In einem ersten Schritt wurde mit dem Security Awareness Radar® der aktuelle Stand der Informationssicherheit ermittelt. Für die Umsetzung der Verbesserungsmassnahmen wurde mit Security Awareness as a Service Unterstützung geboten. Diese beinhaltete:

• Konzepte erstellen
• Schulungsmaterialien anpassen
• Informationen rund um das Thema Informationssicherheit erstellen
• Roadmap mit Umsetzungsmassnahmen erstellen

Um das eigene Schulungsmaterial auszubauen und zu professionalisieren, wurde die Krankenkasse Mitglied im Security Awareness Club. Sie erhielt somit Zugriff auf das gesamte Schulungsmaterial von TreeSolution. Der Security Awareness Club richtet sich an Unternehmen, welche kein eigenes oder wenig Awareness-Material haben, ihre Mitarbeitenden aber dennoch erfolgreich schulen möchten. Das Material kann flexibel nach Bedarf für Kampagnen im Unternehmen eingesetzt werden. Damit wird eine kontinuierliche Schulung und Awareness im Unternehmen gewährleistet.

Das Ziel der Initiative war, dass alle Mitarbeitenden die Verantwortung für die Sicherheit in ihrem Arbeitsumfeld wahrnehmen und im Umgang mit Daten und Informationen entsprechend angemessen handeln. Dies wurde durch wiederkehrende und sich ergänzende Massnahmen auf unterschiedlichen Kanälen (z. B. E-Learning, Security-Blog, Intranet News, Quizze, Präsentationen) erreicht.

Ein einprägendes Markendesign auf allen Medien der Initiative war wichtig, um der Initiative visuell ein Gesicht zu geben und dadurch die Mitarbeitenden zu unterstützen, das Gelernte besser zu verinnerlichen und umzusetzen. Die Themen waren wichtig und wurden ansprechend vermittelt, damit die Aktivitäten nachhaltig wirken und die Sicherheitskultur verbessert wurde. Vor der Initiative wurde eine Messung (Security Awareness Radar®) der Sicherheitskultur durchgeführt, die nach Abschluss der Initiative wiederholt wird.

Das Ziel der Security Awareness und der Unterstützung in Form des Security Awareness as a Service war die Verbesserung der Informationssicherheit und Schulung aller Mitarbeitenden. TreeSolution unterstützte die Krankenkasse bei der Beratung und Umsetzung von Sicherheitsmassnahmen, basierend auf den Ergebnissen der Security Awareness Radar® Befragung. TreeSolution erarbeitete mit Vertretern aus den Fachbereichen eine gemeinsame Grundlage zur Umsetzung der Initiative und sorgte dafür, dass die Zusage zur Mitarbeit von allen Beteiligten eingehalten wurde.

Die Zusammenarbeit zwischen der Krankenkasse und TreeSolution beinhaltete folgende Themen:

• Erstellen des Konzeptes für Informationssicherheit, Datenschutz, Awareness und Training sowie der dazugehörenden Roadmap für 18 Monate.
• Durchführung und Auswertung des Security Awareness Radar®.
• Erstellen des Kommunikationsplans mit Themen für News und Blogbeiträge, basierend auf dem Mitarbeitenden-Feedback aus der Befragung.
• Vorbereitung und Durchführung des Kick-Off- Workshops mit allen Stakeholdern.
• Einbinden der Mitarbeitenden zur Findung des Slogans für die Awareness-Initiative «Informationssicherheit & Datenschutz».
• Unterstützung beim Branding der Initiative mit Logos und Themenbild.
• Überarbeiten und Launch des Intranet-Auftritts für die Awareness-Initiative.
• Schreiben von News und Blog-Beiträgen.
• Neugestaltung der Einführung des Fachbereichs Sicherheit während der Welcome Days (Einführungstage für neue Mitarbeitende). Der Auftritt wird interaktiver und unterhaltsamer. Anhand verschiedener heikler Situationen, die in einem Krimi erzählt werden, sollen sich die neuen Mitarbeitenden mit Fallbeispielen der Informationssicherheit auseinandersetzen.
• Zusammenstellen der Security Toolkits (Kurzpräsentationen).
• Ergänzung der «Goldenen Regeln» für eine digitale Broschüre und Blog-Beiträge.
• Anpassung von E-Learnings auf Kundenanforderungen.
• Durchführen des Phishing-Trainings mit simulierten Angriffen mit spielerischen Auflösungen.

