Information Security beim Chemiekonzern

Lanxess verschickte Phishing-E-Mail an eigene Mitarbeiter

06.11.2020
Von 
Uwe Küll ist freier Journalist in München.
Der Chemiekonzern Lanxess forcierte seine Security-Strategie. Um die Belegschaft zu involvieren, nutzten die Verantwortlichen Phishing-Mails, eine Videobotschaft des CEOs und verpflichtendes E-Learning für ihre Kampagne.
Beim Lanxess stehen die Mitarbeiter im Zentrum der Sicherheitsstrategie.
Beim Lanxess stehen die Mitarbeiter im Zentrum der Sicherheitsstrategie.
Foto: Lanxess Deutschland GmbH

Andere Industrien sind schon vorangegangen, seit ein paar Jahren investiert nun auch die Chemiebranche massiv in die Digitalisierung ihrer Produktion. Der Spezialchemiekonzern Lanxess hat seine Digitalisierungsinitiative vor drei Jahren gestartet. Schnell wurde klar: Damit entsteht auch eine neue Angriffsfläche, der der Konzern begegnen muss. Wie Lanxess diesen Weg gegangen ist, zeigt die Bewerbung zum DIGITAL LEADER AWARD 2020, die am Ende den Sonderpreis "CYBERSECURITY" einbrachte.

Um das Sicherheitsniveau zu erhöhen, orientierte sich das Kölner Unternehmen beim Thema Informationssicherheit an Standards wie TISAX für die Automobil-Branche, in der Lanxess als Zulieferer tätig ist, dem NIST Cyber Security Framework für die amerikanischen Standorte und dem Gesetz zum Schutz von Geschäftsgeheimnissen. Außerdem diente die ISO 27001 als Richtschnur, obwohl Lanxess nicht unter das IT-Sicherheitsgesetz fällt.

Mitarbeiter: vom Risiko- zum Schutzfaktor

Cyberkriminelle haben grundsätzlich immer zwei Möglichkeiten an ihr Ziel zu kommen - über die Systeme oder über die Menschen, die sie bedienen. Und die Erfahrung zeigt: Der Mensch stellt das schwächste Glied in der Kette dar. Im Fokus der Sicherheitsanstrengungen stand deshalb, die Awareness aller Mitarbeiter des Konzerns zu gewinnen. Chief Information Security Officer Florian Jörgens erklärt dazu: "Es ist nicht möglich, Angreifer immer draußen zu halten.

Aber gut informierte Mitarbeiter auf allen Ebenen, die Auffälligkeiten melden und skeptisch gegenüber verdächtigen E-Mails sind, erhöhen die Wahrscheinlichkeit, Angriffe frühzeitig zu erkennen." Um die mehr als 14.000 Mitarbeiter weltweit zu erreichen, arbeitete die Abteilung Corporate Security eng mit der Digitalisierungsabteilung dLX zusammen. Darüber hinaus waren die Bereiche IT als Bereitsteller der Infrastruktur und COM für die interne Kommunikation von Anfang an involviert - wie auch CEO Matthias Zachert. Betriebsrat, Datenschutz und Personalabteilung waren ebenfalls mit im Boot.

Der Start der Sicherheitskampagne verlief dennoch zunächst unbemerkt - genau wie eine echte Phishing-Attacke: Die Mitarbeiterinnen und Mitarbeiter erhielten eine E-Mail, die angeblich vom "Mobil Development Team" stammte und Teilnehmer für einen Test von Apple-Produkten im Unternehmen gewinnen sollte. Wer mitmache, dürfe das getestete Gerät anschließend behalten, lautete das Versprechen.

Beim Klick auf den in der E-Mail hinterlegten Link wurde das Opfer dann aufgefordert, seine Windows-Daten einzugeben. Wer der Anweisung folgte, bekam eine ebenso verständnisvolle wie eindringliche Video-Botschaft von CEO Matthias Zachert persönlich angezeigt: "Das hätte mir auch passieren können ... daher ist Informationssicherheit wichtiger denn je", lautete die Ansage.

