iX-Awareness-Wettbewerb 2017: Die Gewinner
Lohnender Einsatz
Von Behörden über Mittelständler bis zu Großkonzernen reichte das Spektrum der Teilnehmer am iX-Awareness-Wettbewerb. Vier davon haben wir als Gewinner gekürt.
Vorweg die 100 000-Dollar-Frage: Wie entscheidet man, wer Gewinner in einem Wettbewerb zum Thema „Maßnahmen zur Steigerung der Security-Awareness in Betrieben, Behörden und Bildungseinrichtungen“ ist? Wir haben uns dazu an den Begriffen „Originalität“, „Zielgruppe“, „Nachhaltigkeit“, „Beteiligungsmöglichkeiten“ und „Mittelvielfalt“ orientiert. Denn damit lässt sich unseres Erachtens eine Awareness-Kampagne beurteilen. Im Einzelnen:
Originalität: Es sollte halt nicht die x-te Auflage der Kombination von textueller Einweisung mit anschließender Multiple-Choice-Abfrage sein. Das muss nicht schlecht sein, aber man hat so etwas schon so oft gesehen, dass man es leicht übersieht.
Die Zielgruppe sollte möglichst breit sein. Man kann natürlich ausschließlich das IT-Personal adressieren oder sich nur an die Auszubildenden wenden. Aber: Ziel von Angriffen kann im Prinzip jeder werden. Darum sollte sich eine Awareness-Kampagne möglichst an die gesamte Belegschaft richten, von der Geschäftsführung bis zur Reinigungskraft.
Nachhaltigkeit ist gefordert, weil Awareness nicht durch Einmal-Aktionen für alle Zeiten installiert wird. Es bedarf häufiger Wiederholungen, ohne dass diese zu Ermüdungserscheinungen führen, Aktualisierungen und so fort. Security-Awareness ist sozusagen Teil des lebenslangen Lernens im Beruf.
Beteiligungsmöglichkeiten sind gefragt, weil wir alle schon in Schule und Universität gemerkt haben, dass Frontalunterricht selten funktioniert. Egal, ob man es Learning by Doing oder interaktives Lernen nennt – der Lernende muss selbst aktiv werden, dann prägt sich der Stoff besser ein.
Nicht zuletzt ist die Mittelvielfalt wichtig, also ein Multichannel-Konzept, das die Botschaften der Awareness-Kampagne auf allen Kanälen ausspielt. Immer nur Flyer austeilen reicht nicht, hinzukommen müssen Videos, Onlineinformationen, Plakate et cetera. Die Zielgruppe muss immer wieder aufs Neue interessiert werden, unterschiedliche Zielgruppen auf verschiedenen Wegen. Wer eine Broschüre ungelesen in den Papierkorb wirft, internalisiert vielleicht einen pfiffigen Spruch auf einem Mauspad oder schaut sich gerne ein Video an.
Aus dieser Aufzählung ergibt sich, dass das Erzeugen von Security-Awareness nichts ist, das man zwischen Tagesschau und Wetterkarte erledigen kann. Es bedarf einer Analyse des Ist-Zustands, eines Konzepts, fortlaufender Aktualisierungen und so fort. Darum ist es nicht weiter erstaunlich, dass sich unter den Einsendern, abgesehen von einer Marketing-Agentur, keine kleinen Betriebe oder Einrichtungen befanden.
So hat von den vier Preisträgerinnen eine der kleineren bereits gut 600 Mitarbeiter im Stammwerk, weltweit 1400, die andere 1100 weltweit. Nicht zu reden von den 5000 Angestellten der staatlichen Einrichtung, die gewonnen hat, oder von den 100 000 des Großkonzerns. Um wen geht es, und wie sehen ihre Awareness-Kampagnen aus?
Maschinenfabrik Gustav Eirich
Da wäre zum einen die Maschinenfabrik Gustav Eirich, ansässig im baden-württembergischen Hardheim. Sie konnte sich mit ihrer Kampagne „Mitarbeitersensibilisierung bei Eirich“ qualifizieren. Der Name ist so bodenständig wie die Firma selbst – gegründet 1863 als Mühlenwerkstatt, heute einer der vielgenannten und berühmten „Hidden Champions“ der deutschen Exportwirtschaft mit über die ganze Welt verteilten Tochtergesellschaften. Von Brasilien über China bis in die USA arbeiten 1400 Menschen bei Eirich.
Schwerpunkt sind unter anderem Intensivmischer für Baustoffe, und hier gilt es, das vorhandene Know-how vor der Konkurrenz zu schützen. Die Planung der Kampagne begann mit der Bildung eines verantwortlichen Teams und der Auswahl eines externen Dienstleisters im dritten Quartal 2011. Ein Jahr später startete man in die Praxis und ist seitdem in einem ständigen Zyklus von Aktion und Evaluierung.
