Energiedosis Cover

Energiedosis

Die Netzwerkpartner
Since 06/2021 70 Episoden

21: Nachhaltige Security Awareness Kampagne – Christoph Aretz, Regionetz

03.06.2022 42 min

Zusammenfassung & Show Notes

Mit Christoph Aretz sprechen wir in dieser Folge über das Thema IT-Awareness, den entscheidenden Faktor Menschen dabei und wie die Regionetz es mit Spaß zu mehr Sicherheitsbewusstsein bei ihren Mitarbeitenden geschafft hat. 
 
Die meisten Unternehmen investieren viel Zeit und Geld in die Implementierung von Software zum Schutz ihrer Daten. Doch mindestens genauso wichtig sind die Menschen, die täglichen mit hochsensiblen Daten umgehen und arbeiten. Christoph Aretz erklärt uns im Podcast anschaulich, wie wichtig es ist, ein Problembewusstsein für das Thema Datensicherheit bei den Beschäftigten zu schaffen. Er verrät uns, wie die Regionetz mit dem Thema umgeht, wie man es geschafft hat, die Aufmerksamkeit der Belegschaft zu schärfen und mit welchen kreativen und interaktiven Formaten Pflichtschulungen doch Spaß machen können. 

dienetzwerkpartner.com 
linkedin.com/company/dienetzwerkpartner 
xing.com/companies/dienetzwerkpartner 

Transkript

Intro: Christoph Aretz
00:00:01
Nach der ersten Woche hat halt 80 Prozent die Pflichtschulung durch. Das fanden wir ziemlich erschreckend. Also die erste Viertelstunde war auch dann die Pflicht mit Kevin Mitnick und danach waren die ersten Folgen freiwillige Inhalte, die hatten auch von 80 Prozent auch nochmal 60 Prozent oder ähnlich geguckt. Music.
Claudio La Torre
00:00:55
Herzlich willkommen bei Energiedosis, dem Praxispodcast, der Netzwerkpartner. Ich freue mich heute dabei zu sein und dass ihr eingeschaltet habt. Mein Name ist Claudio La Torre, und ich habe heute zu Gast den Christoph Aretz von der Regionetz, seinerseits Leiterstabstelle IT Management. Schön, dass du da bist.
Christoph Aretz
00:01:17
Hallo, ja, herzlich willkommen auch von meiner Seite.
Claudio La Torre
00:01:20
Genau, ich habe ihn eingeladen, weil wir heute mal ein bisschen über das Thema IT Awareness, gerade als Netzbetreiber und somit Betreiber von kritischen Infrastrukturen, vermuten wichtiges Thema ist, ein bisschen drüber zu sprechen. Ich glaube, ich sage nichts Falsches, wenn das Thema auch so ein bisschen in deinen Verantwortungsbereich fällt. Aber bevor wir eigentlich einsteigen, vielleicht stellst du dich erst mal kurz vor, damit die Leute wissen, oder derjenige, der gerade zuhört, wer du bist
Christoph Aretz
00:01:45
Okay, mein Name ist Christoph Aretz. Wir haben gerade schon vor der Aufnahme darüber geredet, dass ich 46 Jahre alt bin. Habe zwei Kinder, zwei Mädels. Bin verheiratet, habe zwei Hunde, wohne in Aachen und ich leite bei der Regionetz die Stabstelle IT Management. Die Regionetz ist ein klassischer Verteilnetzbetreiber. Unser Netz erstreckt sich von Norden Kreis Heinsberg bis in den Süden in die Eifel, also bis Monschau, und wir betreiben dort alle Medien, also Gas, Wasser, Strom, Feinwärme. Nicht überall alle, aber wir sind überall irgendwie vertreten. Das Thema Formationssicherheit ist in der Stabsstelle IT-Management aufgehangen. Wir haben das extra von den anderen Managementsystem getrennt, weil wir doch denken, dass das an anderen Stellenwert hat als Qualitätsmanagement, Umweltmanagement, nicht um die kleinzureden, aber du hast es eben schon angesprochen, kritische Infrastruktur, Absicherung dieses ITs, denn ohne IT läuft halt nichts mehr und wenn IT nicht läuft, dann haben wir halt ein Problem.
Claudio La Torre
00:03:06
Gibt es vielleicht noch einen privaten Fakt, den wir noch wissen müssen? Oder ist neben vielen Arbeit gar keine Zeit mehr, dass man sich nur noch um Familie kümmert oder gibt es noch irgendwas wie Tennisprofi in spe?
Christoph Aretz
00:03:17
Nee, Tennisprofi nicht, kein Basketballprofi, irgendwann mal festgestellt, dass ich mit Sport kein Geld verdiene, trotzdem treibe ich mal Sport irgendwie gerne. Ich laufe mittlerweile, weil es einfach mit zwei Kindern, wie die jungen Väter hier im Podcast oder jungen Mütter auch, die werden mir beipflichten. Ist man irgendwie ja am flexibelsten. Dabei ist Wetter egal, denn wenn man Zeit hat und es regnet, dann kann man sich halt überlegen, läuft man jetzt oder nicht, weil wenn die Kinder dann wieder da sind, dann hat man keine Zeit dafür.
