Hallo Dominik. Vielen Dank, dass du dir die Zeit für unser Gespräch nimmst. Wir möchten zu Anfang gerne mehr über deinen Alltag als IT-Sicherheitsverantwortlicher erfahren. Vor welchen Herausforderungen stehst du dabei?
Die größte Herausforderung beim Thema IT Security sind die Mitarbeiter. Insbesondere in den Führungspositionen sind viele der Meinung, nicht so genau darauf achten zu müssen, was sie tun und wie sie es tun. Und dann haben wir Mitarbeiter in der Produktion, die weniger IT-affin sind. Dort fängt es bei Fragen an wie: “Wie richte ich mein Smartphone ein?”, “Wo speichere ich Passwörter?”, “Muss ich mir die überhaupt merken?”. All diese Thematiken stehen bei mir auf der Tagesordnung.
Das klingt nicht einfach. Wie ist das Thema Security Awareness in dem Zusammenhang auf den Tisch gekommen? Und wann?
2019 hat eine andere Firma ihr Awareness Training bei uns vorgestellt. Das Konzept fand ich zu dem Zeitpunkt schon ziemlich interessant; also die Idee, dem Mitarbeiter nahezubringen, worauf er zu achten hat. Das Produkt hat mich allerdings nicht überzeugt. Und das Budget hat es nicht zugelassen. Die Geschäftsführung zweifelte an der Notwenigkeit solcher Schulungen. Mitte 2020 hat es uns dann richtig böse erwischt.
Über Edelrid
Die Edelrid GmbH und Co. KG ist ein weltweit agierender Hersteller für Kletterseile, Bergsport- und Arbeitssicherheitsausrüstung mit Sitz im Allgäu. Aber nicht nur die Sicherheit am Berg ist der Firma wichtig: So schult sie alle Mitarbeitenden auch zur Sicherheit in der digitalen Welt – mit Security Awareness Trainings und Phishing-Simulationen der G DATA academy.
Was genau ist passiert?
Leider ist einer unserer Mitarbeiter auf eine Phishing-Mail hereingefallen, die wie eine Benachrichtigung von MS Teams aussah. Er hat seine Login-Daten eingegeben. Das Ganze ist nur herausgekommen, weil ich per Mail eine Warnung vor genau dieser Spam- und Phishing-Welle an alle geschickt hatte. Daraufhin hat der betreffende Mitarbeiter mir geschrieben. Auch in der Marketing-Abteilung gab es einen Fall. Hier hat sich ein Angreifer als unser CEO ausgegeben und eine 500-Euro-Google-Play-Card verlangt. Weil die angeschriebene Kollegin gerade im Urlaub war, ging die Anfrage noch über den Abteilungsleiter und unseren Finanzverantwortlichen. Erst beim zweiten Versuch haben sie Verdacht geschöpft. Ich habe dann in der ganzen Firma einen Phishing-Test mit G DATA zusammen durchgeführt. Dabei kam heraus: Bis zu 15 Prozent unserer Mitarbeiter haben auf die falschen Links geklickt. Das entspricht bei uns 23 Mitarbeitern.
So ein Fall kann böse Folgen haben. Wie war die Reaktion der Geschäftsführung?
Die Geschäftsleitung und die Abteilungsleiter waren geschockt. Daraufhin habe ich mit ihrer Unterstützung eine verpflichtende Security-Schulung angesetzt. Und es waren wirklich alle anwesend. Selbst die Leute, die im Urlaub waren, wurden gebeten, ihren Urlaub für 30 Minuten zu unterbrechen und dabei zu sein.
Bis zu 15 Prozent unserer Mitarbeiter haben auf die falschen Links geklickt.
Wie hast du daraufhin die Awareness Trainings eingeführt und warum hast du dich für G DATA entschieden?
Wie die Kurse aufbereitet sind, gefällt mir sehr gut. Und ich kenne keine andere Plattform, die Single Sign-On ermöglicht. Zur Erklärung: Seit diesem Vorfall ist die Anordnung für jedes Programm, das angeschafft wird, dass es Single Sign-On können muss. Ob SAML oder OAuth ist völlig egal. Nahezu alle Programme stellen eine Verbindung ins Internet her und ich möchte hier einfach sicher arbeiten.
Verständlich. Kannst du uns etwas zu den Effekten sagen, die deine Schulung und die Awareness Trainings bis jetzt hatten?
Unterm Strich hat es die Firma wesentlich sicherer gemacht. Wir bekommen in der IT-Abteilung viel häufiger E-Mails mit der Bitte, sie zu prüfen. Oder einfach nur die Info: “Du, ich habe hier etwas gefunden für deine Statistik.” Dazu muss man wissen, dass ich eine Statistik darüber pflege, wieviele verdächtige Mails wir bekommen. Das hat mir auch ermöglicht, andere technische Errungenschaften einzuführen, die nicht ganz billig sind, sich aber gelohnt haben. Ich kann mit der Leistung und dem kleinen Aufruhr, den ich ausgelöst habe, sehr gut leben. Ich schlafe ruhiger. Die Mitarbeiter sind sicherer. Sie nutzen diese Informationen, die sie in den Awareness Trainings lernen, nicht nur hier im Unternehmen, sondern auch privat.
Kannst du dir vorstellen, was passiert wäre, wenn du diese Trainings nicht durchgeführt hättest? Wenn du den Phishing-Test nicht gemacht hättest?
Wir wären im schlimmsten Fall nicht mehr da. Entweder durch Bezahlung von 4 Prozent Jahresumsatz an Strafe für einen DSGVO-Verstoß oder weil uns jemand so empfindlich getroffen hätte, dass wir machtlos gewesen wären. Es ist leider so, dass die Angreifer ein kompromittiertes Unternehmen sehr gut kennen und in der Regel um 10 oder 15 Prozent des Jahresumsatzes haben wollen. Das muss man als Unternehmen erstmal aufbringen, wenn man gar nicht mehr auf seine Systeme zugreifen kann.
