die Info: “Du, ich habe hier etwas gefunden für deine Statistik.” Dazu muss man wissen, dass ich eine Statistik darüber pflege, wieviele verdächtige Mails wir bekommen. Das hat mir auch ermöglicht, andere technische Errungenschaften einzuführen, die nicht ganz billig sind, sich aber gelohnt haben. Ich kann mit der Leistung und dem kleinen Aufruhr, den ich ausgelöst habe, sehr gut leben. Ich schlafe ruhiger. Die Mitarbeiter sind sicherer. Sie nutzen diese Informationen, die sie in den Awareness Trainings lernen, nicht nur hier im Unternehmen, sondern auch privat.
Wir wären im schlimmsten Fall nicht mehr da. Entweder durch Bezahlung von 4 Prozent Jahresumsatz an Strafe für einen DSGVO-Verstoß oder weil uns jemand so empfindlich getroffen hätte, dass wir machtlos gewesen wären. Es ist leider so, dass die Angreifer ein kompromittiertes Unternehmen sehr gut kennen und in der Regel um 10 oder 15 Prozent des Jahresumsatzes haben wollen. Das muss man als Unternehmen erstmal aufbringen, wenn man gar nicht mehr auf seine Systeme zugreifen kann.
Sobald der Auftrag erteilt ist, ist die Implementierung der Plattform nicht kompliziert. Vor allem, wenn man sich mit Single Sign-On und SAML auskennt. Zehn Minuten, dann ist das Thema erledigt. Wir haben es mit dem Azure AD verbunden und die Anleitung von G DATA war sehr gut. Mein Abteilungsleiter und ich haben noch ein paar E-Mails an die Mitarbeiter geschrieben. Dass wir mit dieser Plattform starten und es eine Betriebsvereinbarung gibt. Darin steht: Wer ins Homeoffice möchte, der muss mindestens fünf dieser Kurse erledigt haben.
Acht der Kurse waren bis Ende letzten Jahres verpflichtend. Die Anzahl stocke ich Jahr für Jahr auf. Dieses Jahr sind es dann zehn Kurse. Alles andere steht frei zur Verfügung. Wir verbuchen das Ganze unter Arbeitszeit und die Mitarbeiter können sich das frei einteilen. Für neue Mitarbeiter beginnen wir mit den acht Kursen, die am Ende des Jahres erledigt sein müssen. Das kontrolliere ich auch und informiere die Abteilungsleiter darüber, welche Mitarbeiter welchen Stand haben. Ab dem 1. November mache ich die Abteilungsleiter und die betreffenden Personen immer wieder darauf aufmerksam. Solange bis sie fertig sind. Das hat sogar den Geschäftsführer getroffen.
Die Implementierung der Plattform ist nicht kompliziert. Zehn Minuten, dann ist das Thema erledigt.
Im Betriebsrat nicht. Es gab Personen, die sich darüber beschwert haben, dass ich sie nerve. Ein Mitarbeiter meinte: “Solange du mir das nicht in meiner Sprache schickst, mache ich gar nichts.” Ich habe mir dann den Spaß rausgenommen und in seiner Sprache – Vorarlbergerisch – geschrieben, um ihn darüber zu informieren, dass er noch ein paar Kurse offen hat. Und dann hat er es gemacht.
Das kommt auf die Kurszusammenstellung an. Unser Pflicht-Lernplan mit den zehn Kursen dauert ungefähr 2,5 Stunden. Das ist eine vertretbare Zeit, oder wie der Geschäftsführer sagt: “Das muss einfach für jeden drin sein.” Der längste Teil, den ich absolviert habe, dauerte 20 Minuten, der kürzeste nur 5 Minuten. Bevor wir die Awareness Trainings von G DATA hatten, habe ich vier Mal im Jahr eine IT-Security-Schulung gehalten – je eine Stunde, mit allen Neuerungen und dem, was aktuell ist. Aufgrund der ganzen Rückfragen sind auch mal zwei Stunden daraus geworden. Am Ende der zwei Stunden war der Mitarbeiter völlig erschöpft und ich war froh, wenn er 20 Prozent des Inhalts behalten konnte. Nach zwei Wochen waren es vielleicht noch 5 Prozent. Mit den Awareness Trainings sieht die Welt ein bisschen anders aus: Das Gelernte bleibt länger sitzen, weil man sich die Kurse freier einteilen und sie wiederholen kann.
Zusätzlich zu den Kursen gebe ich zwei Mal im Jahr eine Aufbauschulung. Die ist in Präsenz oder online via Teams und sehr gut besucht. Beim letzten Mal ging es primär um Fake News. In 14 Tagen habe ich die nächste. Da wird es um Emotionen, Hormone, seine Tagesverfassung und dergleichen gehen. Das spielt eine ganz große Rolle im Bereich der IT Security. Wenn man einen schlechten Tag hat, schlecht geschlafen hat, dann ist man eher geneigt, auf einen dummen Link zu klicken.
Das sind ca. 15 Minuten in der Woche. Ich gucke alle paar Monate in die Plattform rein – gegen Ende des Jahres häufiger, weil ich die Auswertung ziehe und die Leute dann erinnere.
Ich habe als einzige Person Zugriff auf alle Daten. Ich mache die Auswertungen und spreche die Personen direkt an. Der Betriebsrat ist hier komplett außen vor. Er ist darüber informiert, wie ich arbeite, genauso wie der Datenschutzbeauftragte. Damit ist das Thema vom Tisch. Und alle sind glücklich.