Die Reaktionen übertrafen die Erwartungen. Die E-Mail und das Thema Informationssicherheit waren in aller Munde. Entsprechend groß war das Interesse der Belegschaft, als im nächsten Schritt alle deutschen Mitarbeiter in Veranstaltungen vor Ort geschult wurden. Die Trainings vermittelten Regeln und Richtlinien, zeigten aber auch Live-Hacking. Ein Video schilderte die Arbeitsweise von Industrie-Spionen. Vorfälle in der Vergangenheit wurden ebenso offen angesprochen wie aktuelle Bedrohungsszenarien durch Phishing oder Social Engineering.

Die Sprache der Belegschaft sprechen

Beim weltweiten Roll-Out der Sicherheitsstrategie setzte Lanxess auf verpflichtendes E-Learning. In Zusammenarbeit mit der Abteilung für Digitalisierung entwickelte die Corporate Security Web-basierte Trainings mit kurzen Video-Sequenzen, Audio-Files und interaktiven Elementen. Damit auch wirklich alle Mitarbeiter die Inhalte verstehen, wurden die eingesetzten Materialien in die jeweilige Landessprache übersetzt.

Florian Jörgens ist Chief Information Security Officer bei Lanxess Deutschland: "Es ist nicht möglich, Angreifer immer draußen zu halten. Aber gut informierte Mitarbeiter auf allen Ebenen, die Auffälligkeiten melden und skeptisch gegenüber verdächtigen E-Mails sind, erhöhen die Wahrscheinlichkeit, Angriffe frühzeitig zu erkennen."
Florian Jörgens ist Chief Information Security Officer bei Lanxess Deutschland: "Es ist nicht möglich, Angreifer immer draußen zu halten. Aber gut informierte Mitarbeiter auf allen Ebenen, die Auffälligkeiten melden und skeptisch gegenüber verdächtigen E-Mails sind, erhöhen die Wahrscheinlichkeit, Angriffe frühzeitig zu erkennen."
Foto: Lanxess

Darüber hinaus sorgten attraktive Incentives für eine rege Beteiligung der Belegschaft: Am Ende des E-Learning konnten Mitarbeiter ihre Zertifikate einsenden und an einer Verlosung von Amazon-Gutscheinen teilnehmen. Darüber hinaus erhielten sie Webcam-Abdeckungen mit dem Cyber-Security-Logo. Dieses Give-away kommt sehr gut an und ziert inzwischen fast jedes Notebook im Unternehmen.

Zusätzlichen Schub erhielt das E-Learning-Programm durch den inoffiziellen Wettbewerb der Geschäftsbereiche um die höchste Teilnehmerquote. Deren Publikation in einer Rangliste im Internet trug mit dazu bei, dass am Ende die angepeilte Marke von 70 Prozent deutlich übertroffen wurde. Unternehmensweit haben 81 Prozent der Mitarbeiterinnen und Mitarbeiter die digitalen Schulungen besucht - und mit jeder Neueinstellung steigt die Quote. Denn die Sicherheitszertifizierung gehört zum Pflichtprogramm in der Einarbeitungsphase an jedem Arbeitsplatz. Dahinter, so Florian Jörgens, steht eine zentrale Erkenntnis der Unternehmensführung: "Unsere Mitarbeiter sind neben der richtigen Technologie und klaren Prozessen der wichtigste Schutz gegen Angreifer."

Lanxess
Die Lanxess AG wurde 2004 als Carve-Out von Bayer gegründet und ist ein Spezialchemiekonzern mit Hauptsitz in Köln. Mit 58 Produktionsstandorten und etwa 14.300 Mitarbeitern in 33 Ländern liegen die Kernkompetenzen in der Produktion, der Entwicklung und dem Vertrieb von chemischen Zwischenprodukten, Additiven, Spezial-Chemikalien und Kunststoffen. Damit erwitschaftete Lanxess 2019 einen Jahresumsatz von 6,8 Milliarden Euro.