Security Awareness

Wie Henkel Sicherheitsbewusstsein schafft

05.11.2020 von Florian Maier

Um für die Cyberbedrohungen der Gegenwart und Zukunft gewappnet zu sein, hat die Henkel AG ein global ausgerichtetes Security-Awareness-Programm mit Vorbildfunktion auf die Beine gestellt.

Die Henkel AG zeigt mit ihrem #SharedResponsibility-Programm, wie eine nachhaltige, breitgefächerte Security-Awareness-Initiative aussieht. Den Startpunkt bildete eine fünftägige Awareness-Messe am Unternehmenshauptsitz in Düsseldorf.
Foto: Henkel AG

Die Henkel AG & Co. KGaA verfolgt im Rahmen ihrer Digitalstrategie zahlreiche Initiativen, um die Kundenerfahrung zu optimieren. In der Digitalisierungsära sind aber nicht nur innovative neue Ansätze und Geschäftsmodelle gefragt: Insbesondere die Härtung der IT-Systeme gegen die Angriffsversuche krimineller Hacker sollte auf der Unternehmensagenda angesichts der aktuellen Bedrohungslandschaft ganz oben stehen.

Bei Henkel hat man dieses Erfordernis erkannt und eine IT-Sicherheitsstrategie "2020+" entworfen, zu der auch ein umfassendes, global angelegtes Security-Awareness-Programm gehört, das den Faktor Mensch in den Mittelpunkt rückt. Mit der Kampagne nahm das Unternehmen am diesjährigen DIGITAL LEADER AWARD - dem deutschen Award für Digital Leadership - teil und schaffte es unter die Finalisten des Sonderpreises CYBERSECURITY.

IT-Sicherheit auf allen Ebenen

Die Kampagne für Sicherheitsbewusstsein läuft bei Henkel unter dem Motto - beziehungsweise dem Hashtag - #SharedResponsibility, schließlich geht IT-Sicherheit längst nicht mehr nur die IT-Abteilung, sondern alle Mitarbeiter an: Nur wenn die gesamte Belegschaft um die Gefahren weiß, die im Netz lauern, lässt sich das Risiko von Kompromittierungen nachhaltig reduzieren.

Wird Security zu einem allgemeinen Grundbaustein, wirkt sich das nicht nur positiv auf die Unternehmenssicherheit, sondern auch das langfristige Erfolgspotenzial von Projekten aus. Die Sicherheitsbewusstseinsinitiative von Henkel nimmt dabei nicht nur die Sicherheit im Arbeitsalltag in den Fokus, sondern auch die im privaten Umfeld. Nur so ist aus Sicht der Verantwortlichen sichergestellt, dass die vermittelten Inhalte auch wirklich zu Verhaltensänderungen bei den Mitarbeitern führen.

Zur Vermittlung der Inhalte baute Henkel ein global operierendes Awareness Team auf, dessen Schwerpunkte die Länder Deutschland, USA und China bilden und das zusätzlich von Freiwilligen aus anderen Ländern im Rahmen eines Cybersecurity-Netzwerks unterstützt wird. Die Teammitglieder kommen im Rahmen von Telefonkonferenzen regelmäßig zusammen, um sich über aktuelle (globale wie lokale) Security-Trends oder Bedrohungen auszutauschen oder auch an Train-the-Trainer-Sessions teilzunehmen. Die Mitglieder des Awareness Teams sind für die Mitarbeiter jederzeit über einen eigenen Yammer-Kanal erreichbar - der auch für die Verbreitung aktueller Informationen genutzt wird.

Ein wesentlicher Erfolgsfaktor für das Gelingen von Security-Awareness-Initiativen ist die Unterstützung durch die Management- und Vorstandsebene. Bei Henkel ist IT Security regelmäßig ein Thema in Management-Konferenzen - darüber hinaus treten die Mitglieder der Führungsebene des Konzerns in Statement-Videos auf, die die Bedeutung von digitaler Sicherheit und der Umsetzung entsprechender Maßnahmen unterstreichen sollen.

Der Awareness-Mix macht's

Um #SharedResponsibility zu einem standesgemäßen Start zu verhelfen, entschied sich Henkel dafür, eine fünftätige Awareness-Messe im Unternehmenshauptsitz in Düsseldorf abzuhalten. Auf der Veranstaltung nutzten die Mitglieder des Awareness Teams die Gelegenheit, um ihre Security-Themen im Rahmen von interaktiven Vorträgen zu platzieren - auch externe Redner wurden eingeladen, um über den Tellerrand der digitalen Henkel-Welt hinauszublicken.

