Phishing-Simulation aus der Box

Das Cyber-Defence-Konzept von Victorinox baute auf zwei Teilbereichen auf: Erstens die «Phishing-Simulation», für die terreActive mehrere Vorlagen von der Lucy-Security-Plattform auswählte. Es folgten ein Review durch Victorinox und ein Test mit bestimmten Szenarios. Anschliessend startete terreActive die erste Simulation in einem globalen Roll-out: Dabei wurden fingierte E-Mails in acht Sprachen rund um die Welt verschickt. Dieses Szenario zielte darauf ab herauszufinden, wie gut die Benutzer bereits Gefahren wie gefährliche E-Mail-Anhänge oder gefälschte URLs erkennen konnten. Im Laufe des Projektes wurde der Versand mit neuen E-Mail-Vorlagen und erhöhtem Schwierigkeitsgrad wiederholt, sodass Mitarbeitende mehrmals auf die Probe gestellt wurden und die Erfolgsentwicklung beobachtet werden konnte.

Die Spezialisten von terreActive empfahlen grundsätzlich, Social-Engineering-Kampagnen als wiederkehrenden Prozess zu etablieren, um das Security-Bewusstsein und die -Maturität kontinuierlich zu erhöhen.

Der zweite Teil des Konzepts umfasste «Awareness-Schulungen», die ebenfalls global ausgerollt wurden. terreActive schlug Victorinox hierfür einige Trainingseinheiten vor, die Lucy Security als E-Learning für Firmen anbietet. Auf der Plattform kann der Kunde interaktive Online- und Offline-Schulungen in 30 Sprachen auswählen, darunter Aufklärungsmails, Lernfilme, Websitevorlagen usw. Durch die Schulungen wurden die Mitarbeitenden aktiv mit einbezogen und mit Gefahren vertraut gemacht. Zudem erfuhren sie, wie sie auf Phishing-Attacken reagieren sollen.

Die kleinen Testeinheiten am Ende der Lektionen zeigten sowohl den Mitarbeitenden als auch dem Head of Information Security, wie sich das Sicherheitsbewusstsein entwickelte. Hausers Resümee: Während des rund einjährigen Projektes konnte die IT-Sicherheitskultur bei Victorinox kontinuierlich optimiert werden.

Wie der Security-Verantwortliche zugibt, waren während des Projekts und auch im Nachgang noch einige Hürden zu nehmen. «Den zeitlichen Aufwand für die Übersetzung in acht Sprachen und das Testing der Kampagnen haben wir zunächst unterschätzt», sagt er. Auch die Auswertung der Kampagnen nach Abteilungen und Ländern seien anspruchsvoll und zeitintensiv gewesen, wobei terreActive sein Team mit zusätzlicher Manpower unterstützt habe.

Aber auch der Cyber-Security-Dienstleister gibt zu, dass für ihn die Internationalität des Projekts eine besondere Herausforderung gewesen sei. Global tätige Unternehmen entschieden sich oftmals dafür, Sicherheitsprojekte nur in Englisch und mit nur einem Szenario für alle Länder auszurollen. Wie terreActive-CEO Urs Rufer weiss, «ist die Aufmerksamkeit der Mitarbeitenden bei Trainingskampagnen in fremden Sprachen oft geringer». Victorinox entschied sich hingegen, auf die lokalen Gegebenheiten Rücksicht zu nehmen. So werde die Cyber Security gestärkt, ein langfristiger Schutz aufgebaut und auch die Mitarbeitenden motiviert, lobt Rufer.

Victorinox ist nach den Kampagnen und Trainings aber noch nicht am Ziel. Anfang Jahr ist noch eine automatisierte Lösung für die Phishing-Kampagnen etabliert worden. Hausers Ziel war, die internen Personalressourcen nicht zu stark zu strapazieren. Um die Arbeitslast auch der Angestellten nicht übermässig zu erhöhen, empfiehlt er, eher auf Micro-Trainings mit einer Dauer von einer Minute oder kürzer zu setzen. Denn solche Szenarien seien auch im Alltag eher realistisch.