Victorinox ist ein globales Familienunternehmen mit Sitz in Ibach im Schweizer Kanton Schwyz. Die Traditionsmarke ist für das legendäre Original Schweizer Taschenmesser bekannt, stellt aber auch hochwertige Haushalts- und Berufsmesser, Uhren,Reisegepäck und Parfums her.
„Hoxhunt ist wirklich ein enormer Fortschritt für uns. In Zukunft werden wir es garantiert mit Fällen von Phishing, Social Engineering, CEO Fraud oder anderen ausgeklügelten Cyberangriffen zu tun haben. Deshalb ist es wichtig, dass User sich solcher Angriffe bewusst sind. Ich selbst habe das gute Gefühl, das System oder das Unternehmen vor einer Datenpanne schützen zu können, und bin mehr als beeindruckt von der Sicherheit, die Hoxhunt uns bietet.“
TOBIAS HAUSER,
HEAD OF INFORMATION SECURITY
BEI VICTORINOX
1897 patentierte Victorinox das Original Schweizer Taschenmesser. Seitdem konnte es sich als funktionales, hochwertiges, innovatives und ikonisches Werkzeug behaupten. Das Sortiment an Taschenmessern und Multitools umfasst derzeit über 400 Modelle mit bis zu 80 Funktionen. Dennoch bleibt das Schweizer Taschenmesser eine leichte und kompakte Lösung, die sich an verschiedenste Bedürfnisse anpasst.
Traditionelle Security-Awareness-Lösungen sind das genaue Gegenteil. Bei einem herkömmlichen Security-Training werden in der Regel ein oder zwei identische Phishing-Tests manuell an alle Mitarbeiter versendet. Die allermeisten Cyberattacken zielen auf menschliche Schwäche ab. Tobias Hauser, Head of Information Security bei Victorinox, hat sich gefragt, ob es nicht so etwas wie das „Schweizer Taschenmesser“ für Phishing- und Security-Trainings gibt.
Er suchte nach einer Trainingsplattform, die weit über die Compliance-Anforderungen hinaus das Sicherheitsverhalten von Nutzern nachhaltig verändert. Eine weitere Anforderung: Durch das Zusammenspiel zwischen geschulten Mitarbeitern und der IT-Sicherheit sollte letztlich auch die Erkennung von Cybergefahren optimiert werden.
Nur eine solche Lösung würde den Prinzipien des Original Schweizer Taschenmessers entsprechen.
Vor drei Jahren entschied sich Hauser, das Security-Awareness-Training bei Victorinox vollständig zu automatisieren. Seine bisherige Lösung basierte auf Vorlagen und hatte sich als unflexibel und umständlich erwiesen. Die Trainingssoftware des Schweizer Traditionsunternehmens war so ressourcenintensiv, dass das IT-Sicherheitsteam von Victorinox nur zwei bis drei Kampagnen im Jahr umsetzen konnten. Denn dazu mussten Hauser und sein Team:
„Die Umsetzung solcher Kampagnen war sehr aufwändig. Darum hielten wir Ausschau nach einer automatisierten Security-Awareness-Plattform“, sagt Hauser. „Wir sprachen mit einer Gruppe von Chief Information Security Officers (CISOs), die sich regelmäßig treffen, und viele davon nutzten Hoxhunt und konnten es empfehlen“.
Victorinox kontaktierte mehrere große Player wie KnowBe4 und Proofpoint, entschied sich aber letztlich für Hoxhunt, weil es mehr kann und einfacher zu bedienen ist. Die Plattform unterstützt alle acht Sprachen, die von der globalen Belegschaft von Victorinox gesprochen werden. Besonders beeindruckt war Hauser vom personalisierten Lernmodell, das die Trainingsinhalte automatisch an Position, Standort und Kenntnisstand des einzelnen Mitarbeiters anpasst.
Hauser und sein Team führten zunächst einen Benchmark-Test mit fingierten Phishing-Mails durch, bei dem eine Fehlerquote von circa 25 % herauskam. Ein solches Ergebnis ist vor der Einführung von Hoxhunt zwar typisch. Dennoch waren Hauser und seine Kollegen alarmiert und nahmen sich vor, diese Quote drastisch zu senken. Denn normalerweise besteht ein Zusammenhang zwischen der Fehlerquote bei Phishing-Simulationen und dem Risiko von Datenpannen.
Mit Unterstützung des Customer Success-Teams von Hoxhunt und nach erfolgreichem Proof of Concept (POC) mit einem Dutzend Nutzern stellte Victorinox sein Phishing- und Awareness-Programm innerhalb von einem Monat auf die Beine – und schon nach wenigen Monaten war die Fehlerquote auf unter 5 % gesunken. Seitdem geht die Quote stetig zurück, obwohl die Teilnehmerrate steigt und auch das Schwierigkeitsniveau der simulierten Phishing-Attacken zunimmt.
Die Hoxhunt-Plattform erstellt einen Chief Experience Officer-(CXO)-Bericht, mit dem Performance- und Fortschrittsergebnisse bequem an die Geschäftsleitung berichtet werden können. Risikominderung ist das gemeinsame Ziel von Chief Information Security Officer und Vorstand – und tatsächlich zeugen die Performance-Kennzahlen von einer stetig sich verbessernden Risikolage bei Victorinox. Das hilft Hauser, eine Kultur der Sicherheit zu fördern und den Nutzen von Security Awareness und verändertem Nutzerverhalten an den Vorstand zu kommunizieren.
„Wir können dem Management nun zeigen, dass die Fehlerquote von über 20 % auf unter 5 % gesunken ist und es deshalb Sinn macht, in Sicherheit zu investieren, weil wir damit handfeste Ergebnisse und einen messbaren Return-on-Investment erzielen“.