Ein wichtiger Bestandteil der Awareness- Initiative war die Einbindung der Mitarbeitenden, der Fachbereiche und der Geschäftsleitung. Die Mitarbeitenden reichten Ideen für den Slogan ein und wählten diesen anschliessend aus. Die Fachbereiche halfen bei der Umsetzung mit und lieferten wo nötig Informationen und Ideen für Massnahmen. Ein Vertreter aus der Geschäftsleitung war Schirmherr der Initiative.

Die Zusammenarbeit zwischen der Krankenkasse und TreeSolution war ausschlaggebend für den erfolgreichen Start der Initiative. So wurden die knappen zeitlichen Ressourcen seitens der Krankenkasse so wenig als möglich beansprucht. TreeSolution hielt die Bälle am Rollen durch die gute Vorarbeit und der Koordination der Arbeitspakete. Es galt eine gute Ausgeglichenheit zwischen "Umsetzung der Roadmap und Anforderungen des Tagesgeschäftes" zu gewährleisten und dabei die Ziele der Initiative nicht aus den Augen zu verlieren.

Die Resultate des Security Awareness Radar® lieferten ein detailliertes Bild der Informationssicherheit und dem Sicherheitsbewusstsein bei den Mitarbeitenden. Zudem wurde ersichtlich, welche Themen und Zielgruppen prioritär geschult werden müssen, um das Sicherheitsbewusstsein im Unternehmen zu steigern und die Informationssicherheit in der Unternehmenskultur zu verankern. Dieses Wissen wurde im Informationssicherheitskonzept, den News und Blogbeiträgen sowie weiterem Schulungsmaterial eingebunden.

Durch die professionelle Unterstützung in Form des Security Awareness as a Service und dank dem Material aus dem Security Awareness Club konnte die Krankenkasse die Initiative professionell und rasch starten.

Die Initiative wurde von den Mitarbeitenden gut aufgenommen. Besonders für den Slogan wurden viele gute Vorschläge eingereicht. Auch bei der Abstimmung zur Wahl des Slogans wurde fleissig mitgemacht. Die Befragung mit dem Security Awareness Radar® kam gut bei den Mitarbeitenden an und sie schätzen es sehr, dass die Krankenkasse im Bereich Informationssicherheit und Datenschutz so aktiv ist.

Alle geplanten und bisher durchgeführten Massnahmen fördern eine sicherheitsbewusste Unternehmenskultur und tragen so zur «Human Firewall» bei. Durch eine ganzheitliche und kontinuierliche Lernreise über einen längeren Zeitraum wird das Wissen über Informationssicherheit stetig erweitert und die Security Awareness Kultur etabliert.

«Im Bereich Awareness haben wir, dank der Unterstützung von TreeSolution, einen grossen Schritt nach vorne gemacht – jetzt gilt es weiterhin am Ball zu bleiben.»
CISO einer schweizerischen Krankenkasse

‍«Eine solide Sicherheitskultur ist fundamental und muss konsequent wiederholt und gefördert werden - besten Dank für die Umfrage.»
Ein Mitarbeitender zur Befragung mit dem Security Awareness Radars®

Um das Verbesserungspotenzial noch besser auszuschöpfen, wird die Zusammenarbeit um weitere 12 Monate verlängert. Für eine erfolgreiche Lernreise wird ein Gesamtkonzept für Informationssicherheit erstellt.

Mit einer weiteren Messung mit dem Security Awareness Radar® wird ermittelt, wie nachhaltig die Kampagnen bei den Mitarbeitenden angekommen sind und in welchen Bereichen weitere Massnahmen und Schulungen erforderlich sind.

Das Branding mit Logo, Bildern etc. wird für weiterführende Aktionen und Kampagnen verwendet, um den Wiedererkennungswert zu steigern und dadurch das Sicherheitsbewusstsein noch besser zu fördern.