Versicherungsbetriebe > Security

09.08.2017 von Matthias Hohn, Mitarbeiter Unternehmenskommunikation Konzern VKB

Die IT-Sicherheit im Konzern VKB geht vom Anwender aus

Hans Georg Petzi vergleicht das Internet gerne mit dem Meer: Es ist riesig und unkontrollierbar. Schiffe, die sich hinauswagen, müssen mit Stürmen fertig werden und Untiefen ausweichen. Dafür brauchen sie eine aufmerksame Besatzung, denn ein Loch im Rumpf kann das Schiff versenken.

Die Kampagne sensibilisiert in drei wiederkehrenden Phasen zum sicheren Verhalten

Petzi arbeitet für den Konzern VKB und bekommt als Maklerbetreuer täglich ­Dutzende Mails. Darunter befinden sich immer wieder auch SPAM- und Phishing-Mails, die aussehen als hätte ein Makler sie geschickt, obwohl sie in Wahrheit Schadsoftware enthalten. Petzi könnte mit einem unbedachten Klick großes Chaos auslösen. Doch wenn er etwas Verdächtiges in seinem Posteingang findet, greift er zum Hörer. „Ich habe hier eine Mail mit Anhang, den ich gerne öffnen würde. Aber ich kenne den Absender nicht. Können Sie sich das ansehen?“ Ein paar Minuten später bekommt er von der IT-Sicherheit Rückmeldung wegen der potenziellen Gefahr durch den Anhang und in den meisten Fällen kann dann die Arbeit weitergehen.

Cyberangriffe zielen auf den Menschen

„Heutzutage haben mehr als 90 Prozent aller Cyberangriffe eine Social Engineering-Komponente“, sagt Roland Ritthaler, Experte für Datenschutz und Informationssicherheit im Konzern VKB. „Unsere technologischen Verteidigungssysteme sind so ausgereift, dass Hacker Hilfe brauchen, um an Daten zu gelangen.“ Also beispielsweise einen Mitarbeiter, der einen infizierten Anhang öffnet. Selbst die beste Firewall ist machtlos gegen den Faktor Mensch. „Wir können nicht zu 100 Prozent ausschließen, dass Mitarbeiter bedenkliche Anhänge öffnen, aber wir können sie schulen und sensibilisieren, sodass die Wahrscheinlichkeit, sich einen Virus einzufangen, erheblich reduziert wird“, sagt Ritthaler.

Im Konzern VKB wird IT-Sicherheit groß geschrieben. Silke Lammers, Abteilungsleiterin aus dem Riskmanagement, hält sich selbst und ihre Mitarbeiter stets auf dem neuesten Stand und nutzt ­Schulungsangebote und Fortbildungen des Konzerns. „Durch meine Arbeit im Riskmanagement habe ich ein gutes Gefühl für Risiken und möchte Schäden verhindern“, erklärt sie. „Deshalb bleibe ich am Ball, was IT-Sicherheit angeht und ermuntere auch meine Mitarbeiter dazu.“

Awareness-Kampagne ganz nah an der Praxis

So sieht der Idealfall aus. Für Ritthaler sind aufmerksame Mitarbeiter eine wichtige Verteidigungslinie gegen Cyberattacken. Er kümmert sich seit mittlerweile zehn Jahren um die Awareness-Kampagne im Konzern VKB, die Mitarbeiter gezielt sensibilisiert. „Wenn man die großen Angriffswellen betrachtet, hatten wir ­früher immer einige PCs, die infiziert ­waren. WannaCry hat es auf keinen einzigen unserer Rechner geschafft und das macht mich stolz auf die Mitarbeiter des Konzerns.“ Kollegen, die sich bei der ­Anwenderhilfe oder direkt bei der Informationssicherheit melden, wenn sie ­etwas Verdächtiges entdecken, sind der beste Schutz. Damit jeder Mitarbeiter im Konzern Teil der ersten Schutzwand ist, braucht es eine Kampagne mit systema­tischer Planung und kontinuierlicher ­Verbesserung.

