Keine Snack-Attacken mehr? Mondelez hofft, dass ein neues Sicherheitstrainingsprogramm den nächsten “NotPetya” verhindern kann.

Cyber Security News

Mondelez International, Hersteller von Marken wie Oreo, Ritz und Sour Patch Kids, ist gerade dabei, ein videobasiertes Programm zur Sensibilisierung und Schulung in Sachen Sicherheit einzuführen.

Der NotPetya-Angriff auf die Lieferkette im Jahr 2017 traf den 26,6-Milliarden-Dollar-Nahrungsmittelkonzern Mondelez International schwer, legte Windows-basierte Computer lahm und störte den Vertrieb.

Sicher, APT-Angriffe können zerstörerisch und sogar tödlich sein, aber der Welt ihre Oreo-Kekse zu verweigern, ist einfach nur grausam. Tatsächlich sagte Nikolay Betov, Informationssicherheitsbeauftragter bei Mondelez, gegenüber SC Media, dass dieses Ereignis “alles verändert hat”.

Aber trösten Sie sich, Snack-Liebhaber. Mondelez hat eine neue Security Awareness Initiative gestartet, die darauf abzielt, Best Practices der Cyberhygiene sowohl in den Büros als auch in den Produktionsstätten zu fördern und so hoffentlich die Effektivität des nächsten großen Angriffs zu reduzieren. Im Rahmen dieser globalen Initiative werden die Mitarbeiter mit kurzen, aber wirkungsvollen videobasierten Lektionen konfrontiert, die von der Security-Awareness-Firma AwareGO zu Themen wie Phishing, Datenlecks, Microsoft Office-Sicherheit und Zoom-Bombing produziert werden. Anschließend testet das Team von Betov die Mitarbeiter mit Phishing-Simulationen und Bewertungsfragen, um zu sehen, ob die Lektionen behalten werden.

Mit 42.000 Mitarbeitern und einem großen Kontingent an Vertragspartnern, die in Büros und Produktionsstätten auf der ganzen Welt arbeiten, muss Mondelez ein Schulungsprogramm entwickeln, das verschiedene Kulturen, Sprachen und Geschäftsbereiche anspricht.

SC Media interviewte Betov, um einen Einblick in das dreijährige Programm zu bekommen, das bereits in den ersten sechs Monaten messbare Ergebnisse liefert. Betov arbeitet von der Slowakei aus und ist seit 22 Jahren ein fester Bestandteil des Unternehmens. Er begann als Netzwerkadministrator, als das Unternehmen noch unter dem Namen Kraft Foods bekannt war, und wuchs mit dem Lebensmittelgiganten, als dieser eine große Anzahl von allgegenwärtigen Marken wie Oreo, Chips Ahoy!

Hinweis: Das folgende Interview wurde aus Gründen der Übersichtlichkeit leicht modifiziert und bearbeitet.

Erzählen Sie uns etwas über Ihren Hintergrund.

Ich habe als Netzwerkadministrator angefangen und mich zu verschiedenen Rollen hochgearbeitet. Ich hatte das Glück, viele Rollen zu haben, denn Mondelez ist ein Unternehmen, das durch Übernahmen gewachsen ist.

Im Jahr 2015 kam ich zur Informationssicherheit… Der Bereich war wirklich spannend und wuchs – und danach wuchs er noch schneller. Im Moment bin ich für Governance und Awareness zuständig, und als Nebenjob mache ich Identitäts- und Zugriffsmanagement, das wir in die Sicherheit überführt haben. Die Hauptziele für mich sind also Richtlinien, Standards, das Festlegen von Kontrollzielen und das Ausrollen an die Organisation und den Rest der Architekten, die das System aufbauen. Und dann geht es an der Awareness-Front um den Aufbau und die Verbreitung einer Sicherheitskultur im Unternehmen.

Was hat Sie zu der Entscheidung veranlasst, Ihr Security-Awareness-Programm neu zu beleben?

Wir haben schon seit Jahren ein Sicherheitsbewusstsein. Das ist keine neue Sache für Mondelez. Aber es war traditionell, Compliance-basiert, einmal im Jahr: Du gehst zu einem 40-minütigen Training, du klickst, dass du X, Y und Z einhältst; es geht hauptsächlich um Richtlinien und darum, was das Unternehmen von den Mitarbeitern erwartet.

Also ich habe diesen Bereich im Juni letzten Jahres übernommen [as part of a cybersecurity program] der mehrere Elemente umfasst, darunter die Aufrüstung unseres Security Operations Center mit neuen Technologien, Risikomanagement, Datenschutzprogramme und [a strong emphasis on] Awareness – denn… man muss die Leute wirklich dazu bringen, etwas zu verstehen und zu üben, damit sie sich verhalten [properly] in einer kritischen Situation.