Claudio La Torre
00:03:49
Ja kenne ich, kenne ich. Ja, sehr schön. Ich habe tatsächlich im Vorfeld auch ein bisschen zu dem Themenbereich recherchiert. Habe auch nochmal versucht so ein bisschen so ein paar Sachen rauszufinden, weil da gibt es tatsächlich auch zahlreiche Studien zu. Unheimlich interessant. Als erstes war meine Vorbereitung natürlich mal zu googlen. Die Definition dahinter war ganz spannend: das Thema Security Awareness kommt laut Wikipedia aus dem Englischen, klar, hört man raus. Sicherheitsbewusstsein ist das Wissen und die Einstellung, die Mitglieder einer Organisation zum Schutz der physischen und insbesondere informativen Vermögenswerte dieser Organisation besitzen. Ich dachte es klingt erstmal spannend, aber passt.
Christoph Aretz
00:04:36
Dem kann ich beipflichten. Also wie bin ich zu dem Thema gekommen? Das war tatsächlich noch vor der Gründung der Regionetz vor 2018. Da saß ich bei meinem Chef im Büro und haben über das Thema Informationssicherheit, IT-Sicherheitskatalog eins Punkt null, Zertifizierung 27.001 und so weiter, gesprochen. Erstmal ein sehr trockenes Thema, weil es war eine Verpflichtung für Netzbetreiber, ich habe zu dem Zeitpunkt meinem Chef die falsche Frage gestellt: Wer soll es denn machen? Also man hatte ja Zeit im Büro, ist mit seinem Chef. Weiß man meistens die Antwort schon vorweg. Da hatte ich das Thema am Bein und habe mich dann 2016 und 2017 mit dem Thema Zertifizierung 27.001 das erste Mal beschäftigt und wurde dann auch ganz schnell aufgeklärt, dass das zwar schon viel mit IT zu tun hat, aber Informationssicherheit doch noch viel mehr ist. Also Informationssicherheit umfasst auch das Telefongespräch im Aldi zur Leitwarte, wenn jetzt irgendwo Netzausfall passiert, wenn man den dann an der Kühltheke groß rausposaunt sind das auch Informationen, die man irgendwie vorsichtig behandeln sollte. Oder wenn der Monteur durchs Netzgebiet fährt und hat dann ausgeplotteten Plan in der Windschutzscheibe liegen dann sollte er beim Aussteigen halt den Druck nach unten legen und nicht irgendwie nach oben an die Windschutzscheibe, weil das auch Informationen mit Schaltplänen sind. Der Teufel ist ein Eichhörnchen und in dem Augenblick müsste jemand da vorbeigehen, im Aldi oder an dem Bully, und die Information abgreifen, aber solche viele Berührungspunkte mit sensiblen Informationen führen halt zu einer erhöhten Awareness. Auch wenn ich diesen Anglizismus irgendwie immer blöd finde, aber der trifft es halt, dass am Ende Menschen sich Gedanken machen müssen, wie verwalte ich Informationswerte. In der Krönung oder in der Königsdisziplin ist das dann nachher Datensicherheit. Also wie verschlüssle ich Daten, wie kommuniziere ich über verschlüsselte Kanäle, wie kann ich Netzwerke segmentieren und so weiter und so fort. Das ist die Gründungsdisziplin, aber das Gespräch im Aldi ist irgendwie die Kreisklasse, in der jeder irgendwie mitspielen sollte.
Claudio La Torre
00:07:09
Bisher ist ja immer so, wenn man Cyber Security oder generell dieses Thema so ein bisschen hinterleuchtet, glaube ich, ist immer der erste Gedanke: "Ja gut, da geht es um Daten, die ich irgendwo auf dem PC liegen habe." Aber wie du schon sagst, gibt es natürlich auch im Unternehmen da noch viel viel mehr drumherum.
Christoph Aretz
00:07:28
Es gibt halt so viele Angriffspunkte. Was mir persönlich in letzter Zeit auffällt, sind die ganzen Xing und LinkedIn-Einladungen, die ich von irgendwelchen Menschen bekomme. Mittlerweile lösche ich die einfach nur noch. Das ist zwar in erster Linie vielleicht unhöflich den Personen gegenüber, aber wenn ich so gar keinen Bezug dazu habe, dann ist halt so ein social hacking irgendwie ziemlich nahe. Also jemand vernetzt sich mit mir, ist dann irgendwie mein Freund bei Xing oder bei LinkedIn und ich teile dann irgendwas und der kann halt von mir dann auch ein Persönlichkeitsprofil relativ einfach abgreifen und damit fängt es halt an, nicht wahr? Also mal zu hinterfragen, wer spricht mich denn an oder welche Menschen rufen mich an? Dieser Klassiker Europol hat mich auch angerufen. Man kriegte einen Anruf von Europol, dass man irgendwelche persönlichen Daten hinterlegen sollte. Das Beste ist einfach auflegen.
