Die Aufgabenstellung
Mit strengen Sicherheitsstandards und technischen Massnahmen kann die Agrisano Krankenkasse AG eine hohe Absicherung ihrer IT-Infrastruktur sicherstellen. Auch das Thema Spam wurde wirkungsvoll angegangen: Von rund 3.6 Millionen jährlichen Mails werden ca. 3.3 Millionen blockiert. Schwieriger ist das Thema Phishing, wo der Faktor Mitarbeiter eine grosse Rolle spielt. Es braucht also eine Sensibilisierung der IT-Nutzer auf sämtlichen Stufen.
Mit der Umstellung ihrer Endpoint-Protection auf die Cloud-Lösung Sophos Central bot sich der Agrisano eine neue Möglichkeit, das Thema Phishing effizient und wirksam anzugehen: Sophos Phish Threat. Das einfach einzusetzende Tool bietet Phishing-Simulationen und anschliessende Online-Trainings für Mitarbeitende. Mit dem Vorschlag zum Einsatz von Sophos Phish Threat rannte die IT-Abteilung in der Geschäftsleitung offene Türen ein.
Die Lösung
Sophos Phish Threat bietet eine breite Palette von über 500 Vorlagen, mit denen Phishing-Angriffe simuliert werden. Diese Szenarien reichen von klassischen gefälschten Lieferbestätigungsmails bis hin zu höchst individualisierten E-Mails von vermeintlichen Geschäftspartnern. All diese realistischen Tests lassen sich mit wenigen Klicks einsetzen. Wer auf das Phishing-Mail hereinfällt, erhält automatisch das passende aus rund 60 Trainingsmodulen, in dem konkret aufgezeigt wird, wie die Gefahr hätte erkannt werden können.
Die Belsoft Infortix AG unterstützte die Agrisano Krankenkasse AG bei der Konfiguration in Sophos Central und der Einbindung der Nutzer. In einem Workshop wurden zudem die verschiedenen Kampagnen, die Individualisierungsmöglichkeiten und allgemeine Tipps detailliert besprochen. Dabei spielten auch psychologische Elemente eine Rolle: Auf welche Emotionen und Automatismen setzen echte Phishing-Mails, um zum Erfolg zu kommen?
Die Agrisano entschied sich, die Vorlagen stark auf das eigene Unternehmen anzupassen. Sie simulierte als Absender etwa die interne IT, eine Apotheke in der Umgebung oder die benachbarte Fachhochschule. Dadurch ist es schwieriger, die Mails als Phishing zu erkennen; die Realitätsnähe und dadurch der Lerneffekt sind entsprechend grösser. Bei der Erstellung der Mails wurde aber ausschliesslich auf öffentlich verfügbare Daten gesetzt, um auch die Möglichkeiten externer Angreifer zu berücksichtigen.
Der Nutzen
Die bei Phish Threat durchschnittliche Klickrate von 30% wurde bei der Agrisano – trotz hoher Individualisierung der Mails – mit 28% bereits in der ersten Kampagne unterschritten. «Umso wichtiger war es uns, dass alle betroffenen Mitarbeitenden dann auch tatsächlich ihre Trainings absolvierten», erzählt André Peterhans, Leiter IT Operations bei der Agrisano. Diese kurzen Lerneinheiten, bestehend aus kurzen Texten und Videos, können problemlos zwischendurch erledigt werden.
Die Trainings zeigten einen überwältigenden Erfolg: «In der zuletzt durchgeführten Kampagne konnten wir die Klickrate auf gerade noch 10% senken», freut sich Peterhans. Sehr positiv waren auch die Reaktionen der Angestellten, welche die Phishing-Mails als solche erkannten: «Die Mitarbeitenden warnten sich gegenseitig und unsere Support-Abteilung wurde regelrecht von Anfragen überflutet.»
Dank Phish Threat gelang es der Agrisano Krankenkasse AG also, das Bewusstsein für Phishing-Attacken bei den Mitarbeitenden massiv zu steigern und deren Reaktion darauf zu schulen. Dadurch wurde eine bekannte Schwachstelle jedes Unternehmens deutlich gestärkt. Dass dies einen wichtigen Beitrag hinsichtlich IT-Security darstellt, wurde André Peterhans auch von extern bestätigt: «Bei unserem letzten ISO-Audit wurde dies explizit und sehr positiv erwähnt.»
André Peterhans zum Projekt
«In der zuletzt durchgeführten Kampagne konnten wir die Klickrate auf gerade noch 10% senken.»
Über die Agrisano
Die Agrisano Krankenkasse AG mit Sitz in Brugg bietet Bauernfamilien und deren Angestellten selbstentwickelte und bedürfnisgerechte Versicherungslösungen. Mehr als 150’000 Grundversicherte beziehen ihre obligatorische Grundversicherung, KVG-Taggeldversicherung oder Unfallversicherung via Agrisano Krankenkasse AG.
Zusammen mit den vier weiteren Agrisano-Unternehmungen (Agrisano Stiftung, Agrisano Versicherungen AG, Agrisano Prevos und Agrisano Pencas) beschäftigt sie 180 Mitarbeitende. Administrativ und organisatorisch sind die Agrisano-Unternehmungen in den Schweizer Bauernverband (SBV) integriert. Sie arbeiten eng mit den kantonalen landwirtschaftlichen Berufsorganisationen zusammen, die für die Agrisano regionale Geschäftsstellen (Regionalstellen) betreiben.
