Awareness-Kampagnen können lehrreich, unterhaltsam und motivierend sein. Die BLS zeigt, wie das geht: In einer umfangreichen Awareness-Kampagne sensibilisierte sie innert vier Wochen 3’500 Mitarbeitende zu unterschiedlichen Aspekten der Informationssicherheit. Die abwechslungsreiche Kampagne bestehend aus Social Engineering, Live Hacking und humorvollen sowie informativen Unterlagen motivierte die Mitarbeitenden während der ganzen Kampagne.

«Falls du in den nächsten Tagen wegen mir ins Schwitzen kommst…», begrüsste eine lebensgrosse Kartonfigur von James am ersten Tag der Awareness-Kampagne die BLS-Mitarbeitenden und gab ihnen einen Capri-Saft auf den Weg. Die BLS gehört zu den grössten Verkehrsunternehmen der Schweiz: das zweigrösste S-Bahn-Netz der Schweiz, 420 Kilometer Schienen, Bus, Schiff, Autoverlad und Güterverkehr. Damit jeden Tag alles reibungslos rollt, ist die BLS auf funktionierende IT-Systeme angewiesen und darauf, dass ihre Mitarbeitenden unverzüglich und korrekt auf unterschiedliche Vorfälle reagieren. Der charmante Security-Coach James begleitete die BLS-Mitarbeitenden durch die Awareness-Kampagne und zeigte ihnen auf humorvolle Art, wie sie kühle Köpfe bewahren.

BLS-spezifische Security-Themen

Die folgenden vier Wochen wurden die BLS-Mitarbeitenden von James begleitet und auf verschiedene Aspekte der Informationssicherheit sensibilisiert. Ein zentrales Thema war Social Engineering – die zwischenmenschliche Beeinflussung, z.B. unbefugter physischer Zutritt oder Phishing-E-Mails. Zudem wurde der sichere Umgang mit E-Mails und das Verhalten am Arbeitsplatz thematisiert, sowie das Thema Datenschutz, inklusive der Verwendung und das Speichern von Passwörtern, und Cloud-Security.

“Die Themen haben wir auf BLS abgestimmt. Das ist der Vorteil einer individualisierten Awareness-Kampagne. Wir können genau die Themen abdecken, die für die Organisation relevant sind. Zudem können wir auf die Firmenkultur eingehen.” Liene Millere, Security Consultant der Redguard AG

Für die kollegiale Unternehmenskultur der BLS hat das Maskottchen «James» bestens gepasst.

Der Mensch ist das Ziel

Das Ziel heutiger Cyber-Attacken ist meist der Mensch. Fehlende Aufmerksamkeit oder schlichtweg mangelndes Wissen machen Mitarbeitende zu Schwachstellen und einfachen Einfallstoren in eine Organisation. Gerade Phishing-E-Mails werden von Angreifern häufig verwendet, um an sensible Informationen zu kommen. Um zu zeigen, wie heikel und professionell die Phishing-E-Mails heutzutage aussehen können, wurde bei der BLS gleich zu Beginn eine Phishing-Aktion durchgeführt, in der die Mitarbeitenden eine scheinbar harmlose E-Mail mit Link erhielten. Klickten die Mitarbeitenden auf den Link, wurden sie von James über die Phishing-Attacke aufgeklärt. Auf positive und motivierende Weise gab James Tipps, wie ein Phishing-E-Mail erkannt werden kann und welche Notmassnahmen eingeleitet werden müssen, wenn auf den Link geklickt wurde. Eine anonyme Auswertung wurde für eine Einschätzung des Grads der Sensibilisierung genutzt, sowie als als Vergleich für weitere Phishing-E-Mails und die Überprüfung der Wirksamkeit im Verlauf der Awareness-Kampagne.

