Mitarbeitende vor Social Engineering schützen, Kundendaten sicher aufbewahren und Cyberangriffe auf vernetzte Produktionsabläufe abwehren: EDELRID, der Spezialist für Kletterausrüstungen, aus dem Allgäu hat seine IT-Sicherheit ganzheitlich aufgebaut. Um Mitarbeitende auf bestehende Gefahren aus dem digitalen Raum vorzubereiten, setzt das Unternehmen auf Security Awareness Trainings von G DATA CyberDefense. [...]
EDELRID verwirklicht Ideen, die eine freie Bewegung in der vertikalen Welt ermöglichen, ob am Fels, in der Kletterhalle, in Bäumen oder an industriellen Strukturen. Seit über 150 Jahren entwickelt und produziert das traditionsreiche Unternehmen im Allgäu mehrere Millionen Meter Kletterseil pro Jahr und ist heute eine der modernsten Bergsportfirmen weltweit.
Das Thema Sicherheit besitzt bei dem Traditionsunternehmen höchste Aufmerksamkeit. Schließlich nehmen EDELRID-Produkte eine tragende Rolle bei den Kunden ein. Aber auch im Betrieb selbst steht das Thema an erster Stelle. Gerade die IT-Sicherheit hat in den letzten Jahren stetig an Bedeutung gewonnen: Zum einen muss die Firma ihr geistiges Eigentum wie Patente oder Produktideen schützen und zum anderen die Daten der Kunden vor externen Zugriff sicher aufbewahren. Auch die Produktion der Kletterseile und Kunststoffgewebe am Standort in Baden-Württemberg ist voll vernetzt, um insbesondere den bestehenden und zukünftigen Qualitätsprüfungsanforderungen gerecht zu werden. Jeder Meter Seil wird qualitätsmäßig dokumentiert, bevor er in den Handel oder zum Kunden geht. Hier gilt es also auch, Cyberattacken frühzeitig abzuwehren.
Aus Schaden klug werden
Aus eigener Erfahrung weiß das Unternehmen um die Gefahren einer Cyberattacke. So legte der Verschlüsselungstrojaner Locky das Unternehmen vor ein paar Jahren lahm. Dank einer guten IT-Sicherheitsstruktur und aktueller Backups war EDELRID aber nach kurzer Zeit wieder arbeitsfähig. Seit diesem Vorfall baut die Firma die IT-Sicherheitsarchitektur stetig aus und hat seit Ende 2021 einen festen Posten für die IT-Sicherheit im Budget eingeplant. „Wer an dem Ende spart, hat eigentlich schon verloren“, sagt Dominik Gätje, IT-Admin und IT-Sicherheitsbeauftragter bei EDELRID. „IT-Sicherheit heißt bei uns: Kundendaten schützen, Patente sicher aufbewahren, die Produktion am Laufen halten und vor Manipulation bewahren. Daher müssen wir auch die Mitarbeitenden als Know-how-Träger vor Social-Engineering-Angriffen schützen.“ Dass gute IT-Sicherheitstechnologien nur einen guten Basisschutz bieten, aber mehr Maßnahmen zur Absicherung nötig sind, zeigte sich im vergangenen Jahr: Ein glimpflich verlaufender CEO-Fraud-Versuch öffnete den Verantwortlichen die Augen und veranlasste sie, aktiv zu werden.