Dabei wurden nicht nur "klassische" Themen wie Phishing oder Social Engineering behandelt, sondern auch die kriminellen Auswüchse im Darknet - Live Hackings waren ebenfalls geboten. Um allen Mitarbeitern weltweit zu ermöglichen, live an der Veranstaltung teilzunehmen, wurden sämtliche Präsentationen mehrfach durchgeführt - zudem wurden die Sessions aufgezeichnet und im Nachgang über Microsoft Stream zur Verfügung gestellt.

Die Awareness-Messe verhalf der #SharedResponsibility-Initiative von Henkel zu einem eindrucksvollen Start - im Nachgang galt es, das Interesse am Thema hoch zu halten. Dazu werden in regelmäßigen Abständen digitale Infopakete verteilt, deren Inhalte besonders prägnant und leicht verständlich aufbereitet sind. Um eventuelle Barrieren bei den Mitarbeitern abzubauen, wenn es um Nach- beziehungsweise Rückfragen geht, wurde neben der bereits erwähnten Yammer-Gruppe auch eine eigene Mailbox eingerichtet, über die die Mitglieder des Security-Awareness-Teams nahezu rund um die Uhr erreichbar sind.

Um die Mitarbeiter besser verstehen zu können und die Inhalte des Programms entsprechend an den Bedürfnissen der Zielgruppe auszurichten, werden auch regelmäßige Interviews und Befragungen anberaumt. Ergänzend zu den digitalen Infopaketen und Interviews setzt Henkel zudem auf regelmäßige Phishing-Simulationen, um sich ein umfassendes Bild vom aktuellen Security-Niveau zu machen.

Konsequent zeigt sich Henkels Awareness-Initiative nicht nur in Sachen Vermittlung, Organisation und Commitment, sondern auch, wenn es um den Einsatz digitaler Tools geht. Im Bereich Personalmanagement und Einkauf, sowie für die interne Kommunikation setzt das Unternehmen schon seit Jahren auf entsprechende Software - für #SharedResponsibility konnte Henkel daher zum Teil auf bereits bestehende Lösungen zurückgreifen:

Trainingsangebot via Cloud-basierter Lernplattform "Cornerstone";
Webinare via Skype Broadcast;
Videos und Podcasts via Microsoft Stream und SharePoint;
Intranet-Portal mit Lerninhalten und Chatbot;

Zudem experimentierte das Awareness Team auf der initialen Messeveranstaltung in Düsseldorf auch mit der Augmented-Reality-Technologie in Form von Videotrainings.

Win-Win-Security

Die Früchte der Security-Awareness-Bemühungen in Metriken zu fassen, ist naturgemäß ein schwieriges Unterfangen - dennoch kann Henkels #SharedResponsibility-Programm erste Erfolge vorweisen: Die Klickzahlen im Rahmen der Phishing-Simulationen sind rückläufig, die Download-Zahlen der Awareness-Materialien steigen. Laut der Verantwortlichen konnten zudem bereits mehrere Hacker-Angriffe erfolgreich abgewehrt, beziehungsweise verhindert werden, weil aufmerksame Mitarbeiter entsprechende, fragwürdige E-Mails oder Auffälligkeiten an ihren Rechnern gemeldet haben.

Die Henkel AG hat mit ihrer Security-Awareness-Iniative innerhalb von etwa eineinhalb Jahren erfolgreich einen kulturellen Wandel angestoßen. #SharedResponsibility ist zum festen Bestandteil der Digitalstrategie des Konzerns geworden und sichert nicht nur die digitalen Unternehmens-Assets, sondern erhöht auch das private Sicherheitsniveau der Mitarbeiter.

Die Erfolgstreiber für Security Awareness

Individuelle Lern-Sessions
Bieten Sie spezifische Inhalte für bestimmte User-Gruppen und Fachbereiche an, anstatt auf „one size fits all“ zu setzen.

Überlänge vermeiden
Die Aufmerksamkeitsspanne Ihrer Mitarbeiter ist begrenzt. Einzelne Sessions sollten im Idealfall nicht länger als 30 Minuten in Anspruch nehmen.

Nicht alles auf einmal
IT Security ist ein weites Feld – konzentrieren Sie sich auf die Dinge, mit denen die betreffenden Mitarbeiter in ihrem Arbeitsalltag konfrontiert werden.

Der stete Tropfen
Security Awareness einmal pro Jahr ist keine Lösung. Sorgen Sie für Trainings in regelmäßigen Abständen - nur so klappt es mit dem Awareness-Durchbruch.

Keine alten Kamellen
Hätten Sie große Lust, mehrmals dieselben Lehrinhalte serviert zu bekommen? Eben. Ihre Mitarbeiter auch nicht.

Aktivität einfordern
Eine rein passive Berieselung mit Best Practices aus dem Security-Bereich ist nicht zielführend. Vielmehr sollten Sie Ihre Mitarbeiter aktiv ins Awareness-Training einbeziehen.

C-Level an Bord?
Auch das Management braucht regelmäßige Weiterbildung in Sachen IT-Sicherheit.