Branche: IT-Dienstleistungen und -Beratung
Sitz: Lausanne, Schweiz
Anzahl der Mitarbeitenden mit Zugriff auf das IT-System: circa 240
„Unsere Verteidigungslinien sind immer nur so stark wie das schwächste Glied. Deshalb haben wir uns entschieden, alle unsere Mitarbeitenden zu schulen und zu testen. Mit dem Self-Service-Ansatz von Hoxhunt konnten wir dieses Ziel erreichen und dafür sorgen, dass unsere Mitarbeiter eine Mauer um unsere Systeme bauen, anstatt Fenster und Türen weit zu öffnen."
Pierre Guiol, Geschäftsführer von Publishing Factory
AutomatischesSecurity-Awareness- und Phishing-Training auf Managementebene
Publishing Factory führt alle zwei Jahre einSecurity-Audit durch und entschied sich 2018, seinen Sicherheitsstatus zuoptimieren. Als Anbieter digitaler Services hat das Unternehmen einen Blick fürerstklassige automatisierte Plattformdienste und war sofort von Hoxhuntbegeistert. Die Anforderungen und Ziele des Security-Programms waren jedochdurchaus ambitioniert:
Aus zwei Gründen fiel die Wahl auf Hoxhunt: zum einen, weil es die grundlegenden Anforderungen erfüllte, und zum anderen, weil es einen innovativen Ansatz der Änderung des Nutzerverhaltens via Automatisierung und Gamification bietet. Publishing Factory möchte im Bereich der digitalen Dienste stets einen Schritt voraus sein und weiß diese Features daher zu schätzen.
„Wir hatten mehrere Optionen auf dem Tisch und haben uns schließlich für Hoxhunt entschieden. Ein Jahr später kann ich sagen, dass wir nicht nur sehr zufrieden mit dem sind, was wir ursprünglich eingekauft haben, sondern auch mit dem, was wir noch dazubekommen haben. Ständig sind neue Funktionen verfügbar. So haben wir uns zusätzlich zum Phishing-Training noch für das Security-Awareness-Training angemeldet. Die Qualität der Simulationen und all der Phishing-Tests auf Grundniveau ist ausgezeichnet und wir werden zusätzlich den ‚Spicy Mode‘ aktivieren, um das Training noch schwieriger zu gestalten“. -- Pierre Guiol, Geschäftsführer von Publishing Factory
Die Resultate des Security-Programms von Publishing Factory können sich sehen lassen: Teilt man die Teilnehmerrate von 93,5 % durch die Fehlerquote von 2 %, kommt das Unternehmen auf einen eindrucksvollen Resilienz-Score von 46,75. Die meisten Unternehmen freuen sich über eine 10 und streben einen Score von 12 an. Einige wenige erreichen 20, doch 46,75 ist herausragend.
Diese Ergebnisse sind auch deshalb so beeindruckend, weil Publishing Factory das Programm weitgehend selbst betreut. Das Unternehmen hat sich nämlich für ein automatisches Phishing-Trainingspaket mit begrenztem Kundensupport entschieden.
„Die Qualität der Phishing-Simulationen ist ausgezeichnet und ich finde es wunderbar, dass unterschiedliche Mails zu verschiedenen Zeiten an verschiedene Personen geschickt werden“, sagt Pierre Guiol. „Dadurch steigt das Sicherheitsbewusstsein der Mitarbeiter. Am besten gefällt mir jedoch, dass das Training automatisiert ist. Der administrative Aufwand ist entsprechend gering. Ich werde nur involviert, wenn sich jemand weigert, sein Verhalten zu ändern.“
Doch allein auf eine SaaS-Security-Awareness-Plattform lassen sich diese Erfolge nicht zurückführen. Daher drängt sich die Frage auf:
Wie hat Publishing Factory das geschafft?