Grundlage der Kampagne ist eine Klassifizierung der Informationen nach Geheimhaltungswürdigkeit in einem Informationssicherheitsmanagementsystem (IMS). Geschult wurden alle, mit einem dreistufigen Top-down-Ansatz, angefangen beim Management über die Meisterebene bis zu jedem einzelnen Mitarbeiter. Zur Schulung gehörten auch Vorträge externer Spezialisten, etwa vom Landesamt für Verfassungsschutz oder der Universität Würzburg.
Gegenstand der Kampagne ist nicht nur die IT-Sicherheit, es geht auch um Zutrittsberechtigungen für das Werk und Ähnliches. Das IMS dient auch dazu, Redundanzen festzustellen und Lücken aufzuspüren. Zudem hat man bei Eirich auch das Juristische im Blick. Initiiert durch ein abteilungsübergreifendes Team, das für die Informationssicherheitsrichtlinien zuständig ist, wurde eine Betriebsvereinbarung für die Internet- und E-Mail-Nutzung erarbeitet und verabschiedet.
Die Kampagne setzt sich zusammen aus verschiedenen Bausteinen, neben Schulungen und Infomaterial auch Gadgets wie einer Brotdose mit Sicherheitsutensilien, etwa Post-Its mit dem Hinweis „Sensible Daten? Hier sicher nicht“. Bei einem Gewinnspiel war ein iPad zu gewinnen.
Wichtig auch bei einer Firma mit über den Globus verstreuten Töchtern: Von Anfang an war klar, dass das Konzept mit wenig Aufwand auf diese übertragbar sein muss. Und dass auch immer die IT-Sicherheit im Privatbereich mit thematisiert wurde, dürfte für zusätzliche Aufmerksamkeit gesorgt haben.
IWC Schaffhausen
Die IWC Schaffhausen ist mit 1100 Angestellten weltweit auch schon deutlich dem KMU-Segment entwachsen. Der 1868 gegründete Hersteller von Luxus-Uhren gehört seit der Jahrtausendwende zum Schweizer Luxusgüterkonzern Richemont International SA. Er verfügt über 60 eigene Boutiquen in Metropolen wie New York, Peking, Dubai, Hongkong, Genf, Paris und Moskau.
Auch hier gilt es, Spezialwissen zu schützen. Die Awareness-Kampagne der Schweizer läuft unter dem Titel „Top Secure“. Sie besteht aus mehreren Teilen. Standard sind eine eigene Intranetseite und ein Newsletter, in das Bewusstsein der Mitarbeiter ruft man sich unter anderem durch sogenannte Lunch&Learn-Veranstaltungen, bei denen zur Mittagszeit Sandwiches und Informationen gereicht werden.
Als „Kampagne in der Kampagne“ wurde eine Roboterfigur verteilt, mit der die Mitarbeiter eigene Ideen zur Steigerung der Aufmerksamkeit für Sicherheitsfragen umsetzen konnten. Immerhin 80 Einsendungen gab es dazu aus der Belegschaft.
Die Top-Secure-Kampagne ist nicht auf den zentralen Firmensitz beschränkt. Zur Messe SIHH, dem internationalen Salon der Uhrmacherkunst in Genf, gibt es besondere Sicherheitshandreichungen und zum Mitnehmen Roaming- und Mobile-Security-Guides für die Hosentasche. Künftig sollen alle Maßnahmen weltweit über alle IWC-Standorte verteilt werden. Das zieht nach sich, dass alle Kommunikationsmittel und -kanäle in Englisch abrufbar sind, unter Beachtung interkultureller Besonderheiten in den jeweiligen Regionen.
Aufgesetzt und koordiniert wurde beziehungsweise wird die Kampagne durch ein abteilungsübergreifendes Team, das interdisziplinäre Security-Awareness-Kernteam. Mitglieder sind nicht nur IT-ler, sondern auch die Personalabteilung, das Management, CRM- und Corporate-Communication-Mitarbeiter. Wie bei Eirich ist mit der DXC Technology auch ein externer Dienstleister mit im Spiel.
Spital Wallis
Mit dem Spital Wallis zählt ein weiterer Kandidat aus der Schweiz zu den Gewinnern. Wie gefährdet Krankenhäuser sind, wurde 2016 einer breiteren Öffentlichkeit bekannt, als die IT von Krankenhäusern in Deutschland und England durch Ransomware weitgehend stillgelegt wurde. Und ein Krankenhausverbund mit Einrichtungen an 10 Standorten und rund 5000 Angestellten bietet auch rund 5000 mögliche Ziele.
