teissTalk: Wie effektiv ist Ihr Security-Awareness-Programm?

Christine Deger: „Marcus, dich werden sicherlich viele CISOs beneiden, dass Du Awareness ausschließlich als Arbeitsgebiet hast. Kannst Du uns erzählen, welche Aufgaben Du hast?“

 

Marcus Beyer: „Ich bin klassisch aufgehängt an die Group Security im Team Security Architecture and Enablement. Tatsächlich ist meine Rolle, die gesamte Swisscom mit all ihren Mitarbeitenden, so divers, wie wir sind, mit dem Thema Security Awareness zu bespielen, also zu sensibilisieren, aber auch zu trainieren. Das ist mehr als nur ein paar bunte Bildchen, ein paar Powerpoints und Phishing-Tests. Weiterhin verantworte ich das Thema Skill-Management bei Group Security und bei unseren Cyber Security Specialists, also auch hier auszubilden und auf den neuesten Stand zu bringen.“

 

Christine Deger: „Dann machst Du auch zielgruppenspezifische Awareness-Trainings?“

 

Marcus Beyer: „Ja, genau. Bei Swisscom ist die Heterogenität sehr groß. Von den Mitarbeitenden in den Shops bis hin zum Strippenzieher unter der Erde, Mitarbeitende im Office aber auch unsere Tech-Nerds, das ist die gesamet Bandbreite. Wenn wir über Zielgruppen reden, dann haben wir auch die differenzierte Zielgruppe der Führungskräfte, für die wir eine Eigeninitiative gestartet haben, für die Top 100. Es kommen aber auch Organisationseinheiten zu mir, mit denen wir spezielle Sachen machen, um auf die speziellen Probleme, Fragen und Risiken eingehen zu können. Der Fokus liegt allerdings auf der gesamten Mitarbeiterschaft, da ist eine Skalierbarkeit wichtig.“

 

Christine Deger: „Wie viele Mitarbeiter müsst Ihr erreichen mit einer Awareness-Kampagne?“

 

Benjamin Bachmann: „Wir sind ca. 11000 Leute in der Gruppe, haben mehr als 100 Gesellschaften in der Gruppe und haben ein sehr diverses Portfolio, was das Geschäftsmodell angeht. Deshalb müssen wir zielgruppengerecht an das Thema herangehen.“

 

Florian Jörgens: „Wir haben neben den aktuell noch 12000 Mitarbeiter unsere weltweiten Vertriebler, das sind 560 Tausend! Die agieren auch mit unseren Kundendaten, benötigen deshalb ein gewisses Grundset, was das Thema Informationssicherheit anbelangt. Der ganze Bereich Digital (Thermomix) ist nochmal zusätzlich im Bereich Security aufgestockt, z.B. für ein Bug Bounty Programm, regelmäßigen Pen-Tests. Man muss wissen, wenn die zentrale Rezept-Plattform von ThermoMix ausfallen sollte, hat das einen unmittelbaren Impact auf unsere Kunden (-erlebnisse) und im schlimmsten Fall hat eine Familie abends nichts zum Essen auf dem Tisch. Hier können wir keine Kompromisse eingehen und müssen eine entsprechende Verfügbarkeit leisten. Das geht in Richtung SmartHome und IoT.“

 

Christine möchte wissen: „Wie holst Du die Vertriebler ab mit Awareness?“

 

Florian Jörgens: „Die Herausforderung ist hier, das wir eine extremst heterogene Mitarbeiterlandschaft haben. Da ist alles mit dabei, mit IT-Erfahrung und auch ganz ohne. Einer unserer großen Vorteile ist, alles was wir den Advisern (so heißen die Vertriebsmitarbeiter) vermitteln, können sie 1:1 im privaten Umfeld nutzen.“

Christine Deger: „Marcus, kannst Du uns von einer erfolgreichen Awareness-Kampagne bei Swisscom erzählen?“

 

Marcus Beyer: „Ich bin ja ein Kind von Corona, also ich habe vor 2 Jahren meine Arbeit im Homeoffice gestartet und deshalb war es nicht immer ganz leicht, die Mitarbeiter zu erreichen. Trotzdem haben wir in den letzten 2 Jahren vieles geschafft, z.B. dass wir ein klares Bild haben, wo wir hin wollen, und wie definieren wir Sicherheitskultur. Ca. 3 Monate nach meinem Start war ich bei der Konzernleitung, um das Thema Sicherheitskultur zu diskutieren und die Leitlinien festzulegen. Somit ist das Thema im Vorstand verankert und kann vorgelebt werden. Und auch den Mitarbeitenden wird für das Thema Zeit gegeben. Gerade haben wir einen Quick Guide entwickelt, der erklärt nicht nur was ist Phishing oder Social Engineering und wie muss man sich schützen, wenn man mobil unterwegs ist, sondern wir machen das zeitbezogen. Wir begleiten zwei imaginäre Swisscom-Mitarbeiter auf ihrem Weg durch den Tag, angefangen beim Kaffee frühmorgens mit News auf dem Tablet und der Frage, ob das jetzt Fake-News sind. Das startet also im privaten Bereich, geht dann in den beruflichen über. Sie müssen durch verschieden Situationen gehen und lernen dabei auch den Umgang mit den Begriffen. Sie bleiben sehr nah an ihrem täglichen Arbeitsumfeld, das finde ich wichtig. Ich kenne viele Kampagnen, in denen der Bezug fehlt.“

