IB Südwest
Mitarbeiter-Awareness: Phishing-Kampagne, Schulungen und eLearning-Plattform für mehr IT-Sicherheit
Die IB Südwest gGmbH ist eine gemeinnützige Gesellschaft unter dem Dach des Internationalen Bundes e.V. (IB). Dieser ist mit seinem Verein und Gesellschaften einer der großen Anbieter von Jugend-, Sozial- und Bildungsarbeit in Deutschland. Dem ehrenamtlichen Präsidium gehören Vertreter des öffentlichen Lebens, der Parteien sowie aus Wirtschaft, Wissenschaft und Verwaltung an. Gegründet im Jahr 1949, blickt die IB Gruppe auf langjährige Erfahrungen mit Menschen in schwierigen Lebenssituationen zurück. Ob zeitgemäße Aus- und Weiterbildung, Vermittlung beruflicher Qualifikation oder Management sozialer Dienste – es geht darum, mit gesellschaftlichem Engagement soziale Verantwortung zu übernehmen.
In Hessen, Rheinland-Pfalz und dem Saarland bietet die IB Südwest gGmbH ein Netz von Bildungsangeboten, Wohn-, Beratungs- und Betreuungsformen an. Rund 2.700 Mitarbeitende engagieren sich in 170 Städten und Gemeinden. Auftraggeber der IB Südwest gGmbH sind Privatpersonen, Institutionen, Kommunen, Landkreise, Bundesländer, der Landeswohlfahrtsverband in Hessen, die Agentur für Arbeit sowie die Bundesministerien. Das Angebot an modernen Dienstleistungen in der beruflichen Bildung und der sozialen Arbeit stellt den einzelnen Menschen in den Mittelpunkt. Einer der Schwerpunkte wird auf Kinder und Jugendliche, sowie Menschen mit Behinderungen gelegt. Darüber hinaus bestehen Angebote im Bereich der Flüchtlings- und Migrationsarbeit und der Qualifizierung und Vermittlung von Fachkräften.
- Business Unit:
- IT Security
- Aufgabe:
- Mitarbeiter-Awareness schaffen für mehr IT-Sicherheit
- Lösung:
- Awareness-Konzept, Network Box Phishing Kampagne und E-Learning
- Jahr:
- 2022
- Unternehmen IB Südwest2.700 Mitarbeiter
- Standort Darmstadt
- Branche Gemeinnützige Organisation
- Webseite www.ib-suedwest.de
Die Herausforderung
Für einen Großteil der Beschäftigten des IB Südwest liegt ihr Tätigkeitsschwerpunkt in der sozialen Arbeit mit Menschen. Da viele Mitarbeitende des IB Südwest keine täglichen IT-User sind, war es wichtig die Sensibilität der Mitarbeitenden im Hinblick auf alltägliche IT-Gefahren zu erhöhen. Sicherheitsvorfälle und der unbedarfte Umgang mit Phishing-Emails waren der Auslöser für weitere Maßnahmen, um das Bewusstsein im Umgang mit E-Mails zu erhöhen.
Gerade wegen ihrer Sonderstellung als soziale Organisation sind im Unternehmensnetzwerk viele personenbezogene und hochsensible Daten, wie beispielsweise ärztliche Gutachten von Klientinnen und Klienten abgespeichert. IT-Leiter der IB Südwest Martin Treu hierzu: „Es war und ist mir wichtig, dieses Verantwortungsbewusstsein bei den Mitarbeitenden zu schärfen. Weil diese Daten ein sehr hohes Gut sind, welches wir schützen müssen“.
