Security-Awareness-Trainings: Wie Edelrid das Sicherheitsbewusstsein der Mitarbeiter verbessert

Edelrid verwirklicht Ideen, die eine freie Bewegung in der vertikalen Welt ermöglichen, ob am Fels, in der Kletterhalle, in Bäumen oder an industriellen Strukturen. Seit über 150 Jahren entwickelt und produziert das traditionsreiche Unternehmen im Allgäu mehrere Millionen Meter Kletterseil pro Jahr und gehört heute zu den modernsten Bergsportfirmen weltweit. Das Thema Sicherheit besitzt bei dem Traditionsunternehmen höchste Aufmerksamkeit. Schließlich nehmen dessen Produkte eine tragende Rolle bei den Kunden ein. Aber auch im Betrieb selbst stehen unter anderem Maßnahmen wie Security-Awareness-Trainings an erster Stelle.

Gerade die IT-Sicherheit hat in den letzten Jahren stetig an Bedeutung gewonnen: Zum einen muss die Firma ihr geistiges Eigentum wie Patente oder Produktideen schützen und zum anderen die Daten der Kunden vor externen Zugriff sicher aufbewahren. Auch die Produktion der Kletterseile und Kunststoffgewebe am Standort in Baden-Württemberg ist voll vernetzt, um insbesondere den bestehenden und zukünftigen Qualitätsprüfungsanforderungen gerecht zu werden. Jeder Meter Seil wird qualitätsmäßig dokumentiert, bevor er in den Handel oder zum Kunden geht. Hier gilt es also auch, Cyberattacken frühzeitig abzuwehren.

Security-Awareness-Trainings: Aus Schaden klug werden

Aus eigener Erfahrung kennt Edelrid die Gefahren einer Cyberattacke. So legte der Verschlüsselungstrojaner Locky das Unternehmen vor ein paar Jahren lahm. Dank einer guten IT-Sicherheitsstruktur und aktueller Backups war Edelrid aber nach kurzer Zeit wieder arbeitsfähig. Seit diesem Vorfall baut die Firma die IT-Sicherheitsarchitektur stetig aus und hat seit Ende 2021 einen festen Posten für die IT-Sicherheit im Budget eingeplant. „Wer an dem Ende spart, hat eigentlich schon verloren“, erklärt Dominik Gätje, IT-Admin und IT-Sicherheitsbeauftragter bei Edelrid. „IT-Sicherheit heißt bei uns: Kundendaten schützen, Patente sicher aufbewahren, die Produktion am Laufen halten und vor Manipulation bewahren. Daher müssen wir auch die Mitarbeitenden als Know-how-Träger vor Social-Engineering-Angriffen schützen.“

Dass gute IT-Sicherheitstechnologien nur einen guten Basisschutz bieten, aber mehr Maßnahmen zur Absicherung nötig sind, zeigte sich im vergangenen Jahr: Ein glimpflich verlaufender CEO-Fraud-Versuch öffnete den Verantwortlichen die Augen und veranlasste sie, im Bereich von Security-Awareness-Trainings aktiv zu werden.

Phishing-Simulation offenbart Lücken in der Cyberabwehr

Vor diesem Hintergrund entschied sich Edelrid, das Wissen der Mitarbeiter mit einer Phishing-Simulation auf die Probe zu stellen. Dafür arbeitete das Traditionsunternehmen mit der G Data CyberDefense AG zusammen. Innerhalb von vier Wochen verschickten die IT-Spezialisten aus Bochum an alle Mitarbeitenden potenzielle Phishing-Mails. Der abschließende Management-Report offenbarte große Wissenslücken auf Seiten der Mitarbeiterschaft – und damit einhergehend entsprechenden Handlungsbedarf. Immer wieder hatten Angestellte falsche Links angeklickt, ihre Zugangsdaten auf gefälschten Webseiten eingegeben oder Dateianhänge geöffnet, die Schadsoftware hätte enthalten können.

Edelrid handelte umgehend und führte verpflichtende Security-Awareness-Trainings für alle Mitarbeitenden via Teams durch. Dabei präsentierte der IT-Sicherheitsbeauftragte die Ergebnisse der Simulation und verdeutlichte die Notwendigkeit, bei der IT-Sicherheit genauer hinzuschauen. „Im Nachgang der Schulungen, haben wir erkannt, dass viele Mitarbeitenden sich scheuen, Fehlverhalten zu melden – aus Angst vor Konsequenzen. Dabei sind Fehler menschlich und können passieren. Wissentlich oder unwissentlich klicken Angestellte Phishing-Mails an. Solche Fehler oder Verdachtsfälle nicht zu melden, ist das Schlimmste, was man machen kann“, sagt Dominik Gätje.