Claudio La Torre
00:08:34
Ja ist spannend, also weil ich habe natürlich geschaut gehabt und es gibt recht viel Material, Studien in Anführungszeichen, (so nenne ich die mal, denn da sind viele Firmen dahinter) die so eigenständig solche Studien erstellen, aber das Ergebnis ist durchweg bei allen irgendwie, dass man sagt: "85 Prozent aller Angriffe, die man so hat, die starten beim Faktor Mensch." Das eine ist ja immer zu sagen, IT-Sicherheit die Systeme so abzuschotten, dass da keiner von außen rein kann. Aber dass 85 Prozent durch den Menschen geht und dass gerade so Dinge wie über emotionale Manipulation passiert und Social Engineering, wie du das da ansprichst, hätte ich im ersten Stepp tatsächlich gar nicht so vermutet gehabt. Ich dachte auch so, der Großteil geht über irgendwelche komischen Phishing-Mails oder "Klickt mal hier drauf" aber wie du schon sagst, ist tatsächlich auch ein Trend zu erkennen, bei LinkedIn Co oder Facebook. Um dann da auch über die eigentliche Privatperson bei Facebook in Anführungszeichen die Schleuse aufzumachen, um ins Unternehmen reinzukommen.
Christoph Aretz
00:09:38
Ja also Faktor Mensch ist das Wichtigste. IT kann ich natürlich absichern. Da sind wir aber bei dem Thema Passwörter und wir diskutieren hier hoch und runter mit den Kollegen, Single Sign on, Länge der Passwörter, Häufigkeit, der Aktualisierung von Passwörtern, da gibt es ja die unterschiedlichsten Philosophien. Die einen sagen das kann auf ewig so bleiben. Die anderen sagen, alle drei Tage soll das Passwort geändert werden und während der ersten Zeit war ich quasi so. Mittlerweile haben wir jemanden, der sich da 100 Prozent drum kümmert und der das auch mit Leidenschaft und doch besser macht. Dort habe ich halt auch gelernt, dass Passwörter halt nicht unbedingt immer hilfreich sind. Also wenn ich jetzt letztes Jahr an die Flutkatastrophe denke: quasi Katastrophenfall in der Leitwarte. Wir haben halt manche Passwörter dort am Whiteboard stehen. Also, da denkt man zuerst, OK ziemlich fahrlässig. Aber der Bereich, um da reinzukommen ist halt doppelt abgesichert, also dürfen nur ausgewählte Personen rein. Und falls das Passwort dann im Notfall gebraucht wird, und wenn dann gerade Schichtwechsel war und jemand das Passwort geändert hat, stimmen sich die Kollegen beim Schichtwechsel normalerweise ab, aber haben sie das mal nicht getan und dann fängt man erst an, nach dem Passwort zu suchen. So ist ein Passwort einfach hinderlich und dann hilft es halt eher den Personen klarzumachen, dass die Tür nach draußen halt nicht im Sommer offen stehen darf. In der Leitwarte stand sie auch noch nie auf, aber so sensibilisiert man dann diese Informationssicherheit anders und sagt, das Whiteboard ist halt dein Keep-best safe und den musst du irgendwie anders sichern. Also muss man über den Faktor Mensch gehen, weil alles andere ist irgendwie ergänzend, wenn der Mensch da nicht mitspielt, dann hat man keinen Erfolg bei Cyber Security, Datenschutz oder Informationssicherheit, wie man die Themen auch nennen möchte.
Claudio La Torre
00:12:04
Ja, sehe ich genauso. Ich hätte tatsächlich auch nichts anderes bei den Studien erwartet. Ich glaube, wenn man sich manchmal so selber erwischt, vielleicht jetzt nicht im Beruflichen, aber im Privaten. Man ist irgendwie sehr entspannt unterwegs. Ich weiß noch damals, wo die hier mit WhatsApp kamen, dass da Daten offen gelegt werden et cetera und trotzdem benutzt es jeder weiter. Aber ich sage mal, die schlechteste Konsequenz daraus ist, da hängen sich Unternehmen dazwischen, wie Facebook oder Meta und die machen dann auch ganz spannende Sachen mit den Daten.
Christoph Aretz
00:12:43
Das ist halt so der Preis, den man zahlt. Also bei WhatsApp war ich auch mal so proaktiv und habe dann gesagt: "Mache ich nicht mehr mit. Finde ich irgendwie blöd." Die Konsequenz ist aber jetzt wieder der Klassiker, Kindergartengruppe, Schulgruppe oder Sportverein ist man erstmal raus. Damit zieht man dann zwei Dinge nach sich, dass die eigene Ehefrau dann jeden Tag fragt, hast du denn den Termin irgendwie auf dem Schirm? Hast du die Kinder zum Sport gebracht, weißt du, dass das Training eine halbe Stunde eher zu Ende ist. Da war ich dann ruck zuck zurück bei WhatsApp. Weil das einfach der Industriestandard ist. Das kann man irgendwie mit den anderen Dingen, mit Signal, mit Telegram und wie auch immer in unserer Region nicht umsetzen. Also wenn man jetzt vielleicht Richtung aktuell in Ukraine und Russland guckt, scheinen Telegram ja da einen ganz anderen Stand zu haben, aber bei uns ist WhatsApp einfach der Fakt und man bezahlt das am Ende mit seinem Nutzungsverhalten. Also es gibt eine ganz interessante Apple-Werbung, ohne jetzt hier Werbung machen zu wollen im Podcast. Die ist irgendwie gerade rausgekommen, wo so eine junge Frau in so ein Antiquariat geht und dort stöbert und sieht dann irgendwie so eine Tür. Auf dieser Tür steht ihr Name und da drüber steht "Data-Auktion". Sie geht so durch diese Tür und sieht dann so einen Saal mit einem Auktionator, wo der Auktionator dann anfängt ihre persönlichen Daten zu versteigern. Dort sitzen dann irgendwelche komischen Personen im Auditorium, die dann halt ersteigern. Also Bewegungsprofile, dann Einkaufsverhalten, Hobbys, Social Media, Farbe, was auch immer. Und Apple wirbt halt dafür, dass man das irgendwie in der Software halt auch deaktivieren kann und so mehr persönlichen Daten schützt. Da muss man sich halt nichts vormachen. Alles, was kostenlos im Netz ist, bezahlt man halt durch Daten. Also durch deine und meine Daten.
