Einfallstore für Angreifer sind oftmals nicht technische Schwachstellen in Systemen, sondern Unachtsamkeit oder Unwissenheit von Mitarbeitenden. Diesem Risikofaktor will die Axept Business Software AG entschieden entgegentreten.
Mit der e3 AG hat die Axept einen Partner gefunden, der sie im Bereich der Cyber Security Awareness kompetent unterstützt. Mittlerweile wurden bereits zwei gemeinsame Projekte erfolgreich abgeschlossen und eine weitere Zusammenarbeit wird angestrebt.

Herausforderungen

• Umgehung Spam-Filter
• Mitarbeitende mit unterschiedlichen IT-Kenntnissen ansprechen

Resultate

• Erhöhtes Sicherheitsbewusstsein bei den Mitarbeitenden
• Ganzheitlicher IT-Security-Approach

In den letzten Jahren haben sich Cyber-Attacken massiv gehäuft. Die zunehmende Digitalisierung und Vernetzung eröffnet Cyber-Kriminellen unzählige neue Angriffsvektoren. Gerade auch Arbeiten, welche jede(r) von uns täglich ausführt, bergen grosse Risiken. Diesen Gefahren will die Axept Business Software AG entgegenwirken und hat sich dazu entschieden, ihre Belegschaft in den Themen der Cyber Security Awareness auszubilden. Bei diesem Vorhaben durfte die e3 AG die Axept mit ihrer Expertise unterstützen. Die gemeinsamen Projekte waren jeweils zweigeteilt. Neben der eigentlichen Schulung – welche den zweiten Teil des Projektes bildete – war jeweils auch eine Phishing-Simulation Teil des Vorhabens. Diese Kombination bot der Axept einen ganzheitlichen Ansatz zur Verbesserung des Sicherheitsbewusstseins der Belegschaft.

Phishing-Simulation

Der erste Schritt der Awareness Kampagne war die Durchführung einer Phishing-Simulation mit der Belegschaft. Dabei wurde gemeinsam mit der Axept jeweils ein individualisiertes Szenario entworfen. Es wurde in beiden Projekten ein massgeschneidertes Message-Template (Phishing-Mail), eine individualisierte Landing-Page (Login-Seite) und eine Account-Page (wird nach dem Login angezeigt) erstellt.
Alle Mitarbeitenden erhielten anschliessend eine Mail mit einem individuellen Link auf die Landing-Page, womit das Klick-Verhalten der Empfänger aufgezeichnet wurde.
Nach Abschluss der Phishing-Simulationen wurden detaillierte Auswertungsberichte mit den jeweiligen Resultaten der Kampagnen angefertigt. Diese Berichte enthielten zudem auch wichtige Erkenntnisse und Massnahmen zum Verbesserungspotential im Bereich der IT-Sicherheit. Zusätzlich zum Auswertungsbericht ist ein Management-Briefing im Angebot der e3 AG enthalten. Dabei wurde zuhanden der Axept-Geschäftsleitung ein Foliensatz angefertigt, welcher die Resultate, Erkenntnisse und empfohlenen Massnahmen managementgerecht aufbereitet. Die Resultate der Phishing-Simulation und die Erkenntnisse aus dem Auswertungsbericht bildeten die Grundlage für die darauffolgende Awareness-Schulung.

Awareness-Schulung

Nachdem mit der Phishing-Simulation eine Übersicht gewonnen werden konnte, wie hoch das Bewusstsein für die Gefahren von E-Mails innerhalb der Belegschaft ist, wurde eine individualisierte Awareness-Schulung erstellt und durchgeführt.
Der Fokus lag dabei auf den Themen Passwörter, Nutzung von Cloud, E-Mail, sicheres Surfen und Home-Office. Die Inhalte der Schulung wurden bewusst leicht verständlich erläutert, damit auch Leute ohne IT-Background problemlos folgen können. So wurden den Mitarbeitenden einfache Tipps & Tricks vermittelt, welche Sie direkt in der täglichen Arbeit beachten und umsetzen können. Somit tragen sie essenziell zu einer verbesserten IT-Sicherheit der Axept bei.
Das Angebot wurde mit einem Flyer abgerundet. Dieser beschreibt kurz und knackig die wichtigsten Punkte der Cyber Security Awareness und wurde den Mitarbeitenden der Axept zur Verfügung gestellt.

Fazit

Die Schaffung eines Sicherheitsbewussteins im Umgang mit IT-Mitteln bei den Mitarbeitenden ist ein zentraler Bestandteil einer ganzheitlichen Sicherheitsstrategie. Mit gezielten Massnahmen kann dabei bereits mit kleinen Investitionen eine markante Verbesserung erzielt werden. Die e3 AG ist stolz darauf, die Axept Business Software AG bei seinen Bestrebungen nach nachhaltiger und ganzheitlicher IT-Sicherheit unterstützen zu dürfen.