Awareness-Kampagnen können lehrreich, unterhaltsam und motivierend sein. Die BLS zeigt, wie das geht: In einer umfangreichen Awareness-Kampagne sensibilisierte sie innert vier Wochen 3’500 Mitarbeitende zu unterschiedlichen Aspekten der Informationssicherheit. Die abwechslungsreiche Kampagne bestehend aus Social Engineering, Live Hacking und humorvollen sowie informativen Unterlagen motivierte die Mitarbeitenden während der ganzen Kampagne.
«Falls du in den nächsten Tagen wegen mir ins Schwitzen kommst…», begrüsste eine lebensgrosse Kartonfigur von James am ersten Tag der Awareness-Kampagne die BLS-Mitarbeitenden und gab ihnen einen Capri-Saft auf den Weg. Die BLS gehört zu den grössten Verkehrsunternehmen der Schweiz: das zweigrösste S-Bahn-Netz der Schweiz, 420 Kilometer Schienen, Bus, Schiff, Autoverlad und Güterverkehr. Damit jeden Tag alles reibungslos rollt, ist die BLS auf funktionierende IT-Systeme angewiesen und darauf, dass ihre Mitarbeitenden unverzüglich und korrekt auf unterschiedliche Vorfälle reagieren. Der charmante Security-Coach James begleitete die BLS-Mitarbeitenden durch die Awareness-Kampagne und zeigte ihnen auf humorvolle Art, wie sie kühle Köpfe bewahren.
Die folgenden vier Wochen wurden die BLS-Mitarbeitenden von James begleitet und auf verschiedene Aspekte der Informationssicherheit sensibilisiert. Ein zentrales Thema war Social Engineering – die zwischenmenschliche Beeinflussung, z.B. unbefugter physischer Zutritt oder Phishing-E-Mails. Zudem wurde der sichere Umgang mit E-Mails und das Verhalten am Arbeitsplatz thematisiert, sowie das Thema Datenschutz, inklusive der Verwendung und das Speichern von Passwörtern, und Cloud-Security.
“Die Themen haben wir auf BLS abgestimmt. Das ist der Vorteil einer individualisierten Awareness-Kampagne. Wir können genau die Themen abdecken, die für die Organisation relevant sind. Zudem können wir auf die Firmenkultur eingehen.” Liene Millere, Security Consultant der Redguard AG
Für die kollegiale Unternehmenskultur der BLS hat das Maskottchen «James» bestens gepasst.
Das Ziel heutiger Cyber-Attacken ist meist der Mensch. Fehlende Aufmerksamkeit oder schlichtweg mangelndes Wissen machen Mitarbeitende zu Schwachstellen und einfachen Einfallstoren in eine Organisation. Gerade Phishing-E-Mails werden von Angreifern häufig verwendet, um an sensible Informationen zu kommen. Um zu zeigen, wie heikel und professionell die Phishing-E-Mails heutzutage aussehen können, wurde bei der BLS gleich zu Beginn eine Phishing-Aktion durchgeführt, in der die Mitarbeitenden eine scheinbar harmlose E-Mail mit Link erhielten. Klickten die Mitarbeitenden auf den Link, wurden sie von James über die Phishing-Attacke aufgeklärt. Auf positive und motivierende Weise gab James Tipps, wie ein Phishing-E-Mail erkannt werden kann und welche Notmassnahmen eingeleitet werden müssen, wenn auf den Link geklickt wurde. Eine anonyme Auswertung wurde für eine Einschätzung des Grads der Sensibilisierung genutzt, sowie als als Vergleich für weitere Phishing-E-Mails und die Überprüfung der Wirksamkeit im Verlauf der Awareness-Kampagne.
Die Phishing-E-Mails waren nur ein kleiner Teil der ganzen Awareness-Kampagne. In Live Hackings wurde vor Ort von Redguard Security Testern demonstriert, wie einfach Angriffe sich realisieren lassen. Sie zeigten beispielsweise, wie schnell ein Passwort geknackt werden kann oder wie einfach sich ein scheinbar vertrauenswürdiges WLAN aufsetzen lässt. Um die Sensibilisierung der Mitarbeitenden zu stärken, wurden zudem unterschiedliche Unterlagen aufbereitet. Immer dabei war James, der charmante, freche Junge. Auf humorvolle Art hat er mithilfe von Postern, Flyer, Online-Quiz, Informationsschreiben oder Kurznachrichten via E-Mail auf verschiedene Aspekte der Informationssicherheit aufmerksam gemacht, gab Empfehlungen und Tipps.
Die Aufmerksamkeit und Motivation der Mitarbeitenden ist ein entscheidender Erfolgsfaktor einer Awareness-Kampagne. Häufig fühlen sich Mitarbeitende kontrolliert und beobachtet, sind vom Alltagsgeschäft gestresst oder sehen den Sinn der Awareness-Kampagne nicht. Die Awareness-Kampagne bei der BLS hat gezeigt, wie wichtig es ist, die Mitarbeitenden kontinuierlich zu motivieren und in ihrem Arbeitsumfeld zu aktivieren. Die abwechslungsreichen Instrumente und James als Security Coach wurden von den Mitarbeitenden sehr gut angenommen. Die Mitarbeitenden haben sich sehr engagiert. Das widerspiegelt sich auch in der Auswertung der Wirksamkeit der Awareness-Kampagne.
“Die gesamte Kampagne mit der fiktiven Security-Leitfigur James war ein toller Erfolg.” Urs Fuchser, IT-Architekt für Security bei der BLS AG
“Die gesamte Kampagne mit der fiktiven Security-Leitfigur James war ein toller Erfolg.” Urs Fuchser, IT-Architekt für Security bei der BLS AG