Anhand der automatischen Auswertung der Nutzerperformance kann sich die IT-Sicherheit zudem ein Bild davon machen, welche Abteilungen, Nutzergruppen oder Mitarbeiter individuellen Schulungsbedarf haben, bzw. nachvollziehen, warum sie auf das Training anspringen.
Vor der Einführung von Hoxhunt wurde den Mitarbeitern von Victorinox geraten, verdächtige E-Mails zu löschen. Nun ist das Personal angewiesen, solche Mails zu melden –aus Sicht von Tobias Hauser ein Gamechanger.
Bei Hoxhunt spielt der Melde-Button eine zentrale Rolle. Dieses Designprinzip basiert auf Erkenntnissen der Verhaltensforschung, z. B. dem Fogg Behavior Model der Stanford Universität. Demnach entstehen dauerhafte Security-Gewohnheiten durch konstantes wirklichkeitsgetreues Training, das gutes Verhalten belohnt und schlechtes „wegcoacht“.
Diese Gewohnheiten setzten sich dank der „Instant Feedback“-Funktion sogar bei der Erkennung realer Gefahren durch. Wenn ein Mitarbeiter außerhalb des Hoxhunt-Trainingsprogramms eine verdächtige E-Mail meldet, wertet die Hoxhunt-KI diese sofort aus, um festzustellen, ob es sich um Spam, eine seriöse E-Mail oder eine Phishing-Attacke handelt. Für eine gemeldete Schadmail erhält der Mitarbeiter eine digitale Belohnung. Geschieht die Meldung verdächtiger E-Mails erst einmal reflexartig, entdecken Mitarbeiter regelmäßig echte Phishing-Attacken, die durch die technischen Kontrollen rutschen. Die Entdeckung einer realen Bedrohung mindert unmittelbar das Risiko, da Phishing-Mails in Echtzeit zurückgehalten und aus dem System gelöscht werden.
Durch Einbindung der Mitarbeiter in die Security-Tools hat Hoxhunt Victorinox dabei geholfen, die menschliche Firewall zu stärken und die Fähigkeiten der IT-Sicherheit zur Erkennung und Abwehr von Cyberangriffen zu erweitern.
„Dank dem Hoxhunt Melde-Button haben wir einen Überblick darüber, welche Arten von Phishing-Mails sich im System befinden“, sagt Hauser. „Vorher wussten wir gar nicht, was für Spam- und Phishing-Mails unsere Nutzer bekamen. Zwar schulten wir die Mitarbeiter, verdächtige Mails zu löschen. Doch Hoxhunt ist ein Gamechanger, weil wir die Belegschaft nun anweisen, alle verdächtigen E-Mails zu melden. So werden echte Phishing-Kampagnen für uns sichtbar und wir können reagieren, indem wir beispielsweise URLs und IP-Adressen blockieren und blacklisten.“
Hoxhunt ist so flexibel, dass das Security-Team potenzielle Probleme vorwegnehmen kann. So hat Ramon Schnüriger von der IT-Sicherheit einmal bemerkt, dass User eine interne E-Mail als verdächtig meldeten, weil sie einer Phishing-Mail ähnelte. Sofort erstellte er eine Feedback-Regel auf der Hoxhunt-Plattform, damit solche E-Mails künftig automatisch als sicher eingestuft werden. Obwohl über 500 Mitarbeitende diese E-Mail als potenzielle Spam- oder Phishing-Mail gemeldet hatten, wurde sie durch die Feedback-Regel in Hoxhunt als sicher markiert. Diese Funktion gewährleistete nicht nur die betriebliche Kontinuität und verhinderte eine zusätzliche Belastung des Security-Teams und Servicedesks durch die Bearbeitung der gemeldeten Vorfälle – auch die positive Wirkung von Hoxhunt auf die Sicherheitskultur trat zutage.
„Dieser Vorfall zeigte, dass die Mitarbeiter Hoxhunt kennen und nutzen“, sagt Schnüriger. „Die Leute sind sich der Cyber-Gefahren viel bewusster. Sie wissen, wie einfach es ist, den Hoxhunt-Button zu nutzen, und melden lieber eine E-Mail zu viel als zu wenig. Tatsächlich sagen wir ihnen, dass es besser ist, eine Mail fälschlicherweise als verdächtig zu melden als einen Phishing-Link anzuklicken.“
Tobias Hauser hat festgestellt, dass Hoxhunt unter Vorstandsmitgliedern und Mitarbeitern sehr beliebt ist. Bei der letzten „Lunch and Learn“-Session zum Thema Cybersicherheit war er positiv überrascht, wie viele motivierte Mitarbeiter daran teilnahmen, um sich in dem Bereich fortzubilden. Viele lobten das Security-Awareness-Training.
„Ich kann mit Sicherheit sagen, dass unsere Nutzerinnen und Nutzer dank Hoxhunt sehr gut geschult sind und ihre Funktion als menschliche Firewall erfüllen. Dies hilft enorm, die Sicherheit des gesamten Unternehmens zu verbessern“.
Vor allem ist Hoxhunt darauf ausgelegt, sich an die ständig sich verändernde Bedrohungslage anzupassen.
„Hoxhunt ist wirklich ein enormer Fortschritt für uns. In Zukunft werden wir es garantiert mit Fällen von Phishing, Social Engineering, CEO Fraud oder anderen ausgeklügelten Cyberangriffen zu tun haben. Deshalb ist es wichtig, dass User sich solcher Angriffe bewusst sind. Ich selbst habe das gute Gefühl, das System oder das Unternehmen vor einer Datenpanne schützen zu können, und bin mehr als beeindruckt von der Sicherheit, die Hoxhunt uns bietet.“
