Sicherheitsbewusstsein fördern mit InfoTrust

Für die Swisscanto Asset Management AG sind Sicherheitsaspekte von zentraler Bedeutung. Dank der Security Awareness Trainings der InfoTrust AG konnte das Bewusstsein der Mitarbeiter für IT-Sicherheit wesentlich erhöht werden.

Die Swisscanto Asset Management AG bietet als ausgewiesene Spezialistin qualitativ hochstehende Anlageund Vorsorgelösungen für institutionelle oder private Kunden direkt oder über Banken und Intermediäre an. Informationssicherheit ist für die Swisscanto als Finanzinstitut ein zentrales Thema. Es ist äusserst wichtig, jederzeit gewappnet zu sein und den drohenden Gefährdungen und Risiken mit entsprechenden Schutzmassnahmen entgegenzutreten. Denn weltweit ist ein massives Ansteigen von Sicherheitsvorfällen zu beobachten. Klassische Virenvorfälle haben zwar tendenziell nachgelassen, vermehrt treten jedoch Vorfälle auf, die durch immer cleverere Malware verursacht werden. Unternehmen erleiden dadurch immer wieder finanzielle wie auch immaterielle Schäden.

Heutzutage wird ein grosser Teil der Datenlecks oft unwissentlich durch die Mitarbeiter verursacht. Eine fehlende oder zu geringe Sensibilisierung der Mitarbeiter, aber auch des Managements, begünstigt solche Ereignisse. Ein höheres Sicherheitsniveau ist meist nur durch die Förderung des Sicherheitsbewusstseins der Mitarbeiter möglich. Das Management der Swisscanto war sich dieses Sachverhalts bewusst und plante, durch Awareness- Massnahmen die Sensibilisierung ihrer Mitarbeiter für Sicherheitsaspekte wesentlich zu steigern und das Verständnis für Schutzmassnahmen im geschäftlichen Alltag zu fördern.

Es wurde beschlossen, ein internes Awareness-Training zum Thema IT-Sicherheit zu erarbeiten. Eines der Ziele dieses Trainings war es, alle Mitarbeiter jeder Stufe zu erreichen, unabhängig von Standort und Sprache. Um eine bessere Wirkung und eine höhere Akzeptanz zu erzielen, sollte das Awareness-Training konkret auf die Bedürfnisse von Swisscanto zugeschnitten und, unabhängig von Funktion und Aufgabe, für jeden Mitarbeiter verständlich und nachvollziehbar sein. Basierend auf diesen Rahmenbedingungen und Voraussetzungen sowie aufgrund der nur beschränkt vorhandenen, personellen Ressourcen und der bereits langjährigen bewährten Zusammenarbeit mit der InfoTrust AG wurde beschlossen, diesen Auftrag an den externen Partner zu übertragen. Ein weiterer Grund dieser externen Vergabe war, dass externe und unabhängige Spezialisten oft mehr Gehör finden als eigene Mitarbeiter.

Vorgehensweise
InfoTrust verwendet folgendes Vorgehensmodell für Awareness-Kampagnen. Es umfasst im Wesentlichen vier Phasen:

• Phase 1: Aufmerksamkeit gewinnen
  Ziel: Motivation der Mitarbeiter zur aktiven Mitarbeit
  Massnahmen: Plakate, Bericht in Firmenzeitschrift, Mailing von Geschäftsleitung, Logo
• Phase 2: Wissensvermittlung, Veränderung der Einstellung
  Ziel: Grundlagenvermittlung, Anstoss zu Verhaltensänderung
  Massnahmen: Trainings, Info-Veranstaltungen, Videos, Give-Aways
• Phase 3: Vertiefung
  Ziel: Dauerhafte Verhaltensänderung, positive Identifikation
  Massnahmen: interne Newsletter, schwarzes Brett, Intranet
• Phase 4: Öffentlichkeitsarbeit
  Ziel: Verankerung von IT-Sicherheit als Qualitätsmerkmal
  Massnahmen: interne und externe Publikationen

Wichtig für eine erfolgreiche Umsetzung von Awareness-Kampagnen sind zudem folgende Faktoren: Awareness muss auf allen Stufen umgesetzt werden (Vorgesetzte als Vorbild); Beschränkung auf das Wesentliche (unternehmensspezifische Risiken betrachten); IT-Sicherheit nicht «nur» aus IT-Sicht betrachten (es betrifft jeden Mitarbeiter).

Themenbereiche Awareness-Training

Bei Swisscanto entschied man sich für ein halbtägiges Training in Deutsch und Französisch, das in drei Niederlassungen des Unternehmens durchgeführt wurde. Der Inhalt des Trainings umfasste vier Teile: erstens die Zielsetzungen und Gründe, weshalb Sicherheitsmassnahmen wichtig sind; zweitens die direkten und indirekten Gefahren aus verschiedenen Bereichen (Malware, Hacker, Phishing etc.) und konkrete Verhaltensregeln, die aufzeigen, wie man den Gefahren begegnet beziehungsweise wie diese vermieden werden können, drittens die Vorstellung der bei Swisscanto implementierten Schutzmassnahmen im technischen und organisatorischen Bereich und viertens Fragen und Antworten, um auf konkrete Fragestellungen entsprechende Hilfeleistungen anbieten zu können.

Fazit

Die Durchführung des Awareness-Trainings war ein voller Erfolg. Das Feedback der Teilnehmer war äusserst positiv. Der grosse Erfahrungsschatz der externen Spezialisten und die nachvollziehbare Vermittlung der Inhalte wurden von den Mitarbeitern sehr geschätzt. Gewisse Risiken waren zuvor gar nicht bekannt. Etliche Teilnehmer bestätigten, dass sich ihr Verhalten, sowohl im geschäftlichen wie auch privaten Gebrauch des Computers, nach dem Kurs verändert habe. Das bewusstere Verhalten konnte unter anderem auch anhand der abnehmenden Incident-Meldungen am Helpdesk festgestellt werden. Auch die Betriebskosten, die zuvor durch unbewusstes Handeln der Mitarbeiter verursacht wurden, konnten merklich reduziert werden.

Gemäss Aussage von Markus Küng, Leiter IT Infrastruktur und IT-Sicherheitsbeauftragter der Swisscanto Asset Management AG, hat sich der Aufwand für die Swisscanto in jeglicher Hinsicht gelohnt: «Damit sich die Situation nachhaltig und langfristig halten kann, ist es aber wichtig, dass das Awareness-Training periodisch wiederholt wird. Das Umfeld und die Gefahren verändern sich und auch das Bewusstsein der Mitarbeiter muss von Zeit zu Zeit wieder neu sensibilisiert werden. Aufgrund unserer sehr guten Erfahrungen mit InfoTrust werden wir auch für künftige Awareness-Massnahmen auf diese Partnerschaft zurückgreifen.»

Download Success Story