Für eine gestärkte Sicherheitskultur bei der GEMAC
Cyber Security Awareness mit simulierten Phishing-Angriffen steigern
Mit der fortschreitenden Digitalisierung steigt auch die Cyber-Kriminalität immer weiter an. Umso wichtiger wird es für Unternehmen, die Belegschaft regelmäßig zu sensibilisieren, um die Angriffsfläche für Cyber-Attacken möglichst gering zu halten. Für einen praxisnahen Lernprozess und eine erhöhte Sicherheitskultur nutzt GEMAC die monatlichen Microlearnings in Verbindung mit simulationsbasierten Phishing-Mails von CyberXperts, mit denen die Mitarbeitenden im Arbeitsalltag geschult werden.
Die zunehmende Bedrohung durch Cyber-Kriminalität stellt sowohl für Privatpersonen als auch für Unternehmen eine große Gefahr dar. Insbesondere der Mitarbeiter ist dabei selbst die größte Schwachstelle: Diese Gefahr besteht insbesondere bei Phishing-Attacken, die als täuschend echt aussehende E-Mails getarnt sind und die Nutzenden dazu verleiten, schadhafte Dateien herunterzuladen oder sensible Daten preiszugeben. Die resultierenden Schäden durch Cyber-Angriffe belaufen sich dabei auf 148,2 Mrd. EUR in Deutschland in 2023 (Quelle: Bitkom, Wirtschaftssschutz 2023, bitkom.org/sites/main/files/2023-09/Bitkom-Charts-Wirtschaftsschutz-Cybercrime.pdf). Von daher ist es insbesondere für große Unternehmen von höchster Priorität, diese Bedrohung durch regelmäßige und flächendeckende Schulung der Mitarbeitenden einzudämmen.
Lernbedarfe
Vor diesem Hintergrund erkannte auch die GEMAC Chemnitz GmbH die Notwendigkeit, das Bewusstsein für IT-Sicherheit innerhalb der Belegschaft zu stärken. Für diese Zwecke wurde bereits im Oktober 2022 eine zweijährige Zusammenarbeit mit dem Lösungsanbieter CyberXperts powered by skillsforwork gestartet. Im Rahmen dieser Kooperation wurde das Ziel verfolgt, eine gesteigerte Sicherheitskultur bei der GEMAC zu etablieren und auf diesem Weg die Gefahr für Cyberangriffe auf das Minimum zu reduzieren.
Für diese Bedarfe sollte an die gesamte Belegschaft grundlegende IT-Sicherheits-Kompetenzen vermittelt werden. Hierbei sollten sie zudem erlernen, verschiedene Methoden und Techniken von IT-Kriminellen wahrzunehmen, um potenzielle Cyberangriffe frühzeitig zu erkennen und abzuwehren. Zugleich sollte sowohl die Öffnungsrate von potenziell gefährlichen Mails getrackt und sichergestellt werden, dass diese auf einem niedrigen Niveau bleibt. Um diese Lernbedarfe maximal effektiv zu berücksichtigen, sollte das geplante eLearning in zwei Bausteine unterteilt werden: Während die theoretischen Lerninhalte in Form interaktiver Microlearnings vermitteln, sollte diese durch simulative Phishing-Mails im Arbeitsalltag zur Überprüfung des Wissens unterstützt werden, um einen effektiven Transfer in die Praxis sicherzustellen.
Projektverlauf
Der Projektstart ging mit dem Start der Laufzeit der Zusammenarbeit zwischen CyberXperts und GEMAC einher und wurde mit einem gemeinsamen Kick-Off-Termin eingeläutet.
Auf Basis dieser Absprachen konnte im Anschluss mit der konkreten Einrichtung der Awareness-Kampagne gestartet werden. Die eLearning-Maßnahme sollte mit einer ersten Phishing-Simulation eingeläutet werden, um die Belegschaft für das Thema zu sensibilisieren und auf das Thema aufmerksam zu machen. Für diese Zwecke wurde drei Wochen vor geplantem Versand der ersten simulierten Phishing-Mail ein „Warm up“ zur Sensibilisierung gestartet. Dies diente dazu, alle IT-Mitarbeitenden, die Geschäftsleitung und den Helpdesk über die bevorstehende Maßnahme zu informieren. Dieser Schritt wurde bewusst drei Wochen im Voraus durchgeführt, um sicherzustellen, dass das erste Tracking nach der ersten Phishing-Mail einen realistischen Status quo der betrieblichen Cyber Security Awareness liefert.
Nach einem Testlauf in Form eines Whitelistings zwei Wochen vor Start, wurde am vereinbarten Termin die erste simulierte Phishing-Mail an die Mitarbeitenden versendet. Eine Woche später erfolgte die Auswertung der Klickraten.
Die Freischaltung der monatlichen eLearning-Einheiten startete dann versetzt zwei Wochen später per Mail, wodurch die Mitarbeitenden zu der Lernplattform CyberXperts gelangen und sich registrieren konnten. Ab diesem Zeitpunkt wurden monatlich eine simulierte Phishing-Mail und dazu versetzt monatliche Microlearnings freigeschaltet. Die Microlearning-Kurse basierten dabei auf den aktuellsten lehrwissenschaftlichen Erkenntnissen, die gemeinsam mit Lehrwissenschaftler:innen und Expert:innen erstellt wurden.