Claudio La Torre
00:15:04
Ja, ich glaube auch, dass er zum Teil da die Mitarbeiter und Kollegen auf Stand bringt. Ist doch nicht immer selbstverständlich, dass das jeder weiß.
Christoph Aretz
00:15:14
Genau, weil es war ganz schnell der Wunsch da, also dass wir irgendwie WhatsApp im Unternehmen einführen, dass wir doch irgendwie einen Kommunikator haben, wie auch immer. Und wir haben uns dann für ein eigenes Chattool entschieden. Also von Mettermost haben wir einen eigenen Server aufgesetzt und nutzen das als internes Chattool. Das leidet halt ein wenig daran, weil es nicht mehr kann als andere. Also da sind wir wieder bei dem WhatsApp-Punkt. Wir haben halt die WhatsApp-Nutzung ausgeschlossen. Es nutzen auch wenige. Am Ende kann man es jetzt nicht komplett eliminieren, weil wir unsere privaten oder unsere Idevices für die private Nutzung geöffnet haben. Wir haben keine Apps ausgeschlossen. Aber es passiert halt tatsächlich, dass wir betriebliche Kommunikation auch über WhatsApp haben. Also das habe ich jetzt nie gesagt, auch hier ins Auditorium nicht. Ist mir ein Dorn im Auge, aber am Ende muss man sagen, wenn das der letzte Weg ist, dann ist es okay. Also ich erinnere mich jetzt wieder an letztes Jahr an die Hochwasserkatastrophe. Da war durchaus eine Hürde ein Netzwerkdrucker ans Drucken zu kriegen, um die Schichteinsatzpläne aus dem PC rauszubekommen. Wir haben dann über I-Message und über Telefon kommuniziert, um die Kolonnen anzusprechen, weil wir in dem Augenblick nichts anderes hatten. Also es sollte nicht der Standard sein. Es ist zwar für Notfall okay. Aber damit weisen wir schon drauf hin, dass so was wie WhatsApp halt im dienstlichen Bereich nicht gut ist, und wir da andere Tools haben, die wir dafür nutzen möchten.
Claudio La Torre
00:17:00
Okay, du hast vorhin kurz einmal das Thema Ukraine eingeworfen. Ich meine, das ist ja eins der präsentesten Themen und drumherum in den Medien hört man auch, dass die Attacken auf Unternehmen seitdem nochmal extrem zugenommen haben. Ich weiß gar nicht, ob ich dich das fragen darf, aber: Ist es bei euch auch so, dass ihr ein verstärktes Aufkommen an Angriffen seht? Ich glaube viele Mails werden vorab schon wahrscheinlich abgefischt. Aber ist da eine steigende Tendenz auch bei euch sichtbar?
Christoph Aretz
00:17:42
Also wir sind da ganz gut mit dem BSI vernetzt, weil wir selbst in Arbeitsgruppen beim BSI aktiv sind und zu Beginn des Ukraine-Konflikts gab es ja auch ein extra BSI Ukraine-Newsletter und wir haben halt damals schon vermehrte Angriffe auf die Infrastruktur aus Osteuropa festgestellt. Also die, die da in der Firewall hängen bleiben. Wir haben dann auch entsprechende IP-Kreise einfach ausgeschlossen, dass wir von dort gar keine Zugriffe mehr zulassen, also haben die jetzt in unserem Unternehmen keinen Bedarf. Unsere Homeoffice-Regelung geht jetzt nicht so weit, dass einer dort sitzt, der dann irgendwie über seine Infrastruktur bei uns zugreifen müsste, sodass wir sie auch guten Gewissens ausschließen konnten. Man konnte das Beobachten, wir haben auch unser Software, danach durchleuchtet, wo sie denn herkommt. Dieses klassische Kaspersky-Thema hatten wir halt auch. Weiß man jetzt nicht, ob Kaspersky ein Bauernopfer in dem ganzen Thema ist, da habe ich so keine richtige Meinung zu. Aber wir haben uns jetzt auch von Kaspersky getrennt. Wir hatten das auf den Endgeräten als Virenschutz und haben gesagt, das ist zwar ein Schweizer oder englisches Unternehmen, aber in Moskau sitze ganz viel Entwicklung und Forschung, deswegen haben wir gesagt, ein kleines Risiko können wir ausschließen. Jetzt haben wir einen anderen Antivirenschutz. Das war durchaus ein Thema. Aktuell hat sich das jetzt wieder normalisiert. Wir stellen jetzt nicht mehr fest, dass da überproportional mehr Angriffe kommen als vor einem Jahr.
