RGE sensibilisiert für Cybersicherheit: „Das modulare Trainingskonzept hat uns von Anfang an überzeugt.“

Marcus Hergen: IT-Sicherheit ist in den letzten Jahren zunehmend in den Fokus gerückt – nicht zuletzt aufgrund der täglichen Meldungen über erfolgreiche Cyberangriffe auf Unternehmen und Kommunen. IT-Security endet nicht bei Antivirenlösungen und Firewalls: Unsere Verwaltungsmitarbeitenden – mehr als 130 Personen an unterschiedlichen Standorten –haben direkten Zugang zu unseren digitalen Systemen. Davon machen sich die wenigsten Gedanken über die IT-Sicherheit. Sie wollen, dass die Systeme laufen und sie störungsfrei arbeiten können.

Marcus Hergen: Im Sinne einer ganzheitlichen Absicherung müssen wir auch die Angestellten sensibilisieren. Sie bilden eine große Angriffsfläche und sind für Social Engineering oder Phishing-Mails empfänglich. Daher haben wir schon frühzeitig versucht, das Sicherheitsbewusstsein der Mitarbeitenden zu stärken. In Rundmails wurden sie über aktuelle Phishing-Nachrichten informiert. Darüber hinaus gab es eine jährliche Unterweisung zu Datenschutz und der EU-Datenschutz Grundverordnung. Und auch die Dienstanweisung für alle Angestellten enthält klare Vorgaben zum Datenschutz am Arbeitsplatz.

Marcus Hergen: Leider nein. Diese Maßnahmen griffen einfach zu kurz. Unabhängige Berater haben in Audits darauf verwiesen, dass es an Bewusstsein für Sicherheitsrisiken in der Belegschaft mangele. Es fehle ein systematischer Ansatz zur Sensibilisierung der Mitarbeitenden. Daher haben wir uns entschieden, eine professionelle Lösung für Security Awareness Trainings zu nutzen.

Marcus Hergen: Da wir schon seit längerer Zeit eine Sicherheitslösung von G DATA CyberDefense nutzen und sehr zufrieden mit der Zusammenarbeit sind, haben wir zuerst die Security Awareness Trainings der G DATA academy geprüft. Parallel dazu wurden auch weitere Lösungen einer eingehenden Analyse unterzogen. Aber am Ende haben wir uns für den Einsatz der G DATA academy entschieden. Insbesondere das modulare Trainingskonzept mit dem Drei-Level-System und die Möglichkeit zur Durchführung von realitätsnahen Phishing-Simulationen haben mich von Anfang an überzeugt.

Marcus Hergen: Den Auftakt bildete die Phishing Simulation. Innerhalb von vier Wochen erhielten die Angestellten in der Verwaltung mehrere Trainingsmails in verschiedenen Schwierigkeitsstufen. Nach Abschluss der Simulation bekamen wir eine Auswertung mit einem Management Report. Der Bericht zeigte, dass in der Mitarbeiterschaft einige Personen einen gefälschten Link angeklickt und persönliche Anmeldeinformationen preisgegeben hatten. Auch Anhänge von Mails wurden geöffnet. Was in der Simulation folgenlos blieb, hätte im Ernstfall schwere Konsequenzen gehabt und zu einer Kompromittierung des Netzwerks führen können. Die Ergebnisse waren ein Weckruf und halfen, intern für das Thema zu sensibilisieren und deutlich zu machen, warum Awareness Trainings keine Kür, sondern Pflicht sind. Die Phishing Simulation hat gezeigt, wie leicht wir uns durch menschliche Trigger wie Neugierde oder Druck manipulieren lassen. Und der Tragweite dieses Risikos sind sich viele Personen nicht bewusst.

Marcus Hergen: Seit zwei Jahren nutzen wir die Security Awareness Trainings der G DATA academy. Diese schicken Teilnehmende auf eine Lernreise, um alle in drei didaktisch sinnvoll zusammengestellte Level vom Anfänger zum Master auszubilden – von grundlegendem Know-how zu digitaler Sicherheit bis hin zum Experten-Level. Die Lernpläne sorgen für tiefgreifendes und nachhaltiges Wissen rund um IT-Sicherheit. Alle Lernenden starten im ersten Level mit einem Einführungsprogramm und wesentlichen Grundlagen. In Level zwei bauen sie spezielleres Wissen dazu auf. In der dritten und letzten Stufe geht es um tiefgreifendes Wissen rund um Schadsoftware, Angriffswege und den besten Schutz. Zum Abschluss einer Trainingseinheit steht ein kurzer Test und am Ende jeder Stufe erhalten Lernende ein Zertifikat.

Marcus Hergen: Awareness ist bei uns keine freiwillige Zusatzmaßnahme, sondern fester Bestandteil des Arbeitsalltags und für alle Verwaltungsangestellten verpflichtend. Dabei hilft es uns, die Fortschritte der Mitarbeitenden über ein zentrales Dashboard zu kontrollieren. Die leitenden Angestellten können so die Entwicklung der eigenen Abteilung transparent nachvollziehen und dafür Sorge tragen, dass alle die Trainings absolvieren.

Marcus Hergen: Natürlich gab es auch kritische Stimmen, dass Mitarbeitende dafür keine Zeit haben. Aber auf das Jahr gerechnet ist der Aufwand minimal und der Nutzen dagegen enorm. Die investierte Zeit ist aus meiner Sicht Gold wert. Und: Der Lerneffekt ist spürbar – bei IT-Laien wie IT-Fachleuten.

Marcus Hergen: Der Support gehört mit zum Besten, den ich kenne. Das ist heute nicht mehr selbstverständlich. Das gilt neben der fachlichen Qualität auch für die Zusammenarbeit mit den persönlichen Ansprechpartnern, die bei Rückfragen schnell reagieren. Auf technischer Ebene möchte ich besonders den Awareness Manager hervorheben. Die Plattform erlaubt es mir, Phishing-Kampagnen mit realitätsnahen Templates individuell zu gestalten. So lassen sich die Testnachrichten auf die eingesetzten Tools abstimmen und damit auch alle Zielgruppen im Unternehmen besser ansprechen. Ich finde es super, dass wir die Templates selbst wählen können. So stellen wir sicher, dass die Inhalte wirklich zur unserem Unternehmen passen.

Marcus Hergen: Wir planen langfristig und wollen die Trainings auch weiterhin nutzen. So sind die Schulungen für neue Mitarbeitende verpflichtend. Zusätzlich sind spezifische Lernpfade mit Awareness-Boostern geplant – Stück für Stück, damit das Lernen nachhaltig bleibt. IT-Sicherheit muss gelebt werden. Nicht nur, weil es verlangt wird, sondern weil es uns nachhaltig schützt.

Die RGE Servicegesellschaft Essen mbH ist als hundertprozentige Tochter der Stadt Essen mit mehr als 1.900 Mitarbeitenden in den Bereichen Reinigung, Sicherheit, Gastronomie und Catering tätig.