Phishing-Simulation offenbart Lücken in der Cyberabwehr
Vor diesem Hintergrund entschied sich EDELRID, das Wissen der Mitarbeiterschaft mit einer Phishing Simulation auf die Probe zu stellen. Dafür arbeitete das Traditionsunternehmen mit G DATA CyberDefense zusammen. Innerhalb von vier Wochen verschickten die IT-Spezialisten aus Bochum an alle Mitarbeitenden potenzielle Phishing-Mails. Der abschließende Management-Report offenbarte große Wissenslücken auf Seiten der Mitarbeiterschaft – und damit einhergehend entsprechenden Handlungsbedarf. Immer wieder hatten Angestellte falsche Links angeklickt, ihre Zugangsdaten auf gefälschten Webseiten eingegeben oder Dateianhänge geöffnet, die Schadsoftware hätte enthalten können. EDELRID handelte umgehend und führte eine verpflichtende Sicherheitsschulung für alle Mitarbeitenden via Teams durch. Dabei präsentierte der IT-Sicherheitsbeauftragte die Ergebnisse der Simulation und verdeutlichte die Notwendigkeit, bei der IT-Sicherheit genauer hinzuschauen. „Im Nachgang der Schulungen, haben wir erkannt, dass viele Mitarbeitenden sich scheuen, Fehlverhalten zu melden – aus Angst vor Konsequenzen“, sagt Dominik Gätje. „Dabei sind Fehler menschlich und können passieren. Wissentlich oder unwissentlich klicken Angestellte Phishing-Mails an. Solche Fehler oder Verdachtsfälle nicht zu melden, ist das Schlimmste, was man machen kann.“
Mitarbeitenden Sicherheit geben
Allerdings war allen Verantwortlichen klar, dass nur regelmäßige Schulungen das Bewusstsein für Cyberrisiken langfristig verbessern. Die eigentliche Idee, Inhouse-Schulungen mit verpflichtender Teilnahme anzubieten, wurde schnell verworfen. Der Grund: Teilnehmende erinnern sich direkt nach der Schulung maximal an 20 Prozent der Inhalte, nach vier Wochen nur noch an fünf Prozent. Um das Thema nachhaltig in der Belegschaft zu etablieren, entschied sich EDELRID dafür, Security Awareness Trainings einzuführen. Nach einer kurzen Marktanalyse fiel die Wahl auf die G DATA academy. Überzeugt hat die Lösung durch ihren modularen Aufbau sowie die Möglichkeit, die Trainings jederzeit und auch auf mobilen Geräten zu absolvieren. Ein weiterer Vorteil: Die Zertifikate nach erfolgreich abgeschlossenen Trainingseinheiten.
„Wir haben uns ganz bewusst für einen Anbieter aus Deutschland entschieden“, sagt Dominik Gätje. „Wir hatten von Anfang an den Eindruck, dass beide Unternehmen eine vergleichbare Firmenkultur haben. Das verbindet. Was mich persönlich noch überzeugt hat, ist die Zusammenarbeit von G DATA mit Morpheus, dem IT-Blogger. Seine Videos und Podcast sind sehr authentisch.“
Für jedes Lernlevel ein passendes Lernprogramm
Seit Januar 2022 stehen die Sicherheitsschulungen allen Mitarbeitenden zur Verfügung. Die technische Integration des Learning Management Systems verlief reibungslos. EDELRID hatte die Vorgaben des G DATA Supports umgesetzt, sodass die Plattform bereits nach zwanzig Minuten einsatzbereit war. Auch die Möglichkeit der SAML-Authentifizierung sorgte für eine schnelle Umsetzung. Der Umfang der Trainings ist nach verschiedenen Gruppen gestaffelt. So absolvieren normale Angestellte 18 Kurse mit IT-Sicherheitsgrundlagen, während Abteilungs- und Teamleiter sowie die Geschäftsführung 31 Kurse durchlaufen. Die IT-Mitarbeitenden müssen sogar das Komplettpaket mit 33 Kursen bewältigen.
Die ersten Rückmeldungen fallen positiv aus. So haben bereits alle Abteilungsleiter die Basiskurse durchlaufen. Der didaktische Aufbau sorgt mit abwechslungsreichen Methoden für nachhaltiges Lernen. Ein weiterer Pluspunkt: Die Mehrsprachigkeit der Trainings. So können Angestellte die Schulungen in ihrer Muttersprache absolvieren, sodass sie die Details besser nachvollziehen können. Schließlich sit EDELRID ist ein international aufgestelltes, offenes, multikulturelles und damit auch mehrsprachiges Unternehmen.
„Die Awareness Trainings bieten unseren Angestellten auch privat einen großen Nutzen“, sagt Dominik Gätje. „Durch die Schulungen verbessern sie insgesamt ihre Medienkompetenz. Ein Thema, das auch im privaten Umfeld eine hohe Relevanz hat.“
Nach sechs Monaten hat sich das Unternehmen entschieden, die Trainingsumfänge zu reduzieren, um die Mitarbeitenden inhaltlich nicht zu überfordern. Jetzt sind für jede Mitarbeiterin und jeden Mitarbeiter acht Kurse verpflichtend. Wer mobil arbeiten möchte, muss zuerst die fünf Basis-Kurse absolvieren. Die restlichen Kurse sind je nach Tätigkeit und Position verpflichtend oder „Nice to Have“.
Dank des G DATA Supports ließen sich die Lehrpläne innerhalb kürzester Zeit umstellen — zur vollsten Zufriedenheit von EDELRID.
Be the first to comment