Claudio La Torre
00:19:43
Okay, spannend zu hören. Um das ein bisschen zu konkretisieren, was habt ihr für Werkzeuge im Einsatz beziehungsweise was für Maßnahmen ergreift ihr jetzt, um so eine Awareness bei euren Mitarbeitern zu erzeugen? Also damit sie wirklich ein Bewusstsein dafür bekommen, wo muss ich aufpassen? Wo gibt es große Fallstricke? Wo soll ich genau hingucken? Sind das standardmäßig einfache Schulungen, wo man einen an den Schreibtisch hinsetzt oder in einer großen Runde? Ist jetzt sowieso durch Corona wahrscheinlich eher schwieriger gewesen. Nimmt man an einem Seminar teil und dann ist gut oder wie macht ihr es denn?
Christoph Aretz
00:20:25
Das haben wir auch mal gemacht, aber das war eben nicht gut. Oder noch vorweggenommen zu den zu den technischen Dingen. Dazu kann ich gar nicht so viel sagen. Wenn ich es könnte, würde ich es glaube ich nicht sagen wollen, welche konkreten Werkzeuge wir für die technische Absicherung einsetzen. Wir haben halt ein segmentiertes Netz, also ein Prozessnetz und ein Brunnetz, was schon mal sehr hilfreich ist, um es einfach physikalisch zu trennen. Was wir für die Kolleginnen und Kollegen gemacht haben, also da kann ich mehr zu erzählen. Gestartet sind wir tatsächlich mit dem Thema: Was ist Datenschutz? Was ist Informationssicherheit? Was ist Awareness? In so einer klassischen Frontalgeschichte. Dass man über ein Schulungswerkzeug bei uns im Hause, wo wir auch die Arbeitssicherheit darüber schulen, auch ein oder zweimal im Jahr entsprechende Schulungen den Mitarbeitern zugewiesen haben. Das war eine Pflichtunterweisung und man durfte dann im Rahmen von 13 bis 17 PowerPoint Folien die durchflitschen und am Ende 5 bis 8 Fragen beantworten. In der Hoffnung, dass denn was hängen bleibt. Wir flankieren das indirekt durch eine ITM-Umfrage, die wir jedes halbe Jahr machen, wo wir auch schon mal das Thema Informationssicherheit abgefragt haben. Ob das überhaupt bekannt ist, wo man es dann im Internet findet? Und wenn man dann feststellt, dass da ein Teil der Kollegen sagen, Informationssicherheit habe ich noch nie gehört, dann fragt man sich schon, wie denn die Pflichtschulung abgeschlossen wurde, aber ich glaube, jeder von uns hat auch mal so eine Pflichtschulung irgendwie durchgeflitscht und am Ende mit gutem Glück irgendwie drei Fragen beantwortet und hat dann gesagt, danke muss ich zum Glück nicht wieder machen. Das hat uns schon so ein bisschen gefrustet, weil ich hatte eben berichtet, dass ich wie die Jungfrau zum Kinde zu dem Thema kam und dann war das für mich zuerst schon eher etwas Leidvolles nach einer ISO-Norm zu arbeiten und das tun zu müssen. Das entspricht normalerweise nicht meiner Kreativität. Aber ich merke halt, dass das Thema Informationssicherheit halt aus meinem Berufsleben, auch in mein restliches Leben übergeschwappt ist, so dass ich mir mal überlege, wenn ich irgendwo was ausfülle, muss ich da jetzt das Häkchen für den Newsletter setzen? Klar gibt es Fotoaktionen in der Grundschule, dass man zumindest auch mal seine Familie da etwas für sensibilisiert. Ich fand das ganz interessant. Ich habe mit einer norwegischen Kollegin gesprochen. Die ist mittlerweile jetzt schon was älter und hat jugendliche Enkelkinder. Und in Norwegen ist es wohl Gang und gäbe das man auf Privatpartys keine Fotos macht. Fand ich krass. Also das fand ich eine interessante Entwicklung, weil meine Mädels sind 10 und 8. Sie sind noch jung, aber wenn man fünf bis sechs Jahre draufrechnet, könnten ja schon ein paar peinliche Fotos entstehen, wenn ich an deine und an meine Jugend denke. Also nicht, dass wir uns da kannten, aber man würde nicht alles im Netz sehen wollen. Und ich finde es interessant, wenn da zumindest die Jugendlichen in Norwegen sagen: Ja, wir haben es verstanden, dass wir irgendwie nicht veröffentlichen wollen. Und dieses Bewusstsein wollen wir natürlich im Unternehmen auch bei allen Kolleginnen und Kollegen irgendwie hervorrufen. Das ist ein stetiger Prozess. Mit einer Schulung von einem halben Jahr haben wir festgestellt, wir kommen halt nicht irgendwie zum Ergebnis und der unser CISO Sven Greven hat uns vor zwei Jahren ein interessantes Tool vorgestellt. Das nennt sich KnowBe4 und die gehen das Thema irgendwie anders an. Die sind damit nicht gestartet, aber mittlerweile ist die in einer Serie, die so in Netflix- oder Amazon-Prime-Stil gedreht wird, wo quasi Alltagssituationen mit Datenschutz und Informationssicherheit widerspiegelt. Also es geht da in der Serie um einen Hacker, der wird in Unternehmen eingeschleust und der soll halt Daten abgreifen. Das ist irgendwie total spannend, weil