Home > Referenzen > Security Bewusstsein der Mitarbeiter: Entschuldigung, gehören Sie zu uns?

Security Bewusstsein der Mitarbeiter: Entschuldigung, gehören Sie zu uns?

Die CENTOGENE ist ein weltweit führendes Unternehmen, welches biologische und klinische Daten zur Klärung medizinischer Fragestellungen von Patienten, Ärzten und pharmazeutischen Unternehmen einsetzt. Mit Hilfe der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA startete das Diagnostiklabor eine Kampagne zum Erkennen und Abwehren feindlicher Angriffsversuche. In den Bereichen „unbefugter Gebäudezutritt“, „Umgang mit kompromittierenden E-Mails“ und „Umgang mit fremder/gefundener Hardware“ wurden die Mitarbeiter von den „Angreifern“ der TÜV TRUST IT auf Herz und Nieren geprüft und nachhaltig für die Bedeutung der einzelnen Person zur Informationssicherheit sensibilisiert.

Ausgangssituation

Die Gewährleistung von IT- und Datensicherheit ist ein Thema, das sich die TÜV TRUST IT auf die Fahnen geschrieben hat und das auch stark von dem Bewusstsein der Mitarbeiter eines Unternehmens abhängt. Dies wollte auch CENTOGENE weiter ausbauen und hat mit Hilfe der TÜV TRUST IT eine Security-Awareness-Kampagne ins Leben gerufen. Ziel dieser Awareness-Kampagne war es, das Bewusstsein der Mitarbeiter soweit zu sensibilisieren, dass Angriffsversuche über Social Engineering oder gezielte Phishing-Kampagnen frühzeitig erkannt und abgewehrt werden können.

Mit Erfolg: Durch die Awareness-Kampagne wurde die Wirksamkeit bisher durchgeführter Maßnahmen sowie das Sicherheitsbewusstsein der Mitarbeiter bei CENTOGENE auf einen strengen Prüfstand gestellt. Die daraus resultierende detaillierte Auswertung befähigt das Unternehmen künftig, zielgenauere Verbesserungsmaßnahmen zu etablieren, um das Sicherheitsniveau noch weiter zu erhöhen.

Vorgehensweise

Zum Projektstart definierten die TÜV TRUST IT und die CENTOGENE aus den mannigfaltigen Angriffsmöglichkeiten gemeinsam die entsprechenden Kampagnen-Module. Der Schwerpunkt lag dabei auf drei Hauptbereichen – unbefugter Gebäudezutritt, unbedachter Umgang mit USB-Sticks sowie unbedachter Umgang mit kompromittierenden E-Mails.

Um unbefugten Zugang zu einem Gebäude zu erlangen, haben die Consultants der TÜV TRUST IT sich verschiedener Ansätze bedient. Ob als Techniker verkleidet oder durch unauffälliges Begleiten von Mitarbeitergruppen nach der Mittagspause – Ziel war es stets, unbemerkt in die Räumlichkeiten einzudringen.

Des Weiteren wurden USB-Sticks, die mit dem Firmenlogo getarnt waren i vor dem Gebäude positioniert. Auf den USB-Sticks waren privat und geschäftlich anmutende Dateien gespeichert, darunter auch eine PDF-Datei mit der Bezeichnung „Gehaltsliste“. Durch die unbefugte Nutzung der USB-Sticks war es möglich, dass Userverhalten zu registrieren und daraus entsprechende Maßnahmen abzuleiten.

Ferner wurde der Umgang mit kompromittierenden E-Mails erprobt. Hierbei wurden unterschiedliche Phishing-Mails vorbereitet und versendet. Die E-Mails wurden in vier Stufen unterteilt. Bei jeder Stufe stieg der Grad der Individualisierung der Mails weiter an, sodass im Rahmen der anschließenden Auswertung die Awareness der einzelnen Unternehmensabteilungen zielgerichtet ausgewertet werden konnte.

Nutzen

Für Tobias Franz, Projektleiter bei der TÜV TRUST IT, ist das Projekt bei CENTOGENE ein sehr gutes Beispiel, wie eine Awareness-Kampagne im Unternehmen dazu beitragen kann, das Sicherheitsbewusstsein der Mitarbeiter gezielt zu erheben und an den relevanten Stellen konkret zu verbessern.

„Absolut positiv hervorzuheben ist nicht nur die Reaktionsgeschwindigkeit der IT und des IT-Sicherheitsbeauftragten, sondern auch die der Mitarbeiter selbst. Sie reagierten auf die simulierten Angriffe sehr schnell und haben uns die Angriffsversuche über Phishing-Mails nicht leichtgemacht. Die Mitarbeiter verfügen insgesamt über eine sehr gute Awareness, die natürlich auch weiterhin über Awareness-Trainings aufrechterhalten und erweitert werden sollte“, resümiert Franz.

Erfreulicherweise waren die Rückmeldungen der -zur Awareness-Kampagne durchweg positiv. Einige Mitarbeiter gaben an, dass sie sich vor der Awareness Kampagne der Wichtigkeit ihrer Person in Bezug auf Informationssicherheit nicht bewusst gewesen sind. Die Erfahrungen im Rahmen der Kampagne tragen dazu bei, sich nun sensibler zu verhalten und verdeutlichen die Wichtigkeit eines hohen Sicherheitsbewusstseins.

„Es freut mich zu sehen, dass durch unsere konzertierten Schulungen und Maßnahmen zur Datensicherheit, unsere Mitarbeiter den Test mit Bravour bestanden haben. Dieses Ergebnis unterstreicht zugleich die Notwendigkeit und Wirksamkeit unserer Schulungsmaßnahmen.“ – fasste, Herr Dr. Volkmar Weckesser, CIO von CENTOGENE, die Ergebnisse der Kampagne zusammen.