Selbst im Zeitalter der Digitalisierung steht also der Mensch im Zentrum. Ritthaler weiß um die Bedeutung von Schulungen und Seminaren, allerdings muss er sich auch selbst zügeln. „Wir wandern auf einem schmalen Grat. Auf der einen Seite müssen unsere Kollegen wissen, was im Netz herumschwirrt und wie sie sich verhalten sollen. Auf der ­anderen Seite können wir nicht zu jedem neuen Virus eine Information veröffent­lichen.“ Die Awareness-Kampagne gibt den Mitarbeitern aber das Rüstzeug, um sich sicher in der digitalen Welt zu bewegen. Unter dem Motto „Vertrauen ist gut – Sicherheit ist besser!“ werden die internen Medien laufend bespielt. Im Awareness-Blog greifen die Autoren aktuelle Sicherheitsthemen auf und treten in den Dialog mit interessierten Mitarbeitern. Videos zeigen alltägliche Bürosituationen mit richtigem und falschem Verhalten und News-Serien geben Tipps und Tricks zur Sicherheit am Arbeitsplatz und am heimischen PC. Ob die langjährige Kampagne fruchtet, zeigen Testangriffe: Dabei versenden die Verantwortlichen für die IT-Sicherheit selbst Phishing-Mails und versuchen, die Mitarbeiter zur ­Herausgabe ihrer Passwörter zu bewegen. „Da hat man uns aus der Reserve gelockt und geprüft“, sagt Lammers und lacht. „Mich haben sie aber nicht erwischt!“ Ritthaler freut sich über das Ergebnis, denn die Arbeit trägt Früchte. „Unsere Mitarbeiter klicken längst nicht mehr auf jeden Anhang oder Link und sind sehr sensibel, was Mails angeht.“

Sicherheit durch Dialog

Mitarbeiter dürfen und sollen jederzeit eigene Tipps, Fragen oder Meinungen äußern und sich am Dialog über die ­Sicherheit beteiligen. Gefördert wird der Dialog auch über ein hausinternes Seminar, das für Führungskräfte obligatorisch, aber auch für die Mitarbeiter offen ist. Dazu gibt es regelmäßig wechselnde Poster und Flyer und ein Web Based Training zu Datenschutz & Informations­sicherheit, das für alle Mitarbeiter verpflichtend ist. Wer sich darüber hinaus fortbilden möchte, kann eine der regelmäßigen Veranstaltungen besuchen. Auf Live-Hacking-Events erklären Experten die Funktionsweise von Trojanern und zeigen, wie Hacker vorgehen.

Lammers ist für dieses Angebot sehr dankbar. „Ich war früher ein wenig lasch bei der Wahl meiner Passwörter. Dann habe ich dieses Seminar besucht und live miterlebt, wie einfach schlechte Passwörter geknackt werden können. Seitdem verwende ich nur noch extrem ­sichere Kombinationen aus Zahlen, Buchstaben und Sonderzeichen.“ Weil sie von dieser Vorführung derart beeindruckt war, hat sie all ihre Mitarbeiter davon überzeugt und so ihr Wissen in den Konzern getragen.

Ritthaler arbeitet unermüdlich daran, dass sich die Awareness-Kampagne ­immer weiter ausbreitet. Für ihn geht es darum, den Mitarbeitern zu zeigen, dass der Schutz der eigenen Daten, des eigenen PCs oder auch des eigenen Unternehmens immens wichtig ist. „Wir sind von unserer IT so abhängig, dass wir es uns nicht erlauben können, sie ungeschützt zu lassen. Das betrifft aber nicht nur unser Unternehmen, sondern die gesamte Gesellschaft.“ Hans Georg Petzi nimmt diesen Rat ernst und achtet darauf, Mails an Externe stets zu verschlüsseln. Makler können seine Mails nur dann öffnen, wenn sie dazu berechtigt sind. Das ist zwar manchmal umständlich, aber notwendig. „Immerhin geht es hier um die Sicherheit meines Unternehmens und der Kundendaten und die liegt mir am Herzen.“