die erste Folge geht so: Der sitzt halt vor dem Eingang, beobachtet die Leute, die rauskommen und dann kommt halt ein Besucher raus und er geht ziemlich energisch auf diese Besucher hinzu und sagt: Den Besucherausweis müssen Sie mir abgeben. Geben Sie ihn ruhig mir. Zack und damit hat er dein Besucherausweis. Geht rein, er ist drin. Zieht sich zwei Kaffees am Automaten, hat beide Hände voll. Jeder macht ihm die Tür auf. Keiner fragt, wer er ist, wo er hinwill, alle sind hilfsbereit. Dann nächster Fall ist, dass er sagt, er hätte einen Vorstellungstermin beim IT-Leiter. Da wird er irgendwie an die IT-Abteilung hingeführt und wird dann dahin gesetzt und die Person, die ihn dahin gebracht hat, die geht halt weg und sagt irgendwo Bescheid. Und am Ende, das sind immer so fünf, sechs Minuten Filme, hat man so eine Zusammenfassung, wo die Situation aufgelöst wird. Also Besucherausweise einsammeln, keine Person, die man nicht kennt, durch das Drehkreuz oder durch die Tür lassen, wie auch immer. Ist ja nicht, dass wir davon nicht betroffen sind. Wir haben auch hier verschiedene Drehkreuze oder Ein- und Ausgänge vom Unternehmen und klar hat man da schon mal seine Karte irgendwem hingehalten, den man jetzt natürlich kannte. Aber man kann sich halt auch nicht freisprechen, dass das mal ein neuer Kollege/neue Kollegin ist und das weißt man halt nicht. Dann Gäste nicht unbeaufsichtigt lassen. Das ist dann tatsächlich so eine Story, die dahintersteckt. Da ist man so ein bisschen angefixt, so interessiert mich, wie geht es denn jetzt weiter, weil ganz am Ende ist dann immer so ein Cliffhanger, dann ruft halt der Auftraggeber irgendwie an, bist du drin?
Claudio La Torre
00:27:14
Spoiler aber nicht zu viel, sonst kann man das nachher gar nicht mehr gucken.
Christoph Aretz
00:27:18
Genau, das ist ganz klar. Aber das haben wir jetzt angefangen vor einem halben Jahr. Wir haben dann eine Pflichtschulung mit Kevin Mitnick, das ist der Chief Operating Hacker von KnowBe4. Also ein Mensch, der von der amerikanischen Justiz zu fünf Jahren IT-Abstinenz verurteilt wurde. Der hat sich in alle Netze der amerikanischen Regierung eingehackt und den haben sie einfach weggesperrt. Zwar nicht nett, aber dem haben sie fünf Jahre quasi das Kabel abgeschnitten. Der hat das halt mitentwickelt und hat jetzt anscheinend die Seiten gewechselt und die erste Schulung ist auch so interaktiv, dass mal zwei, drei Folien gezeigt werden, so kurze YouTube-Filme oder so YouTube-Style mal so ein, zwei Minuten Inhalte und am Ende muss man auch wieder Fragen beantworten, aber die sind gar nicht so einfach. Also erstmal habe ich gedacht, ich gucke mir das so nebenbei an. Man muss auch alle ein bis 2 Minuten weiterklicken, also es ist nicht nur ein Berieseln, sondern man muss auch aktiv dranbleiben, dauert so eine Viertelstunde, diese erste Schulung. Und die Fragen sind halt schon gut gestellt, sodass man auch mal drüber nachdenken muss. Wir haben dann quasi die Standardschulung damit beworben, dass wir danach dann andere Inhalte freischalten. Dass wir dann sagen, okay, dann gibt es die ersten drei Folgen dieser Serie, sodass man so ein bisschen auch das Interesse an dem Thema weckt. Wir haben 650 Mitarbeiter und Mitarbeiterinnen im Unternehmen und nach der ersten Woche hatten halt 80 Prozent die Pflichtschulung durch. Das fanden wir ziemlich erschreckend. Pflicht war, die erste Viertelstunde mit Kevin Mitnick und danach waren die ersten Folgen freiwillige Inhalte. Die hatten von den 80 Prozent auch nochmal 60 Prozent oder ähnlich geguckt. Da kann natürlich jemand sagen, 15 Minuten Schulung plus dann drei oder vier Filme à fünf bis 7 Minuten. Ja da sitzt ja einer eine Stunde und guckt Fernsehen im Unternehmen. Finde ich, ist gut investierte Zeit, weil die Unterweisung zum Thema muss ich so oder so durchführen. Also das fragt der Auditor auch, wie wir das tun, ob wir die Kolleginnen und Kollegen in dem Thema unterweisen und da haben wir zumindest so einen ersten Erfolg verspürt. Diese Plattform bietet halt mannigfaltig Content in dem Bereich. Also die ist halt international und man kann verschiedenste Sprachen auswählen. Ist jetzt vielleicht, bei uns nicht so, obwohl wir hier im Dreiländereck, Belgien, Holland und Deutschland sind, nicht so wichtig. Aber man kann auch in englischer, französischer Sprache, holländischer Sprache und so weiter, könnte man auch Content nutzen und die haben halt auch so Plakate. Wir haben zum Beispiel so zwei, drei Aufenthaltsräume hier, wo wir jetzt auch einfach mal Plakate zum Thema Formationssicherheit ausgedruckt haben. Die sind dann so im Stil: jeder