Spielt der Mensch nicht mit, bleibt die Technik wirkungslos
Trotzt einer sechsmonatigen, in 2020 durchgeführten IT-Sicherheitskampagne für die Endanwender blieb die erhoffte Sensibilisierung der Mitarbeitenden aus. Außerdem wurde deutlich, dass bei einer solchen Unternehmensgröße die Kommunikation nach einem bekannten Phishing-Incident eine weitere Hürde darstellt. Denn aus Scham oder Angst vor Konsequenzen teilten Betroffene der IT-Abteilung einen Zwischenfall in vielen Fällen gar nicht mit. Eine Awareness-Lösung für mehr Wissen und Aufmerksamkeit zum Thema IT-Sicherheit der Mitarbeitenden musste her. Durch einen Newsletter-Beitrag der Medialine zum Thema IT-Security kam Herr Treu eine Idee:
„Nach den nur sehr bedingten Erfolgen der vorherigen Kampagne wollte ich individueller mit dem Thema umgehen. Ich stellte mir da unter anderem eine eLearning-Plattform, Schulungsslots und eine Phishing-Kampagne vor. Das Security Awareness-Konzept von Medialine passte da auf Anhieb sehr gut zu meinen Vorstellungen – und konnte zudem betriebsratskonform umgesetzt werden!“
Denn für die Durchführung einer Awareness-Schulung ist die Zustimmung des Betriebsrats erforderlich, da Daten über die Mitarbeitenden erhoben und gespeichert werden. Durch die Vorstellung eines datenschutzkonformen und mitarbeiterfreundlichen Schulungs-Konzepts konnte der Betriebsrat des IB Südwest für die Durchführung des Trainings gewonnen werden.
Die Lösung
Das Ziel der Awareness-Workshops von Medialine ist es, den bis heute größten Risikofaktor einer IT-Security-Strategie, den Nutzer, zu trainieren und Risiken so bestmöglich zu minimieren. Ganz in diesem Sinne arbeiteten die IT-ON.NET als Mitgliedsunternehmen der Medialine Group in engem Kontakt mit IB Südwest IT-Leiter Herr Treu ein mehrstufiges Schulungskonzept bestehend aus persönlich durchgeführten Schulungen, eLearning-Plattform und einer Phishing-Kampagne aus. „Ursprünglich hatten wir in unseren Vorbesprechungen eine andere Reihenfolge angedacht. Aber mit fortschreitender Zeit des Projektes ist uns bewusst geworden, dass es sinnvoller wäre, zunächst einen Schulungsblock durchzuführen und das eLearning-Angebot nutzbar zu machen, bevor wir eine Phishing-Mail versenden. Ein zweiter Schulungsblock folgt dann nach der Phishing-Kampagne. Das hier flexibel auf die Bedürfnisse von uns als Kunden eingegangen wird, rechne ich IT.ON-NET sehr hoch an“, reflektiert Martin Treu über die Inhalte des Projektes.
Da E-Mail-Sicherheit als Thema Vorrang hatte, wurden zunächst 5 Schulungseinheiten a 40 Minuten über Microsoft Teams von einem IT-Experten der Medialine Group durchgeführt. Hier wurden Beispiele für Phishing-Mail-Angriffe (auch SMS) aufgezeigt, über Ziele der Angreifer und über Schutzmaßnahmen und Konsequenzen eines erfolgreichen Angriffes aufgeklärt. Zudem wurde den Teilnehmenden eine Kurzeinweisung in die E-Learning-Plattform von Network Box gegeben, auf welcher Lern-Themen gut in Video-Clips vermittelbar sind. Über die Plattform sind auch Online-Prüfungen und Zertifizierungen möglich. Das eLearning-Modul „IT-Sicherheit Grundlagen“ steht bis zu 250 Teilnehmern zur Verfügung und beinhaltet die Themenbereiche Clean Desk, Passwortmanagement, Sicheres Surfen, Phishing und 2-Faktor-Authentifizierung.