So nämlich ein zentraler Claim der Kampagne zur Cybersensibilisierung Stop.Think.Act.: „Ich bin eine Zielscheibe“ beziehungsweise „Je suis une cible“ – sämtliches Material ist natürlich zweisprachig. Die Anpassung an die Zielgruppen beschränkt sich nicht auf die Sprache, sondern die für Broschüren, Plakate und Roll-ups ausgewählten Fotomotive bilden auch einen Querschnitt der Belegschaft ab – sowohl Ärzte als auch Krankenschwestern sowie nicht medizinisches Personal tauchen als Modelle auf.
Das Ausrollen dieser Motive ist als zweistufiger Prozess geplant. Ein Teaser zeigt einen Mitarbeiter als Zielscheibe vor einem dunklen Hintergrund, im zweiten Schritt erscheint dieselbe Person vor hellerem Hintergrund mit einer Erklärung dazu. Damit keine „Cyber Security Fatigue“ aufkommt, sollen Kampagnen-Motive und -Mittel immer wieder wechseln. Auch die Walliser beziehen übrigens Sicherheitsfragen aus dem privaten Umfeld in die Schulungen ein.
Basis der Kampagne ist die Videoreihe „Securing the Human Platform“ von SANS, zwei- bis dreiminütige Clips gefolgt von einem kurzen Quiz, erweitert unter anderem durch eine Phishing-Kampagne. Diese Schulung ist obligatorisch für alle 5000 Angestellten sowie künftig für neue Mitarbeiter.
Auch diese Kampagne wurde von einem abteilungsübergreifenden Team entworfen, beteiligt waren die IT-Sicherheit, Kommunikation, Informatik und diverse Spitalabteilungen. Verwaltet wird sie von einer fünfköpfigen Gruppe, den Cybersecurity-Ansprechpersonen. Die Verantwortung für die Weiterführung obliegt der Kommission für Informatiksicherheit unter Einbindung der Geschäftsführung.
Deutsche Bank
Dass eine weltweit operierende Großbank mit über 100 000 Angestellten auf IT-Sicherheit achten muss, bedarf keiner Erklärung. Die 1,3 Millionen Spam-Mails sind da nur die Spitze des Eisbergs. Denn wenn von den Mitarbeitern nur ein Promille auf eine Phishing-Mail hereinfällt, sind das gleich 100 Leute.
Das hatte auch die Abteilung Konzernsicherheit früh erkannt und Maßnahmen wie regelmäßige Wissensabfragen eingeführt – doch mit überschaubarem Erfolg. Darum sollte eine neue Kampagne die Mitarbeiter emotional erreichen und nachvollziehbar zu Verhaltensänderungen motivieren.
Herausgekommen ist die Multichannel-Kampagne „The target is you“ (Konzernsprache ist Englisch), in deren Mittelpunkt die Identifikationsfigur Debbie steht, eine Frankfurter Finanzberaterin. Sie erlebt täglich neue „Abenteuer“, die auf einer eigenen Microsite und anderen Kanälen veröffentlicht werden – unter anderem in 13 Filmen.
Gestartet wurde mit einer internationalen Roadshow für 1500 Bankangestellte. Die Botschaften der Kampage werden über weltweite Online-Wettbewerbe mit Gamification-Ansatz, plakative Guerilla-Maßnahmen, Webseiten, Flyer, Poster und Roll-ups verbreitet. Die Resonanz ist riesig, berichten die Macher, so gab es aus den Filialen über 50 000 bestellte Flyer, Poster und Roll-ups.
Die Kampagne wurde vom Client & Staff Awareness Team der Deutschen Bank in enger Zusammenarbeit mit einer regionalen Staff Awareness Working Group entworfen, in der Mitglieder aus verschiedenen Regionen der Chief Security Office Organisation (APAC, USA, UK, EMEA & Deutschland) zusammenkommen. Unterstützt wurde das Team dann in der Umsetzung der Maßnahmen von der Agentur Stagg & Friends.
Und außerdem
Wir haben vier statt – wie angekündigt – drei Gewinner gekürt, weil wir die hier vorgestellten Kampagnen jede auf ihre Art für preiswürdig halten. Darum gibt es auch keine weitere Wertung in Sinne von Platz 1 bis 4.
Klar ist, dass gegen die breit aufgesetzten Kampagnen der Gewinner Einzelkämpfer und kleine Start-ups wenig Chancen hatten. Darum haben wir außer Kokurrenz die Idee einer Studentin prämiert. Andrea Mayrhofer hat als Informatik-Masterarbeit das Brettspiel „Master of Attack“ entwickelt, mit dessen Hilfe Jugendliche über Security-Probleme aufgeklärt werden. Dafür erhält sie ein Jahr lang kostenlos iX. (js)