Dann sind wir froh, dass es nicht soweit gekommen ist. Wenn andere Unternehmen nun genau das auch verhindern möchten: Wie lange dauert denn das Onboarding, wie schnell können sie mit den Awareness Trainings loslegen?
Sobald der Auftrag erteilt ist, ist die Implementierung der Plattform nicht kompliziert. Vor allem, wenn man sich mit Single Sign-On und SAML auskennt. Zehn Minuten, dann ist das Thema erledigt. Wir haben es mit dem Azure AD verbunden und die Anleitung von G DATA war sehr gut. Mein Abteilungsleiter und ich haben noch ein paar E-Mails an die Mitarbeiter geschrieben. Dass wir mit dieser Plattform starten und es eine Betriebsvereinbarung gibt. Darin steht: Wer ins Homeoffice möchte, der muss mindestens fünf dieser Kurse erledigt haben.
Reicht es, die Trainings einmalig durchzuführen oder ratet ihr euren Mitarbeitenden, sie zu wiederholen?
Acht der Kurse waren bis Ende letzten Jahres verpflichtend. Die Anzahl stocke ich Jahr für Jahr auf. Dieses Jahr sind es dann zehn Kurse. Alles andere steht frei zur Verfügung. Wir verbuchen das Ganze unter Arbeitszeit und die Mitarbeiter können sich das frei einteilen. Für neue Mitarbeiter beginnen wir mit den acht Kursen, die am Ende des Jahres erledigt sein müssen. Das kontrolliere ich auch und informiere die Abteilungsleiter darüber, welche Mitarbeiter welchen Stand haben. Ab dem 1. November mache ich die Abteilungsleiter und die betreffenden Personen immer wieder darauf aufmerksam. Solange bis sie fertig sind. Das hat sogar den Geschäftsführer getroffen.
Die Implementierung der Plattform ist nicht kompliziert. Zehn Minuten, dann ist das Thema erledigt.
Du hältst also nach, wer die Trainings noch nicht bearbeitet hat. Gab es diesbezüglich Probleme, beispielsweise mit dem Betriebsrat?
Im Betriebsrat nicht. Es gab Personen, die sich darüber beschwert haben, dass ich sie nerve. Ein Mitarbeiter meinte: “Solange du mir das nicht in meiner Sprache schickst, mache ich gar nichts.” Ich habe mir dann den Spaß rausgenommen und in seiner Sprache – Vorarlbergerisch – geschrieben, um ihn darüber zu informieren, dass er noch ein paar Kurse offen hat. Und dann hat er es gemacht.
Das ist eine gute Strategie – die Leute dort abzuholen, wo sie stehen. Wieviel Zeit ist deiner Erfahrung nach notwendig, um Security Awareness bei den Mitarbeitenden zum Thema zu machen?
Das kommt auf die Kurszusammenstellung an. Unser Pflicht-Lernplan mit den zehn Kursen dauert ungefähr 2,5 Stunden. Das ist eine vertretbare Zeit, oder wie der Geschäftsführer sagt: “Das muss einfach für jeden drin sein.” Der längste Teil, den ich absolviert habe, dauerte 20 Minuten, der kürzeste nur 5 Minuten. Bevor wir die Awareness Trainings von G DATA hatten, habe ich vier Mal im Jahr eine IT-Security-Schulung gehalten – je eine Stunde, mit allen Neuerungen und dem, was aktuell ist. Aufgrund der ganzen Rückfragen sind auch mal zwei Stunden daraus geworden. Am Ende der zwei Stunden war der Mitarbeiter völlig erschöpft und ich war froh, wenn er 20 Prozent des Inhalts behalten konnte. Nach zwei Wochen waren es vielleicht noch 5 Prozent. Mit den Awareness Trainings sieht die Welt ein bisschen anders aus: Das Gelernte bleibt länger sitzen, weil man sich die Kurse freier einteilen und sie wiederholen kann.
Stellst du den Kollegen und Kolleginnen auch noch auf anderen Wegen Infos zum Thema Cybersicherheit zur Verfügung?
Zusätzlich zu den Kursen gebe ich zwei Mal im Jahr eine Aufbauschulung. Die ist in Präsenz oder online via Teams und sehr gut besucht. Beim letzten Mal ging es primär um Fake News. In 14 Tagen habe ich die nächste. Da wird es um Emotionen, Hormone, seine Tagesverfassung und dergleichen gehen. Das spielt eine ganz große Rolle im Bereich der IT Security. Wenn man einen schlechten Tag hat, schlecht geschlafen hat, dann ist man eher geneigt, auf einen dummen Link zu klicken.
Und wie hoch ist dein Zeitaufwand für die Verwaltung der Plattform?
Das sind ca. 15 Minuten in der Woche. Ich gucke alle paar Monate in die Plattform rein – gegen Ende des Jahres häufiger, weil ich die Auswertung ziehe und die Leute dann erinnere.
Eine abschließende Frage Richtung Mitarbeitervertretung: Die Auswertung kann auch personenbezogen erstellt werden. Wie fällt das Feedback dazu aus?
Ich habe als einzige Person Zugriff auf alle Daten. Ich mache die Auswertungen und spreche die Personen direkt an. Der Betriebsrat ist hier komplett außen vor. Er ist darüber informiert, wie ich arbeite, genauso wie der Datenschutzbeauftragte. Damit ist das Thema vom Tisch. Und alle sind glücklich.