Alle sechs Monate nehmen die Projektleiter:innen eine Review vor. Dabei werden die Ergebnisse und Themen der Microlearnings mit den Klickraten der Phishing-Mails besprochen, um mehr über das Nutzungsverhalten der Belegschaft zu erfahren und die kommenden eLearnings besser darauf anzupassen.
Projektergebnis
Die Einladung zu den Microlearnings erhalten die Mitarbeitenden monatlich per Mail zugeschickt, die sie auf die Plattform der CyberXperts-Academy weiterleitet. Diese nehmen nicht länger als 7-12 Minuten Lernzeit ein und lassen sich daher sehr leicht in den Arbeitsalltag integrieren. Als verpflichtende Lerneinheit haben die Mitarbeiten 4 Wochen Zeit, diese zu bearbeiten, wobei der erfolgreiche Abschluss Voraussetzung für den Zugang zu den folgenden Lerneinheiten ist. In den Microlearnings werden vielfältige Themenfelder rund um Cyber-Sicherheit behandelt, von Fehlern im Home Office über sichere Passwörter bis hin zu Datenschutzpannen und KI-Angriffen. Die kurzen Kurse verwenden abwechslungsreiche Methoden wie gamifizierte Quizzes, animierte Videos, Expert:innen-Clips und andere interaktive Lernaufgaben, um eine lebendige und abwechslungsreiche Lernumgebung zu schaffen. Hierbei steht neben der praxisnahen Vermittlung der Inhalte vor allem der Spaßfaktor im Vordergrund, der ein nachhaltiges und positives Lernerlebnis begünstigen soll.
In Ergänzung an die monatlichen thematischen Microlearnings besteht der zweite, praxisorientierte Baustein des Trainings aus Phishing-Simulationen, die ebenfalls in einem monatlichen Rhythmus erscheinen. Die Mails sind ungefährlich und dienen lediglich Schulungszwecken auf einer realistischen Basis. Sobald die Mitarbeitenden die vermeintlich gefährliche Mail öffnen, werden sie zur hinterlegten situativen Lernseite geführt, die sie über ihr falsches Verhalten aufklärt. Durch die Übung in der Praxis gelingt es den Mitarbeitenden leichter, im Ernstfall Phishing-Angriffe leichter zu erkennen und angemessen zu reagieren. Mithilfe des Trackings erhalten die Projektverantwortlichen darüber hinaus einen unverfälschten Eindruck, wie sicher die Belegschaft speziell im Umgang mit Phishing-Mails schon ist.
Bislang ist die neue eLearning-Maßnahme zum Thema Cyber-Security ein voller Erfolg: Dieses geht zum einen aus der hohen Teilnahmequote der monatlichen Mircolearnings und zum anderen aus den sinkenden Klickraten bei den simulierten Phishing Mails hervor, was einen hohen Lerntransfer nahelegt.
Fazit
Mit dem Konzept monatlicher Microlearnings in Verknüpfung mit simulierten Phishing-Mails wird bei der GEMAC maßgeblich dazu beigetragen, die Sicherheitskultur sichtbarer zu gestalten und zu erhöhen. Die realistischen Angriffssimulationen bereiten die Belegschaft optimal auf den Ernstfall im täglichen Leben vor, wodurch sie lernen, Angriffe besser zu identifizieren und angemessen zu reagieren. Durch die Regelmäßigkeit der Lerneinheiten bleibt das Thema Cyber Security ein präsentes Thema innerhalb der Belegschaft und trägt auf diesem Weg zu einem sichereren Arbeitsumfeld bei. Die Simulationen machen das Thema nahbar und greifbar, simulieren die tatsächliche Gefahr und sorgen so für einen maximalen Lerneffekt, der sogar in einem eng getakteten Arbeitsalltag stattfinden kann. Für diesen innovativen und praxisverbundenen Ansatz hat sich die Jury entschieden, das Gemeinschaftsprojekt von CyberXperts und der GEMAC mit dem eLearning AWARD 2024 in der Kategorie „Cyber Security“ auszuzeichnen. Gratulation!
Vorgaben und Besonderheiten:
Vorgaben:
Um die Awareness für Cyber Security Themen in der Belegschaft der GEMAC zu steigern, sollte in Zusammenarbeit der GEMAC und CyberXperts ein zweiteiliges, praxisnahes eTraining durchgeführt werden, das sich leicht in den Arbeitsalltag integrieren lässt. Dieses setzt sich aus monatlichen Microlearning- Einheiten sowie täuschend echt simulierten Phishing-Mails zusammen, die vor allem einen hohen Praxistransfer sicherstellen.
Besonderheiten:
Die monatlichen „Phishing“-Mails, die CyberXperts an die Belegschaft sendet, wirken wie authentische Cyber-Angriffe . In Wirklichkeit handelt es sich jedoch um eine Simulation, die dann zu einer entsprechenden Lernseite mit Warnhinweisen führt. Durch das Tracking kann anonymisiert beobachtet werden, wo bei den Mitarbeitenden noch Lernbedarf im Bereich Cyber Security besteht.
Projektverantwortliche:
GEMAC Chemnitz GmbH
Peter Laux
Leiter IT
GEMAC Chemnitz GmbH
Zwickauer Straße 227
D-09116 Chemnitz
skillsforwork | CyberXperts
CyberXperts-Team
CyberXperts powered by skillsforwork – ein Unternehmensbereich der VNR Verlag für die Deutsche Wirtschaft AG
Theodor-Heuss-Straße 2-4
D-53177 Bonn