Security-Awareness-Trainings geben Mitarbeitern Sicherheit

Allerdings war allen Verantwortlichen klar, dass nur regelmäßige Schulungen das Bewusstsein für Cyberrisiken langfristig verbessern. Die eigentliche Idee, Inhouse-Schulungen mit verpflichtender Teilnahme anzubieten, wurde schnell verworfen. Der Grund: Teilnehmende erinnern sich direkt nach der Schulung maximal an 20 Prozent der Inhalte, nach vier Wochen nur noch an fünf Prozent. Um das Thema nachhaltig in der Belegschaft zu etablieren, entschied sich Edelrid dafür, Security-Awareness-Trainings einzuführen. Nach einer kurzen Marktanalyse fiel die Wahl auf die G Data academy.

Überzeugt hat die Lösung durch ihren modularen Aufbau sowie die Möglichkeit, die Security-Awareness-Trainings jederzeit und auch auf mobilen Geräten zu absolvieren. Ein weiterer Vorteil: Die Zertifikate nach erfolgreich abgeschlossenen Trainingseinheiten. „Wir haben uns ganz bewusst für einen Anbieter aus Deutschland entschieden“, sagt Dominik Gätje. „Wir hatten von Anfang an den Eindruck, dass beide Unternehmen eine vergleichbare Firmenkultur haben. Das verbindet. Was mich persönlich noch überzeugt hat, ist die Zusammenarbeit von G Data mit Morpheus, dem IT-Blogger. Seine Videos und Podcast sind sehr authentisch.“

Für jedes Lernlevel ein passendes Lernprogramm

Seit Januar 2022 stehen die Security-Awareness-Trainings allen Mitarbeitenden zur Verfügung. Die technische Integration des Learning-Management-Systems verlief reibungslos. Edelrid hatte die Vorgaben des G Data Supports umgesetzt, sodass die Plattform bereits nach zwanzig Minuten einsatzbereit war. Auch die Möglichkeit der SAML-Authentifizierung sorgte für eine schnelle Umsetzung. Der Umfang der Security-Awareness-Trainings ist nach verschiedenen Gruppen gestaffelt. So absolvieren normale Angestellte 18 Kurse mit IT-Sicherheitsgrundlagen, während Abteilungs- und Teamleiter sowie die Geschäftsführung 31 Kurse durchlaufen. Die IT-Mitarbeitenden müssen sogar das Komplettpaket mit 33 Kursen bewältigen.

Die ersten Rückmeldungen fallen positiv aus. So haben bereits alle Abteilungsleiter die Basiskurse durchlaufen. Der didaktische Aufbau sorgt mit abwechslungsreichen Methoden für nachhaltiges Lernen. Ein weiterer Pluspunkt: Die Mehrsprachigkeit der Trainings. So können Angestellte die Schulungen in ihrer Muttersprache absolvieren, sodass sie die Details besser nachvollziehen können. Schließlich ist Edelrid ein international aufgestelltes, offenes, multikulturelles und damit auch mehrsprachiges Unternehmen. „Die Security-Awareness-Trainings bieten unseren Angestellten auch privat einen großen Nutzen“, sagt Dominik Gätje. „Durch die Schulungen verbessern sie insgesamt ihre Medienkompetenz. Ein Thema, das auch im privaten Umfeld eine hohe Relevanz hat.“

Lehrpläne der Security-Awareness-Trainings schnell angepasst

Nach sechs Monaten hat sich das Unternehmen entschieden, die Trainingsumfänge zu reduzieren, um die Mitarbeitenden inhaltlich nicht zu überfordern. Jetzt sind für jede Mitarbeiterin und jeden Mitarbeiter acht Kurse verpflichtend. Wer mobil arbeiten möchte, muss zuerst die fünf Basis-Kurse absolvieren. Die restlichen Kurse sind je nach Tätigkeit und Position verpflichtend oder „Nice to Have“. Dank des G Data Supports ließen sich die Lehrpläne der Security-Awareness-Trainings innerhalb kürzester Zeit umstellen, zur vollsten Zufriedenheit von Edelrid.

Die Edelrid GmbH & Co. KG ist spezialisiert auf die Produktion von Kletterausrüstung im Berg- und Hallensport und die persönliche Schutzausrüstung für gewerbliche Anwendungen. Das Unternehmen zählt 220 Mitarbeitende am Standort Isny im Allgäu.

Lesen Sie auch: Security Awareness: G Data academy zeigt auf der Learntec neue IT-Sicherheitstrainings