kennt irgendwie das weiße Hai Kinoplakat, wo diese Hai-Schnauze auftaucht von unten nach oben. Da wird irgendwie Phishing thematisiert. Dann gibt es irgendwie was zu Back to Future. Irgendwie ist dieser Slogan "erst klicken, dann denken" darin verarbeitet, wo einfach diese Dinge, anders aufbereitet werden und die haben auch Spiele zu dem Thema gebaut. Das ist eigentlich auch ganz witzig. Jetzt sind wir wieder beim Thema Passwort, da kann man von Halten was man will, aber jeder kennt irgendwie Jeopardy aus dem Fernsehen. Dann kann man halt, in den verschiedensten Kategorien, sind so vier Kategorien, sich Punkte von 100 bis 400 auswählen und man muss irgendwie 1400 Punkte erspielen, um diese Schulung zu absolvieren. Also kann man sich ja irgendwie vier schwere Fragen nehmen oder keine Ahnung fünf leichte Fragen und muss sich einfach mit dem Thema auseinandersetzen und wir haben dann den Gruppenleitern auch die entsprechenden Zugänge eingerichtet, dass wir gesagt haben, nutzt doch sowas mal als Sicherheitsimpuls. Also spielt da mal in eurer Gruppenleiterrunde oder in eurer Gruppenrunde einmal die Woche so ein Spiel. Dauert irgendwie zehn Minuten und kann man auch echt ganz cool online, also in Bezug auf mobiles Arbeiten, Homeoffice, jemand ist im Büro, jemand ist einem Besprechungsraum, kann man das auch ganz gut abwickeln und bisher ist die Resonanz da tatsächlich gut. Also, dass wir gesagt haben, Mensch wir kriegen das Thema mal anders verpackt, weil, wie schon so ein paar Mal durchgeklungen ist, kann man mit Informationssicherheit oder Datenschutz auch die Leute durchaus auf die Bäume jagen, ne? Ist jetzt nicht so sexy.
Claudio La Torre
00:32:28
Ja, würde ich sagen. Sexy ist der richtige Begriff dafür. Aber umso schlimmer ist es, wenn es dann ein wichtiges Thema ist, das irgendwie in den Kopf reinzukriegen und dann doch irgendwie attraktiv zu machen. Deshalb ist es ein spannender Ansatz mit den Videos. Habe das ja ein bisschen verfolgt gehabt, was du mir erzählt gehabt hast. Wie ist euer Plan in Richtung Zukunft bei dem Thema. Ihr habt jetzt die Plattform eingesetzt, jetzt geht es erstmal noch um Erfahrung sammeln, wird angenommen.
Christoph Aretz
00:33:13
Die Kolleginnen und Kollegen sind dadurch echt schon, kann man so sagen, krass sensibilisiert. Wir würden gerne als nächstes, jetzt spoiler ich hier, ich hoffe es hören nicht zu viele Netzkollegen im Podcast. Irgendwie auch so die eine oder die andere Phishing-Aktion starten. Die kann man auch dann sehr gezielt machen in dieser Plattform, also man kann dann zum Beispiel, wenn jemand auf so eine Phishing-Aktion reingefallen ist, dem auch automatisch dann eine Phishing-Schulung zuweisen. Also das kann man so einstellen. Man muss sich auch da nicht mehr drum kümmern, also es hilft dann auch dem Team so das Ding operativ zu händeln. Wir haben halt seit einigen Monaten auch so ein Banner in unseren Mails: Achtung, die die Mail kommt von einem externen Anbieter oder von einem externen Absender. Das ist bei KnowBe4 leider auch so, dass aus der Plattform heraus die E-Mails versendet werden und nach dieser ersten Schulung, da hat irgendwie noch keiner nachgefragt, aber als dann die zweite Mail kam mit: Für Sie sind freiwillige Schulungsinhalte freigeschaltet worden. Dann heißt die Adresse zwar regionetz@knowbe4.de, aber da hat der ein oder andere echt gefragt, ist das jetzt Phishing? Ist das echt? Wir kriegen vielleicht im Schnitt eine Frage pro Tag. So Sachen, wo Leute tatsächlich auf uns zukommen. Wir hatten letztens in der Personalabteilung eine E-Mail, die in meinem Namen verschickt wurde, dass ich meine Kontodaten gerne anpassen würde oder beziehungsweise das man dadurch, dass ich mein Bankkonto gewechselt hätte, ich meine Daten aktualisieren müsste und dafür sollte man da auf den Link hier klicken. Auch eine klassische Phishing-Aktion. Mich hat die Kollegin aus der Personalabteilung angerufen, hat gesagt, Christoph ist die von dir gekommen? Ich so: nein. Jetzt kannst du natürlich auch keine Waggons mit Früchten da rauskarren, aber es sind ja schon mal kleine Sachen, wo man sagt, das Thema trägt halt Früchte. Die ganze Informationssicherheitsthematik hat dazu geführt, dass wir Dokumente vernünftig klassifizieren, dass Schaltpläne nicht mehr in Büros hängen, wo sie nicht hängen sollen. Jetzt sind wir wieder bei dem Thema Leitwachte. Da macht es Sinn, dass der Schaltplan an der Wand hängt. Aber in den Büros, die nicht im gesicherten Bereich sind, hängen sie halt nicht mehr. Diese saubere Dokumentation gerade in dem zertifizierten Bereich, also die Bereiche, die im Scope sind, da sagen die