 

Christine Deger: „Florian, du warst in deiner vorherigen Position als CISO bei Lanxess. Wie habt ihr die Kulturveränderung umgesetzt?“

 

Florian Jörgens: „Das Backing des Vorstands ist wichtig, ein Commitment, das Thema zu unterstützen. Inhaltlich haben wir u.a. auch Live-Hackings gezeigt. Sehr gute Erfahrungen haben wir mit abteilungsbezogenen Teilnehmerquoten gemacht, die auch an den Vorstand berichtet wurden. Somit wurden die Mitarbeiter motiviert, an den Trainings teilzunehmen. Wir wollen aber nicht mit Druck und Zwang arbeiten. Es muss klar sein, wir, also die Informationssicherheit, schützen nicht unsere Informationen, wir schützen die Daten des Business, das sind die Kronjuwelen für Hacker. Wir treten hier als interner Dienstleister auf.“

 

Benjamin Bachmann: „Ich bin erst seit einem halben Jahr dabei, das Thema Awareness steht zwar groß auf der Agenda, aber wir haben das noch nicht so großflächig angegangen. D.h. meine ganze Organisation ist neu. Wir fangen gerade an, Short News im Intranet zu verteilen und uns vorzustellen mit einem großen Artikel. Für Ende des Jahres planen wir die erste große Kampagne mit 10 verschiedenen Handlungssträngen. Wir bauen also zunächst einmal die Kommunikationsstruktur auf.“

 

Marcus Beyer: „Das ist doch das A und O. Nicht nur Mitarbeiter zu sensibilisieren und zu schulen ist wichtig, viel wichtiger ist es, die Meldewege zu kommunizieren. Wen erreichst du wann und wo und habe keine Angst, wir haben eine positive Fehlerkultur. Hauptsache es wird gemeldet, egal über welche Wege, das hilft uns, die Organisation sicherer zu machen.“

 

Benjamin Bachmann: „Das war tatsächlich eine der ersten Sachen, die wir gemacht haben. Einen einheitlichen Security-Incidence-Response-Prozess definieren, diesen Prozess gegenüber den Gesellschaften auszurollen und Hilfestellung geben, wie das kommuniziert werden kann. Es ist wichtig, dass die Leute wissen, wer ist denn eigentlich meine Security-Abteilung.“

 

Florian Jörgens fragt in die Runde, wo die Security Incidents landen.

 

Benjamin Bachmann: „Das ist etwas tricky mit den vielen Gesellschaften. Wenn wir einen zentralen Helpdesk hätten, dann wäre der Prozess sehr einfach. So muss jede Gesellschaft an den definierten SPoC melden. Was wir auch anregen, sind Erste-Hilfe-Anleitungen, die ausgedruckt neben den Druckern hängen.“

 

Marcus Beyer: „Das hat jeder Mitarbeiter bei uns im Mitarbeiterausweis mit drin, die zentralen Rufnummern. Um Florians Frage zu beantworten, bei uns ist der klassische Prozess über das CSIRT, was Incidents angeht, kann aber sein, dass die einen Umweg machen über unseren Helpdesk. Dann haben wir noch den Phishing-Button als Meldeinstanz, der läuft dann im Exchange auf und wird eskaliert. Bei uns sind die Meldewege sehr klar.“

 

Frage eines Zuschauers: Wenn 80% aller Angriffe über Mitarbeiter gehen, wie kann man sie sensibilisieren?

Benjamin Bachmann: „Man darf den Mitarbeitern nicht erzählen, dass man die tollste IT der Welt hat und nichts passieren kann.“

 

Marcus ergänzt: „Und man darf dem Mitarbeiter nicht erzählen, dass er das schwächste Glied in der Kette ist. Dann macht der Mitarbeiter sofort zu. Man muss dem Mitarbeiter klar machen, dass er das wichtigste Gut ist im Unternehmen. Und wir machen ihn zum stärksten Glied in der Sicherheitskette.“

 

Frage eines Zuschauers: Der Faktor Mensch ist bei unseren Penetration Tests immer extrem im Scope. Wie schafft ihr es die unterschiedlichen Bereiche didaktisch harmonisch zu schulen? Ich meine damit die verschiedenen Bereiche neben technischer Sicherheit wie physikalische Sicherheit oder prozessuale Sicherheit.