Die Phishing Kampagne stammte nach Absprache mit Martin Treu von einer Mailadresse, die ihn selbst glaubhaft portraitieren sollte. Mit der Einrichtung der Network Box Managed Phishing Kampagne konnte IT.ON-Net die Phishing-Attacken in einem vorher definierten Rahmen simulieren. Die Details zum Nutzerverhalten wurden im Anschluss zwischen dem Geschäftsführer der IT.ON-NET und Herrn Treu für die Auswertung der Kampagnenergebnisse verwendet. Der IT-Leiter von IB Südwest lässt uns an seinen Überlegungen teilhaben: „Ich kann bereits vor der Sichtung des Reporting eines einschätzen: Die Dunkelziffer derjenigen, die auf die Mail geklickt haben und den Vorfall nicht gemeldet haben, wird erschreckend hoch sein. Je nachdem, wie die Auswertungen ausfallen, möchte ich gerne als notwendige Maßnahme erneut das Thema E-Mail-Sicherheit vertiefen statt das neue Themengebiet rund um Passwort-Sicherheit und Social Engineering zu starten“. Martin Treu reflektiert zum Projektablauf außerdem: „Auch hier finde ich es sehr positiv, dass die Medialine Group Raum lässt, dynamisch den Projektablauf anzupassen und individuell auf unsere Wünsche und neue Ideen eingeht“.
Das Ergebnis
Das Awareness-Schulungskonzept für den IB Südwest konnte erfolgreich umgesetzt werden. Vor allem durch die Phishing-Kampagne erfolgte eine nachhaltige Sensibilisierung der Schulungsteilnehmer. Ein zweiter wichtiger Effekt der Kampagne bestand für den IT-Leiter der IB Südwest in der Optimierung der Kommunikationswege nach einem Phishing-Incident. Denn die Mitarbeitenden nutzten die unterschiedlichsten Kanäle. Hierunter fielen Meldungen des Vorfalls an Medialine, an die IT-Abteilung der IB-Gruppe oder an einen regionalen IT-Dienstleister vom IB Südwest. Laut Martin Treu sei dies durchaus positiv zu bewerten, denn:
„Nun weiß ich, wie die Mitarbeitenden reagieren und kann sie nicht nur gemeinsam mit unserer Datenschutzkoordinatorin an die Hand nehmen und ihnen den vorgesehenen Kommunikationsweg zeigen, sondern auch Entwarnung geben, wenn es ums Thema geht: Folgen Konsequenzen für mich, wenn ich auf eine Phishing-Mail klicke? Natürlich nicht! Wichtig ist es nur, dass der Vorfall gemeldet wird, damit wir schnell handeln können.“
Neben einer reibungslosen Kommunikation zwischen Herr Treu und den Medialine-Experten gab es jedoch auch Raum für ein gemeinsames Learning. Das Echo der Mitarbeitenden nach erfolgreicher Kampagne war für den IT-Leiter der IB Südwest intensiv und zahlreich. Für nachfolgende Projekte wurde erkannt, dass die Vorbereitung einer abschließenden Information an die Mitarbeitenden sowie die proaktive Kommunikation eines Ansprechpartners seitens Medialine hilfreich gewesen wären, um den IT-Leiter zu entlasten. Zwar wurden durch den Schulungsleiter der IT.ON-NET alle offenen Fragen der Mitarbeitenden beantwortet, die ihn nach Beendigung des Workshops erreichten – eine eindeutige Regelung und bessere Kanalisierung der Fragen hätte jedoch die Prozesse vereinfacht und Aufwände minimiert.
Ganz nach unserem Anspruch: „Wir sind Trusted Advisor unserer Kunden“ können wir die offene Feedbackkultur und die wertvolle Vertrauensbasis mit unseren Kunden nutzen, um unsere eigenen Prozesse und Lösungen ständig weiter zu optimieren. Martin Treu weiß dies auch für die zukünftige Zusammenarbeit zu schätzen:
„Ich würde mich auch in Zukunft wieder an Medialine wenden. Ich fühle mich bei Medialine immer gut beraten. Egal, welche Themen es sind."