Wir schauen uns also an, wie wir wirklich eine Verbindung zu dieser breiteren Belegschaft herstellen können, die wir haben, mit verteilten Fabriken, Büromitarbeitern – besonders jetzt mit Remote-Arbeitsweisen, wo die Leute weniger ins Büro gehen. Wir sagen: “Was müssen wir innerhalb der Organisation ändern, um einen Wandel in der Kultur zu bewirken?” Und uns war klar, dass das keine schnelle [fix]. Wir bereiten uns auf eine Reise vor, und sie erweist sich als schwieriger, als wir erwartet haben, aber ich denke, wir sind wirklich auf einem guten Weg, und wir beginnen, die ersten Ergebnisse zu sehen.

Bevor wir zu diesen Ergebnissen kommen, was sind Ihre Ziele?

Wir haben nach einer Möglichkeit gesucht, einige Metriken zu erstellen und in der Lage zu sein, zu messen [success]. Also haben wir damit begonnen, eine Umfrage unter den Mitarbeitern durchzuführen. “Wie empfinden Sie Ihr Wissen über Sicherheit? Ist es für Sie einfach, Informationen zu finden?” Und wir haben einige Lücken identifiziert, sowohl in Bezug darauf, wo Sicherheit als zu schwerfällig oder bürokratisch wahrgenommen wird, als auch in Bezug auf [how effectively we’re] Übermittlung von Botschaften als auch. [There were instances] wo die Leute dachten, dass sie etwas Gutes tun würden. Aber tatsächlich, wenn man sie in ein Szenario versetzt – “Hey… würdest du ein Passwort mit [your boss]?” Die Leute würden das in manchen Fällen als normales und akzeptables Verhalten ansehen. Wir wollen also die Auswirkungen von z. B. unseren Phishing-Simulationen messen.

Der zweite Bereich war die Messung der Ergebnisse von Vorfällen im Security Operation Center. Aber so weit sind wir noch nicht.

Und der dritte [is a security training] Modul. Wir geben, jede zweite Woche, ein Video an die Leute. Es ist eine Minute lang, sie schauen es an, und am Ende gibt es eine kurze Frage. Und dann führen wir eine Bewertung des Moduls durch.

Wir haben gesagt: Was sind die wichtigsten Bedrohungen für uns? Wir haben acht Bedrohungen aufgelistet, basierend auf unseren Erfahrungen, einschließlich SOC… Phishing, Social Engineering und solche Sachen. Und wir sagten, was sind die wichtigsten Verhaltensweisen, die wir messen wollen? Zum Beispiel, nicht nur nicht zu klicken [on phishing simulation emails] sondern auch das Melden von Vorfällen. Wie handhaben Sie die Verwaltung kritischer Informationen und den Umgang mit mehreren Passwörtern?

Und es gab einige wirklich interessante Beobachtungen.

Was waren einige der Beobachtungen und messbaren Ergebnisse bisher?

Wir haben die Benutzer jahrelang darin geschult, was ein starkes Passwort ist und dass sie auch eine Passphrase verwenden sollten [which is even stronger.]

Aber als wir sie fragten: “Könnt ihr diese Passwörter in der Reihenfolge ihrer Stärke einordnen?”, gaben sie als stärkstes Passwort das an, das ein Sonderzeichen enthielt, auch wenn es [only] acht Zeichen lang war, anstelle desjenigen, das 16 Zeichen lang war. Und wir sagten… wir müssen etwas tun, um die Denkweise zu ändern, weil es so tief verankert ist, dass man acht Zeichen, eine Ziffer und ein Sonderzeichen haben muss.

Und als Beispiel für eine Verbesserung kann ich Ihnen die Ergebnisse der letzten Phishing-Simulation nennen, die wir durchgeführt haben. Wir haben eine etwas schwierigere Simulation durchgeführt. Wir haben sie angepasst – wir haben ein altes Mondelez-Logo [in the email.] Also, unsere Fehlerquote – das heißt, die Leute geben ihre Anmeldedaten ein – war höher als der Branchendurchschnitt.

Aber mit der Sensibilisierungskampagne haben wir in der Region Asien-Pazifik begonnen. Also, ich würde sagen, wenn die [industry failure rate] Benchmark “X Prozent” war und unsere durchschnittliche Bewertung X-plus-fünf-Prozent war, lag Asien-Pazifik 30 Prozent darunter. Und es war die einzige Region, die unter dem Benchmark der anderen lag.

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/04/NikolayBetov_Mondelez_0038-725x1024.jpg]Nikolay Betov, Informationssicherheitsbeauftragter bei Mondelez International.

Können Sie ein wenig mehr über die Art der Schulungsvideos erklären?

Es handelt sich um ein einminütiges Video, gefolgt von einer einzelnen Frage – sehr einfach, aber nicht immer leicht, und dann ein Referenzmaterial für weitere Lektüre, die optional ist.

