Dumarey, die Automotive Excellence Gruppe
Nach nur einem Jahr mit Cyber Guru ist das Cyberrisiko viel geringer
Die Dumarey Gruppe wurde vor etwa einem Jahr unter diesem Namen gegründet, aber ihre Geschichte reicht viel weiter zurück. Sie wurde auf Betreiben von Guido Dumarey, dem Gründer und heutigen Präsidenten, gegründet, der 1983 seine erste Akquisition tätigte: ein kleines belgisches Unternehmen, das sich auf das Stanzen von Metall spezialisiert hatte. Bis vor einem Jahr noch unter dem Namen Punch bekannt, etablierte sich die Gruppe auf dem Markt als unabhängiger Anbieter für die Entwicklung, Integration und Produktion von Hochleistungs-Antriebssystemen, angefangen bei Getrieben und Motoren. Die Gruppe beschäftigt mehr als 3.000 Mitarbeiter an 6 Standorten in Europa und Asien und erzielt einen Jahresumsatz von rund 1 Milliarde Euro.
Die Gruppe ist in mehrere Geschäftsbereiche gegliedert, in denen sie zusammenarbeitet und ihr Know-how austauscht, um die verschiedenen Bedürfnisse und Anforderungen der Kunden zu erfüllen, von Antriebssträngen über Getriebe bis hin zu integrierter Software. Angesichts der Menge an Informationen, mit denen das Unternehmen umgeht, der hohen Anzahl an Mitarbeitern und des hohen technologischen Profils hat es sich entschieden, der IT-Sicherheit besondere Aufmerksamkeit zu widmen.
Paolo Carlo Pomi, seit etwa einem Jahr Ciso des Unternehmens, spricht mit uns darüber. Er hat sich nicht nur auf die Technologie konzentriert, sondern auch auf die Schulung der Mitarbeiter, nicht zuletzt, weil das Unternehmen aufgrund von Branchenzertifizierungen verpflichtet ist, seine Mitarbeiter in Fragen der Cybersicherheit zu schulen und zu sensibilisieren.
„Ich glaube, dass eine kontinuierliche Schulung notwendig ist, um gegen Social Engineering-Angriffe gewappnet zu sein“, sagt Pomi. In meinem Bereich kann die Wirksamkeit des Frontalunterrichts, der einmal im Jahr stattfindet, das Problem der Compliance lösen, aber er ist nicht effektiv genug, um das Risiko zu managen. Die Kommunikation zu diesem Thema ist oft langweilig und uninvolvierend. Um das Unternehmen vor dem wachsenden Cyber-Risiko zu schützen, muss die Technologie mit einer einfach und schnell einsetzbaren und messbar wirksamen Schulungslösung gekoppelt werden, die das Risiko in kurzer Zeit senken kann und die Mitarbeiter zur ersten Verteidigungslinie gegen Cyber-Angriffe macht.
Laut Pomi liegt die Stärke eines Trainingsplans wie Cyber Guru vor allem in der Kontinuität der Botschaft. „Ein kontinuierliches Programm mit Trainings- und Simulationsabschnitten und mit der Prüfung der Widerstandsfähigkeit gegenüber Social Engineering-Angriffen. Es geht nicht nur um Phishing, sondern um eine weitere Verteidigungslinie neben der technischen, die jeden Mitarbeiter zu einem wachsamen Hüter der Unternehmensgrenzen macht.“
Außerdem sind wir heute alle miteinander verbunden und oft überschneiden sich die beiden Welten, die Berufs- und Arbeitswelt und die persönliche Welt, und geraten durcheinander.
„Dies ist in der Tat ein weiterer wichtiger Risikofaktor, der nicht mehr ignoriert werden kann“, sagt Pomi. „Egal, wie sehr wir uns bemühen, beides voneinander zu trennen, selbst bei der Verwendung von Firmengeräten, der Social-Engineering-Angriff nutzt diese gegenseitige Durchdringung in hohem Maße aus. Da Sie die persönlichen Geräte Ihrer Mitarbeiter nicht kontrollieren können, besteht die einzige Möglichkeit, das Risiko zu verringern, darin, ihr Bewusstsein und ihre Aufmerksamkeit zu erhöhen.“
Mit Cyber Guru ‚Viele berichten und wenige klicken‘
Das Cyber Guru-Schulungsprogramm wird von der Dumarey-Gruppe seit etwa einem Jahr eingesetzt, zunächst in der Niederlassung in Turin und seit kurzem auch an den anderen Standorten für Mitarbeiter, die nur über eine Firmen-E-Mail-Adresse verfügen. „Langfristig ist es mein Ziel“, sagt Pomi, „diese Art von Training auf Menschen auszuweiten, die keine Firmen-E-Mails haben. Es handelt sich nämlich um eine Schulung, die auch für den persönlichen Bereich nützlich ist, und zwar unabhängig von dem Kontext, in dem man arbeitet. Laut Pomi sind ein Jahr nach der Einführung des Schulungsprogramms bereits die ersten wichtigen Rückmeldungen zu verzeichnen. „Das Bewusstsein ist sicherlich gestiegen und das Risiko wurde gesenkt. Viele berichten und wenige klicken. Ein Vorfall, der diesen neuen Trend bestätigt, ist ein Vorfall von vor ein paar Tagen. Ein Angestellter erzählte mir, dass er in einem Restaurant nach seinen Kreditkartendaten gefragt wurde, um eine Reservierung vorzunehmen. Die Seite, auf der er sie eingeben sollte, war jedoch seltsam und nicht zertifiziert, so dass die Reservierung nicht durchgeführt werden konnte. Dies ist eine Bestätigung dafür, wie ein Schulungskurs wie der von Cyber Guru die Aufmerksamkeitsschwelle zum Erkennen eines potenziellen Betrugs erhöhen kann. Es handelte sich nicht um einen Insider, sondern um einen Verkäufer. Daher erreicht die Botschaft, die auf konkrete, praktische und verständliche Weise erklärt wird, jeden, unabhängig von den Aufgaben, die die Mitarbeiter ausführen. Nach einem Jahr ist der Bekanntheitsgrad viel höher als zuvor. Außerdem stellt dies sicher, dass das Unternehmen bei den Besuchen der Auditoren der verschiedenen Zertifizierungen erfolgreich ist, die nach dem Sensibilisierungs- und Schulungsteil fragen“. Natürlich handelt es sich bei dem von Cyber Guru vorgeschlagenen Schulungsmodell um ein neues Konzept, das weit von den herkömmlichen Schulungen entfernt ist. „Der Punkt ist“, so Pomi abschließend, „dass der durchschnittliche Benutzer nicht die Theorie für Insider hören will, sondern zum Beispiel wissen möchte, was konkret die fünf wichtigsten Dinge sind, die er oder sie nicht tun sollte, um nicht in eine Cyberfalle zu tappen. Ständiges Training ist notwendig, denn auch der Aufmerksamkeitsmuskel muss trainiert bleiben. Schließlich kann es jedem passieren, unbeabsichtigt einen Angriff zu starten. Es genügt ein Moment der Ablenkung, um ernsthaften Schaden anzurichten, wenn man bedenkt, dass durch den Einsatz von künstlicher Intelligenz die Angriffstechniken immer raffinierter und raffinierter werden. Das Modell von Cyber Guru ist ein Gewinner, weil es genau diese Art von Ansatz verfolgt und der Tatsache Rechnung trägt, dass das Ziel von Kriminellen heutzutage überwiegend menschlich ist und Technologie allein keine ausreichende Barriere darstellt“.