Amadeus gewinnt Care4Aware Award
Die von HvS entwickelte Security Awareness Kampagne ist ein perfektes Beispiel für langfristigen Erfolg und überzeugte auch die Jury aus Awareness-Spezialisten.
Die Security Awareness Kampagne
Die Amadeus Security Awareness Kampagne ist ein Beispiel für einen idealtypischen Verlauf:
- Erst einmal die Führungskräfte als positive Multiplikatoren gewinnen
- Dann mit Social Engineering Attacken spielerisch persönliche Betroffenheit bei der Zielgruppe erzeugen
- Anschließend flächendeckend schulen, durch Präsenzveranstaltungen und Cyber Security E-Learning
- Parallel der Aufbau eines Cyber Security Portals im Intranet, mit aktiver Community
- Kontinuierliche Auffrischung und Ergänzung durch Phishing-Simulationen Security Arenen und Webinar-Angebote
- Besondere Awareness-Maßnahmen für IT-Personal (Administratoren und Entwickler)
Führungskräfte Trainings
In einer Phase 0 wurden die Führungskräfte in internationalen Meetings mit Live Hacking und Management Call-to-Actions für das Thema Cyber Security wachgerüttelt und als positive Multiplikatoren gewonnen. Denn Führungskräfte haben einen enormen Effekt auf die Sicherheitskultur - im Positiven wie im Negativen. Oftmals wird Security als "Bremser" und "Verhinderer" wahr genommen. Gegen eine solche Einstellung helfen keine E-Learning oder Phishing Tests, da sich die Einstellung gegenüber einer Sache aus Wissen und Emotion zusammensetzt und die Emotion bei tool-gestützter Awareness nur schwer positiv aufladen lässt, insbesondere bei Führungskräften, die hier auch noch ein persönliche Verantwortung und Vorbildfunktion haben.
Was hilft, ist die Erzeugung von persönlicher Betroffenheit durch Live-Hacking Demonstrationen und der schonungslosen Aufklärung über mögliche Risiken und Folgen eines Cyber-Angriffs. Das Ganze gepaart mit Erläuterungen, wie erfolgreiche Security funktioniert. Dadurch entsteht die Erkenntnis, dass die Security-Menschen keine "paranoiden Spinnner" sind, sondern ihre Maßnahmen sinnvoll und mit Augenmaß auswählen. Erst diese Erkenntnis schafft eine positive Grundeinstellung zum Thema Security. Die Basis für alle nachfolgenden Maßnahmen.
Die Führungskräfte-Trainings waren für die Hauptniederlassungen Madrid, Nizza und Erding geplant, wurden aber auf Grund des extrem positiven Feedbacks auf wichtige internationale Standorte ausgeweitet: Boston, Miami, Sao Paulo, Dubai, Bangkok und Bangalore. Und da wir schon mal da waren, haben wir die Trainings ab dem zweiten Jahr auch für Mitarbeiter geöffnet.
Social Engineering Attacken durch das Phantom
In Anlehnung an die von HvS bei Microsoft Deutschland bereits im Jahr 2010 umgesetzte Kampagne "Microsoft jagt das Phantom" haben wir wieder ein Phantom erschaffen, dass spielerisch und mit einem Augenzwinkern die ernsten Botschaften der Cyber Security Awareness vermittelt. Dieses Phantom führte verschiedene Angriffe auf die Belegschaft durch:
- Phishing E-Mails
- Auslegen präparierter USB-Sticks
- Social-Engineering-Anrufe
- Durchforsten von Büroräumen mit Dumpster Diving
Natürlich wurden alle Angriffe immer sofort aufgeklärt und unternehmensweit kommuniziert. Außerdem haben wir (wie immer) besonders darauf geachtet, niemanden "in die Pfanne zu hauen" oder bloßzustellen. Alle Aktionen wurden durch HvS anonymisiert und durch das Phantom mit Charme kommuniziert. Deshalb gab es auch von Seiten der Mitbestimmung keine Einwände, sondern breite Zustimmung.
Das Phantom hat die Herzen der Belegschaft erobert und wurde zum offiziellen "Key Visual" der Security Awareness Kampagne.
