IGL-Technologies ist ein finnischer Betreiber im Bereich Ladeinfrastruktur und Parken für Elektrofahrzeuge. Das Unternehmen entwickelt und fertigt eigene Hardware, liefert Komponenten an andere Hersteller und verwaltet die dahinterliegende Infrastruktur. Mit über 300.000 Kunden und der ISO 27001-Konformität ist Sicherheit von entscheidender Bedeutung.
Wir sprachen mit Mika Liukkonen, Information Security Officer bei IGL, der auch für die Unternehmensinfrastruktur verantwortlich ist. Als das Team wuchs und die Skalierung der Security Awareness schwieriger wurde, suchte Mika nach einer nachhaltigen Schulungslösung.
Die Herausforderung: Von der Einzelinitiative zur nicht mehr tragfähigen Lösung
Lange Zeit übernahm Mika das gesamte Security Awareness Training selbst. „Ich habe diese vierteljährlichen Schulungen durchgeführt. Es war immer ein Problem, genügend Teilnehmer gleichzeitig zu versammeln. Es war, gelinde gesagt, ein ziemlicher Aufwand.“
Damals hatte IGL etwa 30 bis 35 Mitarbeiter. „Ich teilte sie in drei Gruppen auf und veranstaltete etwa einstündige Sessions, in denen ich wichtige, allgemeine Themen behandelte“, sagt Mika. Doch selbst dann konnten einige Personen nicht teilnehmen. „Manchmal konnten Leute an einer oder sogar zwei Sessions nicht teilnehmen. Das bedeutete, dass es ein halbes Jahr dauern konnte, bis sie wieder eine Schulung erhielten.“
Um präsent zu bleiben, nutzte Mika Slack, um Erinnerungen zu versenden. Aber das war nicht genug. „Wir haben auch Erinnerungen in Slack gepostet, um die Leute bei der Stange zu halten, aber ich glaube immer noch, dass es immer eine Wissenslücke gab. Die Security Awareness würde zwischen den Trainings erheblich abnehmen.“
„Ich habe diese vierteljährlichen Schulungen durchgeführt. Es war immer ein Problem, genügend Leute gleichzeitig zur Teilnahme zu bewegen. Es war, milde ausgedrückt, ein ziemlicher Aufwand.“
Als IGL zu wachsen begann, wurde die Situation noch schwieriger zu handhaben. „Wir sind jetzt fast 50 Mitarbeiter. Ich bräuchte fünf Gruppen, und ich bin nur eine Person, die das macht.“
Mika wusste, dass sich etwas ändern musste. „Direkt nach den Trainingseinheiten sprachen die Leute auf den Fluren über Sicherheit, aber das verflüchtigte sich immer nach ein paar Wochen. Das war ein großer Pluspunkt: Eine Reihe kleiner Aufgaben anstelle eines großen Blocks zu haben.“
Die Lösung: Relevantes Training, das von selbst läuft.
Mika fand bei Guardey, wonach er suchte. Guardey ist eine gamifizierte Security Awareness Plattform, die Mitarbeitern hilft, sichere Gewohnheiten durch kurze, wöchentliche Trainings-Challenges aufzubauen. „Es wäre mir unmöglich gewesen, die gleiche Qualität und Quantität an Training selbst bereitzustellen. Und Menschen langfristig interessiert zu halten, ist mit der gamifizierten Plattform von Guardey viel einfacher.“
Er startete das Programm mit einer kurzen Demo während einer monatlichen Mitarbeiterversammlung. „Ich zeigte ihnen die Plattform, erklärte die Themen, den Wettbewerb und die Belohnungen. Sie nahmen es recht gut auf.“
„Ich könnte unmöglich die gleiche Qualität und Quantität an Training alleine bereitstellen. Und Menschen langfristig interessiert zu halten, ist mit Guardeys gamifizierter Plattform viel einfacher.“
Das Entwicklungsteam wurde engagierter, als Guardey ein spezialisiertes Content-Programm für Entwickler einführte. „Das OWASP-Training für Entwickler war nicht verfügbar, als wir mit Guardey anfingen“, erklärt Mika. „Aber als es veröffentlicht wurde, haben wir es sofort in unserem Entwicklungsteam ausgerollt. Es war eine wirklich gute Idee. Die Entwickler schätzten es viel mehr, weil die Themen näher an ihrem Niveau und relevanter für ihre tägliche Arbeit waren.“

Mika organisierte Teamwettbewerbe mit Preisen. „Ich teilte unsere Teams nach Abteilungen auf, mit etwa fünf Personen pro Gruppe. Zum Beispiel war der Kundensupport in einem eigenen Team. Bei unserer Sommerparty vergaben wir Preise: Champagner und kleine Trophäen für die drei besten Teams.“
Das Ergebnis: Engagement, Eigenverantwortung und Wirkung
Guardey lässt Teams in Herausforderungen antreten, ihren Fortschritt auf Bestenlisten verfolgen und Belohnungen verdienen. Dies macht Awareness Training zu einem gemeinsamen Ziel. Dieser Wettbewerbsvorteil blieb intern nicht unbemerkt. „Die Leute sprachen über den Wettbewerb und spornten sogar ihre Teamkollegen an, besser zu werden. Das ist genau das, was ich mir erhofft hatte.“
„Es ist einfach, bei ISO 27001-Audits nachzuweisen, dass wir das Training tatsächlich durchführen. Auch die Auditoren waren vom Gamification-Aspekt begeistert. Sie waren der Meinung, dass er maßgeblich zur Bewusstseinsbildung beigetragen hat.“
Die Beteiligung ist konstant hoch geblieben, und die Daten helfen Mika, proaktiv zu bleiben. „Ich sehe monatlich Beteiligungsquoten zwischen 70 und 85 Prozent. Das ist ordentlich. Manchmal muss ich die Leute erinnern, aber insgesamt läuft es gut.“ Er nutzt auch themenspezifische Erkenntnisse für Nachfassaktionen. „Ich kann leicht erkennen, welche Themen schwieriger sind – zum Beispiel DSGVO – und nutze das, um kleine Nachfassaktionen zu erstellen. Ich könnte etwas in Slack oder während unserer monatlichen Meetings erwähnen.“

Gleichzeitig soll Guardey nicht alles ersetzen. „Wir ziehen weiterhin Experten für themenspezifische Schulungen, wie z.B. zu DSGVO oder DevSecOps, für die relevanten Mitarbeiter hinzu. Für einige Rollen ist Guardey allein, ergänzt durch eine Slack-Erinnerung oder ein monatliches Meeting, bereits ausreichend.“
Wenn es um Audits geht, erleichtert Guardey das Leben. „Es ist einfach, bei ISO 27001-Audits den Nachweis zu erbringen, dass wir das Training tatsächlich durchführen. Die Auditoren waren begeistert vom Gamification-Aspekt. Sie waren der Meinung, dass es wirklich zur Awareness beigetragen hat.“
Für Mika ist der Wert von Guardey’s Security Awareness Programm klar. „Guardey ist so nah an einer „Silver Bullet“ für Cybersecurity Awareness, wie man nur sein kann. Es hält die Sicherheit stets präsent und tut genau das, was es soll.“
Lassen Sie sich nicht von Hackern überlisten
Stellen Sie sicher, dass Ihre Mitarbeitenden mit Guardey darauf vorbereitet sind, Sicherheitsbedrohungen zu erkennen. Starten Sie noch heute Ihre 14-tägige kostenlose Testphase.