Vier Wochen mit vielseitigen Aktivitäten

Die Phishing-E-Mails waren nur ein kleiner Teil der ganzen Awareness-Kampagne. In Live Hackings wurde vor Ort von Redguard Security Testern demonstriert, wie einfach Angriffe sich realisieren lassen. Sie zeigten beispielsweise, wie schnell ein Passwort geknackt werden kann oder wie einfach sich ein scheinbar vertrauenswürdiges WLAN aufsetzen lässt. Um die Sensibilisierung der Mitarbeitenden zu stärken, wurden zudem unterschiedliche Unterlagen aufbereitet. Immer dabei war James, der charmante, freche Junge. Auf humorvolle Art hat er mithilfe von Postern, Flyer, Online-Quiz, Informationsschreiben oder Kurznachrichten via E-Mail auf verschiedene Aspekte der Informationssicherheit aufmerksam gemacht, gab Empfehlungen und Tipps.

Mitarbeitermotivation als Erfolgsfaktor

Die Aufmerksamkeit und Motivation der Mitarbeitenden ist ein entscheidender Erfolgsfaktor einer Awareness-Kampagne. Häufig fühlen sich Mitarbeitende kontrolliert und beobachtet, sind vom Alltagsgeschäft gestresst oder sehen den Sinn der Awareness-Kampagne nicht. Die Awareness-Kampagne bei der BLS hat gezeigt, wie wichtig es ist, die Mitarbeitenden kontinuierlich zu motivieren und in ihrem Arbeitsumfeld zu aktivieren. Die abwechslungsreichen Instrumente und James als Security Coach wurden von den Mitarbeitenden sehr gut angenommen. Die Mitarbeitenden haben sich sehr engagiert. Das widerspiegelt sich auch in der Auswertung der Wirksamkeit der Awareness-Kampagne.

Zusammenarbeit mit Redguard

“Die gesamte Kampagne mit der fiktiven Security-Leitfigur James war ein toller Erfolg.” Urs Fuchser, IT-Architekt für Security bei der BLS AG

Die Geschäftsleitung war begeistert von der Idee, mittels des kleinen James auf eine unterhaltsame Art und Weise die Security-Themen zu erlernen. Einer der grössten Erfolge für die BLS war die starke Erhöhung zur Sensibilität von Angriffen durch Phishing-E-Mails. Messungen haben zudem gezeigt, dass eine ähnliche Kampagne der Vorjahre immer noch wirkt und durch die erneute gezielte Sensibilisierung die Mitarbeitenden wiederholt abgeholt werden konnten. Ein erfreuliches Ergebnis erzielte zudem das Social Engineering durch eine fremde Person. Wie sich gezeigt hat, entwickelten die Mitarbeitenden bei der BLS Mut und eine erhöhte Sensitivität gegenüber anderen Mitarbeitenden und Aussenstehenden.

Urs Fuchser lobt die Kampagne und den durchgehenden roten Faden durch die Leitfigur «James», welche dazu beitrug, dass die Mitarbeitenden die Inhalte in Erinnerung behalten konnten. Zentraler Inhalt einer solchen umfangreichen Awareness-Kampagne ist eine gute Planung mit klaren Zielen und Inhalten, erzählt Urs Fuchser. Eine positive Verankerung nach dem Prinzip «Ich traue dir Einiges zu und helfe dir, noch besser zu werden» unterstützt den roten Faden und führt zu einem positiven Umdenken aller Beteiligten. Ganz nach dem Prinzip: «Weniger ist mehr», hat sich die BLS dafür entschieden, sich auf wenige Wochenziele zu beschränken und diese eng im Arbeitsalltag mit den vorhandenen Arbeitsmitteln zu verknüpfen. Dies steigerte nachhaltig das Bewusstsein für das Thema Security und führte so zu einer verbesserten Sicherheit.

“Die gesamte Kampagne mit der fiktiven Security-Leitfigur James war ein toller Erfolg.” Urs Fuchser, IT-Architekt für Security bei der BLS AG