Für mehr Bewusstsein, Bewusstsein, Bewusstsein

Dieser Beitrag wurde unter Allgemein, News abgelegt am von .


Cybersecurity-Kampagnen bei Würth Elektronik

Von Joachim Süpple, Head of IT der Würth Elektronik eiSos Gruppe

Viele sehen in Cybersecurity eine technische Aufgabe: IT-Systeme härten, Schwachstellen schließen, Angriffe erkennen und abwehren. Doch in der Kette der Sicherheitsmaßnahmen gibt es ein weiteres wichtiges Glied: Den Menschen. Und Menschen machen Fehler. Ein falscher Klick und der Angreifer hat Zugang zum Unternehmensnetz. Joachim Süpple, Head of IT der Würth Elektronik eiSos Gruppe, erläutert, wie sein Unternehmen bei Mitarbeitern und Mitarbeiterinnen Awareness für Cyberbedrohungen schafft.

Herr Süpple, Ihr Unternehmen hat eine differenzierte IT-Security-Strategie – fehlt den Mitarbeitern dafür das Bewusstsein?
IT-Lösungen, Hard- und Software, die uns vor Cyberangriffen schützen sollen, werden von unseren internen und externen Spezialisten nach bestem Wissen und Gewissen mit größter Sorgfalt eingerichtet. Angewandt werden die IT-Systeme jedoch von Kolleginnen und Kollegen überall in der Unternehmensorganisation. Folglich hängt die Sicherheit maßgeblich von jedem einzelnen Anwender ab. Wer seine IT-Security verbessern will, muss insbesondere für die Abwehr von Social-Engineering-Attacken immer an die ganze Systemkette denken – einschließlich der Schnittstellen zu allen Geschäftspartnern. Ein Schwachpunkt in dieser Kette reicht Angreifern bereits. Im täglichen „Kampf“ gegen die Angreifer brauchen wir die aktive Mithilfe aller Anwender. Als Verantwortliche dürfen wir das Thema IT-Security nicht in den IT-Teams abladen, sondern müssen alle Anwender aktiv einbinden und informieren. Awareness ist bei Würth Elektronik zentraler Bestandteil der IT-Security-Strategie.

Cybersicherheit hat ja wenig mit den Aufgaben der meisten Mitarbeiter zu tun. Wie kann es gelingen, das Bewusstsein für diese Themen zu wecken?
Das Gefahrenbewusstsein ist ein Schlüsselfaktor im Bereich der Cybersicherheit. Um Cybersecurity ins Bewusstsein zu bringen und dort zu halten, braucht es einen kontinuierlichen Prozess. Unsere diesjährige Kampagne „#weprotect“ zeigt das sehr gut. Wir haben zunächst definiert, welche Themenfelder wir aktuell und ganz konkret angehen wollen. Dieses Jahr machen wir plakativ und provokant auf vier Themen aufmerksam – und liefern dann fundierte Informationen und Anleitungen. Die Themen sind „Auf unternehmensfremde Personen achten“, „E-Mail-Sicherheit“, „Schutz von Unternehmensdaten“ und „Datenschutz/Schutz des eigenen Rechners“. Diese wurden dann jeweils zwei Monate lang intensiv mit Newslettern, Plakaten und Aufklebern immer wieder ins Bewusstsein gebracht. Aber ich warne: Diese Maßnahmen zu kopieren, wird nicht reichen. Awareness braucht individuell auf das Unternehmen und Mitarbeiter abgestimmte Strategien, kontinuierliche Maßnahmen, kritische Erfolgskontrolle und auch viel Engagement und beispielhaftes Vorleben bei Verantwortlichen und Managern.

Auf Fremde im Unternehmen zu achten, klingt nicht nach Cybersicherheit.
Könnte man meinen, aber für uns ist es ebenfalls ein Bestandteil der IT-Security-Strategie. Wenn jemand in öffentlich zugänglichen Bereichen eines Unternehmens – also etwa Kantine, Eingangsbereich, Parkplatz etc. – Dinge belauscht, kann ihm dies für einen Social-Engineering-Angriff mit einer Phishing-Mail die entscheidenden Informationen geben. Wir haben genau dieses Szenario bei der Auftaktveranstaltung spielerisch verdeutlicht, indem IT-Mitarbeiter, erkennbar an schwarzen Hüten, versuchten, möglichst viele Gespräche zu belauschen. Mitarbeitern und Mitarbeiterinnen sollte klar werden: Cybergefahren können auch analoge Einfallstore haben. Ein anderes Beispiel: Die Kampagne „Für Sie ist es Müll – für andere pures Gold“. Hier fordern wir zum sensiblen Umgang mit digitalen Datenträgern und Dokumenten auf – Papierlisten, USB-Sticks, Smartphones und vieles mehr. Sie alle können wertvolle Unternehmensdaten enthalten. Wer über Social Engineering unsere IT angreifen will, erhält so wertvolle Informationen zu Angriffspunkten.

Wie kommen Sie von diesem Bewusstmachen zu einem sachgemäßen Verhalten der Mitarbeiter? Informationen allein ändern Verhalten doch selten.
Das stimmt. Deshalb sind wir bereits am ersten Aktionstag ans Eingemachte gegangen. Da gab es Live-Hacking-Vorführungen und ein faszinierendes Interview mit einem Auftragshacker. Das Ausnutzen von Sicherheitsschwachstellen live zu erleben, beeindruckt und sensibilisiert Zuschauer nicht nur auf der rationalen Ebene. Die Vorführungen wurden gefilmt, um auch nicht anwesenden Kollegen und Kolleginnen Gelegenheit zum Gruseln zu geben. Viele im Team werden selbst zu Multiplikatoren, indem sie anderen das Video zeigen. Die Mitarbeiter müssen erleben, wie konkret die Gefahren sind und wie rasend schnell man als Einzelner und als Unternehmen zum Opfer wird. Dann folgten im Nachgang die Trainingseinheiten beispielsweise eine Präsenzschulung zum Social Engineering. Unser Ziel: Wir wollen ein Eigeninteresse, ja ein Grundbedürfnis an Datensicherheit wecken.

Wie bewerten Sie die Nachhaltigkeit des Awareness-Trainings?
Wir wollen dauerhaft Verhalten ändern, daher braucht es regelmäßige Auffrischung und Erfolgskontrolle. Um immer wieder an die Themen der Kampagne zu erinnern, haben wir vier Videos mit bekannten Kollegen als Darstellern gedreht. Und natürlich wird es weitere Aktionen und Trainings geben. Awareness-Training ist zentraler Teil unserer IT-Prozess-Optimierung und deshalb kontrollieren wir auch den Erfolg. Zunächst über die Auswertung von Teilnehmerzahlen und Klicks auf die Posts im Intranet. Zudem gibt es regelmäßige Phishing-Tests. Je geringer die Klickraten dann sind, desto erfolgreicher waren unsere Kampagnen. Aber wir wissen, dass unsere Arbeit im Bereich Awareness immer weitergehen muss, um es Angreifern so schwer wie irgend möglich zu machen. Cybersicherheit ist ein bewegliches Ziel – neue IT-Systeme werden eingeführt, Techniken und Strategien der Angreifer ändern sich, es kommen neue Standorte und Mitarbeiter hinzu. Wer sich hier auf seinen Lorbeeren ausruht, hat bereits verloren.

Joachim Süpple, Head of IT der Würth Elektronik eiSos GruppeJahr