Fostplus verzeichnete nur wenige Monate nach dem Start einen deutlichen Rückgang von Phishing-Klicks

„Wir bei Fost Plus waren uns schon immer sehr bewusst über die möglichen Gefahren im Internet“, erklärt Jeroen Van de Sande, IT-Manager bei Fost Plus. „Wir haben bereits einiges an Zeit und Energie in Cyber-Awareness für unsere Mitarbeiter investiert, allerdings nie in Form von strukturierten Kampagnen oder Trainings. Unsere Bemühungen hatten kaum spürbare Wirkung: Wir stellten fest, dass Mitarbeiter weiterhin geneigt waren, auf gefährliche Links in E-Mails zu klicken oder sensible Daten einzugeben.

„Zum Glück hatten wir bisher nie mit einem Cybervorfall zu tun“, so Van de Sande weiter. „Doch wir gehen potenzielle Risiken lieber proaktiv an, anstatt zu warten, bis es wirklich zu einem Vorfall kommt. Mit der Corona-Krise stieg das Volumen an Phishing-Mails deutlich an. Es war höchste Zeit zu handeln.“

Phishing stellte sich bei Fost Plus als schwer einschätzbares Problem heraus. Die Netzwerkadministratoren waren sich zwar der steigenden Zahl an Angriffen bewusst, doch die Ergebnisse eines von Phished durchgeführten Phishing-Tests überraschten: 49 % aller Mitarbeiter, die die E-Mail öffneten, fielen auf die Simulation herein. Für Fost Plus ein unerwartetes Ergebnis – in der Realität jedoch ein typischer Wert für gezielte Nullmessungen von Phished.

„Wir waren tatsächlich erschrocken über das Ergebnis, auch wenn es im Rahmen anderer Kampagnen bei Phished liegt“, sagt Van de Sande. „Die Kampagnen sind so geschickt konzipiert, dass möglichst viele Personen klicken. Das hat uns deutlich gemacht, dass eine solche Schulung innerhalb unserer Organisation sinnvoll ist.“

Bei der letzten groß angelegten Phishing-Testkampagne war die Klickrate bereits auf 11 % gesunken – ein aus Sicht von Van de Sande akzeptabler Rückgang: „Dass wir nach sechs Monaten einen so deutlichen Rückgang sehen, stimmt uns sehr zufrieden – die Schulung zeigt klar Wirkung. Unsere Mitarbeiter sind sich nun viel bewusster möglicher Cyberrisiken.“

Dass dennoch 11 % der Mitarbeiter auch nach sechs Monaten noch auf Phishing-Links klicken, hat einen Grund: Fost Plus verfolgt bewusst einen direkten Ansatz, bei dem die schwierigsten Simulationen eingesetzt werden – schließlich kennen auch Hacker keine Nachsicht.

„Außerdem haben wir unsere Mitarbeiter vor dem ersten Test nicht gewarnt. Wir wollten bewusst auf den Überraschungseffekt setzen“, erklärt Van de Sande. „Dementsprechend erhielten wir viele Reaktionen. Einige Tage später informierten wir per E-Mail über die Zusammenarbeit mit Phished, aber ansonsten schenken wir dem Thema nicht zu viel Aufmerksamkeit. Wir wollen, dass auch die nächste Simulation ein wenig überraschend kommt, um die Reaktionen so authentisch wie möglich zu messen.“

Auch wenn Fost Plus bisher nie Opfer eines Datenlecks wurde, war das Cyberbewusstsein vieler Mitarbeiter noch nicht ausreichend entwickelt. Durch regelmäßige, automatisierte Simulationen konnte die Anfälligkeit für Phishing deutlich reduziert werden. Praktisch alle in der Organisation waren schnell vom Nutzen der Trainingsplattform überzeugt.

Das Thema Cyberbewusstsein ist heute bei Fost Plus wesentlich präsenter – was zu besseren Reaktionen führt, wenn Mitarbeiter mit Phishing oder anderen Bedrohungen konfrontiert werden, und zu einer verstärkten Nutzung der internen Spam-Schaltfläche. All dies trägt zu einem effizienteren Arbeitsablauf im IT-Servicedesk bei.