Kontinuierliche Know-how-Vermittlung
Natürlich können nicht 19.000 Mitarbeiter in 150 Ländern durch Präsenzveranstaltungen geschult werden. Deshalb wurde das IS-FOX E-Learning als verpflichtendes E-Learning ausgerollt, angepasst auf die Richtlinien und Schwerpunkte von Amadeus und gebrandet auf das Phantom. Dieser E-Learning-Kurs erreichte die höchste Teilnahmequote und mit die besten Bewertungen bei Amadeus.
Da aber kaum jemand ein E-Learning aufruft, um mal kurz etwas nachzuschlagen, haben wir parallel ein Cyber Security Intranet Portal etabliert, quasi das "Security Wiki".
Und Dank des weit verbreiteten Community-Ansatzes bei Amadeus und verfügbaren internen Ressourcen konnte das Security Team im Laufe der Jahre die Cyber Security Community zur Community mit den meisten Abonnenten bei Amadeus ausbauen. Ein großartiger Erfolg, der beweist, dass Security nicht dröge und nervend sein muss.
In den Folgejahren hat Amadeus weitere Maßnahmen zur Know-How-Vermittlung integriert, beispielsweise kontinuierliche Phishing-Simulationen und die Durchführung von Security Arenen.
Cyber LABs für Admin und Developer
Das Kerngeschäft von Amadeus ist IT. Dementsprechend gibt es mehrere Tausend Administratoren und Entwickler in der Belegschaft. Und bei dieser Zielgruppe ist die Botschaft "klicke nicht auf Phishing-E-Mails" bei weitem nicht ausreichend. Admins und Entwickler haben ganz andere Security Themen und können durch ihre privilegierten Rechte sogar größeren Schaden als Endbenutzer anrichten. Erschwerend kommt noch hinzu, dass Security-Maßnahmen deren Arbeitsalltag weitaus mehr beeinflussen als das bei normalen Anwendern der Fall ist.
Deshalb wurden und werden seit 3 Jahren Admins und Entwickler gezielt zum Thema Security Awareness geschult.
Sie dürfen in eigenen LAB-Umgebungen in die Rolle eines Angreifers schlüpfen und ihre eigenen typischen Systeme zerlegen. Ähnlich wie bei den Führungskräften braucht es genau diese eigene Betroffenheit und Einsicht, bevor die eigentlichen Security-Botschaften vermittelt werden können... sonst hört uns schlicht und ergreifend niemand zu. Die Cyber LABs haben ausschließlich Bestbewertungen durch die Teilnehmer und fördern massiv eine positive Security-Kultur im der IT-Community bei Amadeus, obwohl der Arbeitsalltag dadurch ein klein bisschen komplizierter wird.
Die Amadeus Security-Awareness-Kampagne ist ein sehr erfolgreiches Beispiel langfristiger und integrierter Maßnahmen:
- Der Top-Down-Ansatz mit Überzeugung und Gewinnung der Führungskräfte wurde perfekt umgesetzt, sogar in einer Phase 0 vor dem eigentlichen Kampagnenstart.
- Die Unternehmenskommunikation war bereits zum Zeitpunkt der Kampagnenplanung involviert und hat uns optimal unterstützt, alle relevanten Kommunikationskanäle zu nutzen.
- Die weltweiten Security Officer wurden frühzeitig einbezogen und haben die Kampagne erfolgreich in die Regionen multipliziert.
- Das Cyber Security Intranet Portal wurde zum zentralen Security Wiki und im Laufe der Zeit zu einer interaktiven Community, mit den meisten Abonnenten innerhalb der Amadeus Gruppe.
Ein wesentlicher Erfolgsfaktor war sicher auch, dass sich eine Person dediziert um das Thema Security Awareness kümmern konnte, denn als Nebenjob ist so eine Kampagne nicht zu stemmen.
Es hat uns nicht wirklich überrascht, dass unsere Phantom-Kampagne von Security-Awareness-Spezialisten als bestes langfristiges Security-Awareness-Programm ausgezeichnet wurde und sich damit gegen sehr gelungene Kampagnen der Stadt Zürich und der Daimler AG durchgesetzt hat.
Leider konnte der Care4Aware Award 2020 auf Grund der Corona Pandemie erst Ende 2021 verliehen werden. Thomas Wepner, Senior Corporate Security Officer von Amadeus, hat ihn trotzdem mit Freude entgegengenommen.
Und wir freuen uns natürlich mit Ihm und auf die Weiterführung der Kampagne!