Zunächst einmal hat das Unternehmen die IT-Sicherheit zur Priorität gemacht. Dies begann damit, dass der Geschäftsführer Pierre Guiol gemeinsam mit Technical Project Manager Sara Jiminez die Programmleitung übernahm. Gemeinsam kommunizierten die beiden ihren Kolleginnen und Kollegen von oben nach unten, dass Sicherheit eine entscheidende Funktion im Unternehmen erfüllt und vor allem eine gemeinsame Verantwortung ist.
„Die meisten denken erst über Cybersicherheit nach, wenn sie konstant darin geschult werden“, erklärt Sara Jiminez. „Nach einer eintägigen Schulung machen sie einfach einen Haken dahinter und verhalten sich weiter wie bisher“.
Weisen die Hoxhunt Performance-Ergebnisse darauf hin, dass ein Teammitglied im Training zurückfällt oder ein wenig Unterstützung gebrauchen könnte, sucht einer der beiden das persönliche Gespräch, um den hohen Wert von Sicherheit noch einmal zu betonen – und davon ist niemand ausgenommen.
„Ich persönlich sprach mit allen Managern des Unternehmens und bat sie, am Training teilzunehmen. Denn sie sind die wichtigsten Leute im Unternehmen – für uns, aber auch für die Angreifer“, sagt Guiol. „Wenn sie nicht am Training teilnehmen, bringt es auch nichts, alle anderen im Unternehmen schützen zu wollen, denn die Manager sind das Eintrittstor ins Unternehmen. Das wäre so, als würde man einen unbewachten Banktresor offen lassen“.
Publishing Factory legt den Schwerpunkt auf die Teilnehmerrate. Von Anfang an lautete das Ziel, dass ausnahmslos alle Mitarbeiter am Training teilnehmen. Denn das ist die beste Methode, um das Sicherheitsverhalten von Nutzern zu verändern. Die meisten Security-Awareness-Tools und -Programme sind auf die Fehlerquote ausgerichtet. Diese misst, wie häufig Mitarbeiter auf eine fingierte Phishing-Mail klicken und somit durchfallen. Dieser einseitige Fokus auf fehlerhaftes Verhalten berücksichtigt jedoch nicht, wie viele Mitarbeiter am Security-Training teilnehmen und Phishing-Simulationen oder reale Angriffe erkennen und über den Hoxhunt Reporting-Button melden.
Publishing Factory hat gelernt, diese Denkweise zu überwinden. So legte Sara Jiminez eine Phishing-Simulation zu Google Ads genau in die Zeit, als der entsprechende Mitarbeiter gerade mit dem Anzeigendienst arbeitete. Er geriet in Panik und obwohl er die E-Mail letztlich mit dem Hoxhunt-Button als verdächtig meldete, fragte er Jiminez: „Will Hoxhunt, dass ich einen Herzinfarkt kriege?“.
Für Geschäftsführer Guiol lässt sich aus diesem Beispiel der eindeutige Nutzen eines solchen Trainings ableiten. Tatsächlich hat sich Publishing Factory für das Hoxhunt „Spicy Mode“-Training angemeldet. In diesem Modus sind die Phishing-Attacke gezielter auf den einzelnen Nutzer zugeschnitten, um ein höheres Niveau des Social Engineering zu simulieren.
Genau darauf kommt es an: Die Leute an ihren größten Schwachstellen zu erreichen“, sagt Guiol. „Es spielt keine Rolle, ob jemand Fehler macht – je schwieriger das Training, desto besser“.
Wer sich einseitig auf Fehlverhalten konzentriert, produziert Fehler. Entscheidend ist, dass Nutzer lernen, verdächtige Mails zu erkennen und zu melden, bis es ihnen schließlich in Fleisch und Blut übergeht.
„Fehler gehören zum Training dazu und sind Teil jedes Lernprozesses. Wer nur die Fehler und Risiken sieht, vergisst das Training dahinter. Das eigentliche Problem ist nicht die Fehlerquote, sondern wenn Mitarbeiter gar nicht geschult werden.“
