Ein Security-Awareness-Training, das Bringme NIS 2-konform macht

 Trotz früherer Erfahrungen mit Phishing-Tests gab es Verbesserungspotenzial

Sil Goeman, IT-Manager beim Scale-up Bringme, hat selbst nie eine Cyberattacke erleben müssen, aber vor sechs Jahren wurde das Unternehmen gleich zweimal Opfer von Ransomware. Hacker drangen über eine einfache E-Mail an einen Mitarbeitenden ein und begannen, den File-Server zu verschlüsseln. Zum Glück konnte dank einer soliden Backup-Strategie der Großteil des Schadens rückgängig gemacht werden.

Seit Goeman vor vier Jahren anfing, liegt der Fokus im Unternehmen deutlich stärker auf Phishing-Prävention und Sicherheitsbewusstsein. „Neben dem Umstieg von lokalem Mail-Hosting haben wir verstärkt auf Mail-Filterung und manuelle Phishing-Simulationen gesetzt“, erklärt Goeman. „Zum Glück wächst im Unternehmen das Bewusstsein, dass sowohl technische Schutzmaßnahmen als auch Schulungen notwendig sind, um Kriminelle fernzuhalten.“ 

Bevor Bringme Phished nutzte, wurden Phishing-Simulationen mit Open-Source-Software durchgeführt. Goeman: „Mit Tools, die man kostenlos auf Plattformen wie GitHub findet, kann man problemlos selbst Simulationen erstellen. Allerdings benötigt man pro Simulation drei bis vier Stunden, um alles korrekt einzurichten. Danach muss man noch die Ergebnisse analysieren, die Konsequenzen bereinigen und die Mitarbeitenden schulen, die in die Falle getappt sind.“

„Deshalb war die Durchführung von Phishing-Simulationen selten meine Priorität“, fügt Goeman hinzu. „Es gab immer andere, dringendere Aufgaben, die meine Aufmerksamkeit erforderten. Am Ende haben wir etwa einmal im Monat oder alle zwei Monate eine Simulation durchgeführt.“

Trotz der regelmäßigen Simulationen gelang es Phished dennoch, 25 % der Mitarbeitenden zu phishen. „Die Simulationen von Phished waren auf einem höheren Niveau als das, was wir selbst gemacht hatten“, räumt Goeman ein. „Ich bin selbst einmal darauf hereingefallen. Aber das ist gut so: Wir haben uns bewusst dafür entschieden, es so schwer wie möglich zu machen – mit Phishing-Mails am Wochenende und außerhalb der Arbeitszeiten, mit sensiblen Inhalten (wie Kündigungsbenachrichtigungen, Anm. d. Red.)... Schließlich machen es die Kriminellen auch nicht einfacher.“

Seit Beginn der Phished-Simulationen hat Bringme klare Fortschritte gemacht. In den jüngsten Simulationen lag die Phishing-Rate durchschnittlich nur noch bei 5 %. „Abgesehen von ein paar hartnäckigen Mitarbeitenden machen wir tatsächlich Fortschritte“, sagt Goeman. „Zum Glück gibt es jetzt die Phished Academy für diejenigen, die noch zusätzliche Unterstützung brauchen: Das spart Zeit und Arbeit, und die Kolleginnen und Kollegen erhalten eine Schulung, die genau auf ihr individuelles Niveau zugeschnitten ist. Darüber hinaus hilft uns die Academy, unsere ISO-Zertifizierung zu erreichen.“ 

„Bei den ersten Simulationen – vor allem bei sensiblen Inhalten – gab es anfangs einige negative Reaktionen von Mitarbeitenden. Diese sind jedoch schnell verschwunden. Die Mitarbeitenden haben den Nutzen erkannt und nehmen ihre Ausbildung seither ernst.“

Für Bringme liegt der größte Vorteil bei Phished klar in der Automatisierung. Nach negativen Erfahrungen mit Ransomware hatte das Unternehmen bereits erste Erfahrungen mit Phishing-Simulationen und Mitarbeiterschulungen gesammelt. Trotzdem fiel ein großer Teil der Organisation bei der Basislinienmessung schwierigeren Simulationen zum Opfer.

Automatische Simulationen, die auf das individuelle Niveau der Empfänger abgestimmt sind, kombiniert mit umfassenden Reporting- und Analysetools, ermöglichen es dem Unternehmen, sich auf Aufgaben zu konzentrieren, die mehr manuelle Arbeit erfordern – in dem Wissen, dass die Mitarbeitenden dennoch ausreichend Aufmerksamkeit und Schulung zu den Themen Cybersicherheit und Phishing erhalten.