Wir lassen jede zweite Woche ein neues Video laufen. Wir haben das Programm also über sechs Monate aufgebaut, in denen wir 10 Videos plus drei Bewertungen hatten.

Der Schlüssel ist für mich die Wiederholung, so als würde man in ein Fitnessstudio gehen, um zu üben. Oft sagen uns die Leute: “Selbst nach der Phishing-Simulation … wissen Sie was? Ich bin darauf reingefallen. Und ich weiß es. Und ich bin so wütend auf mich, weil alle Hinweise da waren.” Und ich sage ihnen: “Sehen Sie, es ist eine Frage der Übung… Je mehr Sie üben, desto eher scheinen Sie es zu wissen. Aber wenn es dich trifft [for real], müsst ihr es im Hinterkopf haben, damit es schnell zu euch kommt.”

Am Ende des Videos, [we can] Nachrichten anpassen, um sie relevant zu machen [to each department or location]. Wir können zum Beispiel unseren “Phishing melden”-Button zeigen… Und wir fügen unser Logo ein und sagen: “Das brauchen wir von Ihnen” – und wir haben das in sechs Sprachen übersetzt.

Und es sind nicht nur Büroangestellte, oder? Es gibt auch Mitarbeiter in Produktionsanlagen, die ganz andere Aufgaben und damit verbundene Cyber-Risiken haben. Wie sieht deren Ausbildung aus?

Wir konzentrieren uns wirklich auf die Bereiche, die vom menschlichen Verhalten beeinflusst werden – Netzwerkschutz, Verlassen auf Firewalls, NAC-Lösungen.

Für die Fertigung haben wir die drei Dinge identifiziert: USB-Nutzung (die weit verbreitet ist), Software-Updates … und das dritte sind Besucher und Wartungsfirmen – diese Typen, die mit ihren Laptops kommen, sich an unsere Geräte anschließen und ein paar Einstellungen an den Maschinen vornehmen, usw. Also, lassen Sie sie nicht unbeaufsichtigt, haben Sie einen Kontrollpunkt für die Software. Ist es ein vertrauenswürdiges Unternehmen? Ist es eine große Firma wie Siemens, die alle Tools zur Verfügung hat, oder ist es ein lokaler Anbieter, der seinen Laptop aus der Werkstatt seines Bruders hat und von dem Sie nicht wissen, was darauf läuft? Lassen Sie es also erst von einem lokalen IT-Fachmann überprüfen, bevor sie weitermachen.

Es gibt noch eine dritte Dimension, die wir berücksichtigen. Wir nennen sie Persona-Gruppen. Wir wollen also eine separate [awareness] Fokus auf Personen mit privilegierten Zugangskonten und auch auf leitende Angestellte für Walfang-Verhaltensweisen legen.

Was sind angesichts der aktuellen Bedrohungslage die größten Sicherheitsprobleme von Mondelez, die Sie nicht nur mit dem Awareness-Programm, sondern mit Ihrer größeren Cyber-Initiative angehen wollen?

Ganz oben auf der Liste steht die Kontinuität des Betriebs, also die Herstellung des Produkts, das Erreichen der Regale und der Verbraucher.

Wir stellen einfache Dinge her – Kekse und Süßigkeiten. Wir sind kein typisches IP-Unternehmen. Aber trotzdem wollen wir nicht, dass unsere Geschäftsgeheimnisse, unsere Rezepte für Cadbury oder für Oreos, im Umlauf sind, also würde ich auch sagen, Markenschutz, finanzieller Verlust.

Sie erinnern sich vielleicht, dass wir 2017 von NotPetya getroffen wurden, sehr ernsthaft… Und jeder, der zu diesem Zeitpunkt im Unternehmen war, erinnert sich daran, was wir tun mussten, um die Kontinuität sicherzustellen. Glücklicherweise liefen unsere SAP-ERP-Systeme auf Linux, Unix, so dass sie nicht betroffen waren, aber die Leute waren ohne PCs oder Windows-Geräte… Das hatte massive Auswirkungen, und wann immer wir über eine mögliche Zukunft sprechen, ist es im Hinterkopf des Managements wie auch der Mitarbeiter.

Was ist der nächste Schritt? Neue Standorte? Neue Trainingswerkzeuge und Module?

Es ist beides. Wir haben den asiatisch-pazifischen Raum bearbeitet und wir haben mit Lateinamerika begonnen. Am Ende dieses Monats machen wir Nordamerika, und Europa startet eine Kampagne mit uns.

Danach wollen wir in die Tiefe gehen, die Komplexität und die Themen, die wir besprechen, sowie die Durchdringung in der Organisation erhöhen. Wir wissen, dass das nicht alles im ersten Jahr erledigt sein wird.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com