Security Awareness Training als Full Managed Service zur Stärkung der Unternehmenssicherheit
Unser europaweit tätiger Kunde mit mehr als 250 Mitarbeitern im Dienstleistungssektor ist ein typisches Ziel von Phishing- und Social-Engineering-Angriffen. Im Rahmen seiner IT-Prozesse werden sensible Daten von internationalen Kunden im Unternehmen verarbeitet. Aus diesem Grund ist die vollständige Integrität der Daten sowie die Sicherheit seiner IT-Systeme unerlässlich.
Der Kunde hat in den vergangenen Jahren bereits zahlreiche technische Maßnahmen ergriffen, um die IT-Sicherheit zu erhöhen und Phishing-Angriffe abzuwehren. Um das Sicherheitsbewusstsein der Mitarbeiter kontinuierlich zu steigern und ein wirksames Verfahren im Umgang mit verdächtigen E-Mails zu schaffen, hat sich das Unternehmen für unseren Security Awareness Managed Service entschieden.
- Stärkung des Sicherheitsbewusstseins bei den Mitarbeiterinnen und Mitarbeitern
- Verankerung einer Sicherheitskultur im Unternehmen
- Erprobtes Schulungskonzept mit Inhalten in mehreren Sprachen
- Regelmäßige und praktische Angriffssimulationen
- Aussagekräftige Evaluierungen, um die tatsächliche Wirkung der Maßnahmen erkennen zu können
- Implementierung eines Reaktionsverfahrens für verdächtige E-Mails
- Hohe Trainingsbeteiligung
- Erfolgreiche Nutzerakzeptanz
- Steigerung der Cybersicherheitskenntnisse
- Senkung der Phishing-Anfälligkeit
- Etablierung der Sicherheitskultur
Die Herausforderung
Trotz der Bereitstellung einer sicheren E-Mail-Infrastruktur für vertrauenswürdige Kommunikation, bleibt das Problem von Phishing-E-Mails bestehen. Die Angreifer entwickeln stetig neuartige Angriffsmöglichkeiten, um die technischen Barrieren zu umgehen. Schließlich bleibt der Mensch als letzte Instanz in der Abwehrkette als sogenannte Human Firewall erhalten.
Die primären Ziele bei der Einführung von Security Awareness Trainings sind:
- Aufbau eines Sicherheitsbewusstseins bei den Mitarbeiterinnen und Mitarbeiter: Nur umfassend und stetig ausgebildete Mitarbeiter sind sensibilisiert für die Gefahren und können gezielte Angriffe erkennen.
- Schaffung einer starken Sicherheitskultur im Unternehmen: Die Meldung von Sicherheitsvorfällen ist ein essenzieller Baustein zum Schutz des Unternehmensnetzwerks.
Viele Unternehmen, darunter auch unser Kunde, stehen zusätzlich vor den folgenden Herausforderungen:
- Notwendige personelle Ressourcen stehen nicht zur Verfügung.
- Analyse der Sicherheitsmeldungen erfordert zusätzlich geschultes Personal.
- Fehlende Akzeptanz der Mitarbeiterinnen und Mitarbeiter durch zu lange und wenig attraktive Schulungsinhalte.
Unsere Lösung
Der Baseline-Phishing-Test ist eine unangekündigte und simulierte Phishing-Nachricht, die an alle Mitarbeiterinnen und Mitarbeiter versendet wird. Mithilfe dessen kann der aktuelle prozentuale Anteil der Phishing-Anfälligkeit ermittelt werden.
Die Mitarbeiterinnen und Mitarbeiter werden über das Security Awareness Programm informiert. Die Ankündigung erläutert kurz, worum es sich bei Phishing-E-Mails handelt, gibt einen grundlegenden Überblick über den Ablauf und teilt die Ergebnisse des Baseline-Phishing-Tests. Zusätzlich müssen die Benutzer ein Security Awareness Kompetenz Assessment durchführen, um die bestehenden Fähigkeiten und Kenntnisse zu bewerten.
Mit dem Phishing-Alarm-Button im E-Mail-Client können die Benutzerinnen und Benutzer verdächtige oder potenziell gefährliche E-Mails an uns zur Prüfung weiterleiten. Angriffe können so priorisierter behandelt und es kann schneller auf tatsächliche Gefahren reagiert werden.
Auf Basis der Bestandsanalyse wird eine grundlegende Trainingskampagne durchgeführt.
Um das Sicherheitsbewusstsein stets präsent zu halten, werden regelmäßig Angriffssimulationen mit realistischen Szenarien durchgeführt. Durch den definierten Meldeweg erhalten die Mitarbeiterinnen und Mitarbeiter ein schnelles Feedback und die Hemmschwelle zum Melden verdächtiger Nachrichten wird gesenkt.
Neben den Schulungskampagnen werden zusätzlich kurze Trainingsvideos geteilt, die wichtige Inhalte humorvoll und unterhaltsam vermitteln. Mitarbeiterinnen und Mitarbeiter erhalten Auszeichnungen, wenn sie bestimmte Schulungsziele erreicht haben und besonders engagiert sind. Durch die Integration von Gamification-Elementen wird das Security Awareness Programm attraktiver und motivierender gestaltet.
Das Ergebnis
Nach einem Jahr Security Awareness Training im Einsatz konnten folgende Ergebnisse erreicht werden:
- Sicherheitsbewusstsein
- Hohe Trainingsbeteiligung -> über 95 % der Benutzer schließen die jeweiligen Trainingskampagnen erfolgreich ab.
- Erfolgreiche Nutzerakzeptanz -> Umfrageergebnisse zu den einzelnen Trainingsmodulen zeigen eine sehr gute Bewertung (durchschnittlich 4 von 5 Sternen).
- Steigerung der Cybersicherheitskenntnisse – das Niveau stieg auf 90 %.
- Senkung der Phishing-Fehlerquote von 50 %.
- Sicherheitskultur
Durch die Einführung von Maßnahmen zur Erkennung, Vermeidung und Meldung von Phishing-Angriffen konnte die Hemmschwelle der Mitarbeiter gesenkt werden. Im erwähnten Zeitraum meldeten die Nutzer über 900 Nachrichten. Weitere Maßnahmen zur Verbesserung der Sicherheitskultur werden nun im laufenden Vorgehen konsequent umgesetzt.
Security Awareness als Full Managed Service
Security Awareness Training ist eine wichtige Maßnahme, um Mitarbeiterinnen und Mitarbeiter für die Risiken und Bedrohungen im digitalen Zeitalter zu sensibilisieren. Wir sind ein erfahrener Anbieter von Security Awareness Training, der Ihnen einen Full Managed Service bietet. Das bedeutet, dass wir uns um alles kümmern: von der Planung über die Durchführung bis zur Auswertung der Schulungen. Sie sparen dadurch interne Ressourcen und Zeit und profitieren von unserem Best Practices Ansatz, der auf langjähriger Praxiserfahrung beruht. Wir passen unsere Schulungen individuell an Ihre Bedürfnisse und Ziele an und begleiten Sie als verlässlicher Partner bei jedem Schritt. Mit unserem professionellen Security Awareness Training erhöhen Sie das Sicherheitsniveau in Ihrem Unternehmen und fördern eine positive Sicherheitskultur.