Kollegen, das hilft uns auch unsere Sachen besser zu dokumentieren. Also das entwickelt sich, muss man sagen. Von dem ganz trockenen Thema und dem klassischen Unterweisen jetzt in Kombination mit etwas mehr interaktiven Inhalten, sind wir da eigentlich optimistisch, dass wir da auf einem guten Weg sind. Wie gesagt, da muss man überlegen, in welchen Intervallen man auch die Kolleginnen und Kollegen damit triezt, denn wir sind ja nicht der einzige Bereich, der da sinnvolle Schulungen macht, also Arbeitssicherheit ist halt bei uns auch ein ganz großes Thema. Da wird ja auch unterwiesen und geschult und wenn ich jetzt an die Kollegen im Feld denke, die haben ja noch ganz andere Unterweisungen, die sie über sich, im Positiven, ergehen lassen müssen. Wenn ich die dann noch mit Informationssicherheit einmal im Monat trieze, dann ist es bald auch wieder drüber. Daher ist diese Breite der Plattformen ganz cool, also eben das angesprochene Thema Plakate, mal so ein Ding ausdrucken und im Flur aufhängen. Jetzt haben wir zwei große Betriebsstätten und drei oder vier Kleine. Das kann man halt schnell machen, dass man einfach sagt, man hängt da mal so ein Weißer Hai Plakat auf oder Back to Future und wenn jemand vorbeigeht und drüber schmunzelt, der hat aber schon drüber nachgedacht. Das ist der Impuls, den man da setzen möchte. Das ist das, was wir jetzt machen wollen, dass wir, regelmäßig unregelmäßig die verschiedensten Möglichkeiten da einfach einsetzen und weg wollen von hier sind drei Folien und ließ dir die mal Bitte durch.
Claudio La Torre
00:38:18
Ja, finde ich auf jeden Fall einen guten Ansatz und wir bleiben ja sowieso im Gespräch. Da würde mich wirklich mal so der Blick oder die Erfahrung nach so einem Jahr interessieren. Ich gucke auf die Uhr. Wir sind sehr weit fortgeschritten und war jetzt sehr kurzweilig, deshalb die abschließende Frage wäre von mir was würdest du, quasi den Netzwerkpartnern empfehlen in dem Bereich. Was wären so drei Maßnahmen, wo du sagst, Leute, nehmt es nicht auf die leichte Schulter oder geht neue Wege.
Christoph Aretz
00:38:54
Das heißt, die Spontanfrage ist, was soll man da empfehlen? Ich finde den KnowBe4-Einsatz schon mal ganz gut. Ob man das jetzt jedem nahe legen muss, weiß ich nicht, aber das Thema ist halt kein technisches Thema. Am Ende spielen da die Menschen eine Rolle. Ich hab so einen alten Cartoon, da sieht man so ein Boxring, in einer Ecke ist ganz viel IT aufgebaut, da steht dann drunter Cyber Security und in der anderen Ecke steht Human Error Dave. Also ein etwas übergewichtiger Boxer und das ist eigentlich das Thema. Man muss diesen Dave irgendwie versuchen zu eliminieren. Und das können die Netzwerkpartner, glaube ich, guttun, indem sie das Thema auch immer wieder mal mit aufs Tablett bringen und so Aktionen vielleicht auch anbieten. So eine Phishing-Aktion oder Informationsmaterial auch, so Kleinigkeiten. Das man zu bestimmten Anlässen, sei es zur Ferienzeit, vielleicht noch mal darauf hinweist, wie man seine privaten Dokumente sichert und dass man irgendwie sich Sachen in eine Cloud legt als Backup oder irgendwie so was. Ich glaube darüber bekommt man die Leute am Ende auch im Betrieb eingefangen. Dass es vom Privaten halt da Standard wird und man dann feststellt, Mensch, das mache ich ja eh, warum mache ich das hier eigentlich anders? Also zu Hause schließe ich auch die Haustür ab, also in der Regel.
Claudio La Torre
00:40:50
Also außer in manchen ländlichen Regionen, aber ja genau. Christoph, vielen Dank, dass du dir die Zeit genommen hast, mit mir hier gemeinsam den Podcast aufzunehmen. [Sehr gerne]. Ich könnte jetzt tatsächlich dir noch ein bisschen länger zuhören und noch länger mit dir quatschen.
Christoph Aretz
00:41:07
Ja, danke auch. Wie gesagt, von einem sehr trockenen Thema ist es tatsächlich zu einem spannenden Thema geworden und das sollte keiner, dem Thema irgendwie verwehren, dass es das werden kann.
Claudio La Torre
00:41:21
Ja, sehe ich genauso. Also jeder, der da jetzt Interesse dran hat und jetzt grade zuhört und sagt, wovon spricht er da, kann gerne mal auf uns zukommen. Wir haben da auch etwas das wir liefern können. Ich selber habe mir die Intros auch schon angeguckt, die Einspieler von denen, ich fand es sehr spannend. Ich bin selber so ein leidenschaftlicher Netflix-Gucker. Mich würde man damit auch kriegen, so eine Schulung zu machen. Sehr gut. Ich danke fürs Zuhören. Wenn es euch gefallen hat, lasst uns gerne ein Like da oder abonniert uns. Vielen Dank fürs Zuhören und bis bald. Music.

2025 - Die Netzwerkpartner

Hosted by LetsCast.fm
Deinen eigenen Podcast erstellen