Informationstechnologie gehört heute in allen Bereichen der AMAG zum Arbeitsalltag – ohne Computer, Daten und Netzwerke könnten wir unsere Leistung nicht mehr erbringen. Doch IT birgt auch eine Vielzahl von Risiken: Eingeschleuste Viren können Systeme lahmlegen, Hackerinnen und Hacker können Daten entwenden und diese missbrauchen – oder sie erpressen Unternehmen, indem sie die Daten stehlen oder verschlüsseln. Informationssicherheit ist bei der AMAG deshalb ein sehr wichtiges Thema.
Um die Mitarbeitenden für die Gefahren im digitalen Raum zu sensibilisieren, geht die AMAG innovative Wege. Seit 2019 setzen wir die von einem Zeichner gestaltete Figur Troy Troller ein, um die Mitarbeitenden auf Risiken aufmerksam zu machen. 2022 haben wir Troy eine Komplizin zur Seite gestellt, um die Aufklärung zu verstärken: Trixie Tricker wurde am Family Day im September 2022 erstmals vorgestellt. Roger Mattmann, Chief Information Security Officer bei der AMAG, erklärt im Interview, weshalb es Troy und Trixie braucht und wie sie ihre Rolle wahrnehmen.
Weshalb braucht es Troy und Trixie überhaupt?
IT-Systeme können noch so smart sein – der Mensch bleibt bei der Informationssicherheit immer die Schwachstelle. Cyberkriminelle versuchen häufig, über Mitarbeitende in die Computersysteme eines Unternehmens zu gelangen, sei es über betrügerische E-Mails, gefälschte Social-Media-Profile oder andere Vorgehensweisen. Man weiss, dass rund 85 Prozent der Cybersicherheitsverletzungen durch menschliches Versagen verursacht werden.
Troy Troller und Trixie Tricker – warum hat Troy 2022 eine Komplizin erhalten?
Troy steht eher für technische Angriffe. Doch es gibt immer mehr Cyberkriminelle, die das sogenannte Social Engineering einsetzen. Das heisst, sie versuchen über digitale oder sogar direkte physische Kontakte zu Mitarbeitenden das Unternehmen auszuspähen und Angriffswege auszukundschaften. Das Social Engineering kann bis zu 90 Prozent des Aufwands eines gezielten Angriffs ausmachen, bevor dann die eigentliche technische Attacke erfolgt. Trixie soll auf diese Gefahr aufmerksam machen, während Troy weiterhin eher auf die technische Seite fokussiert. Gemeinsam sind sie ein starkes Paar.
Wie muss man sich Trixies Charakter vorstellen?
Sie ist jung, dynamisch und agil. Sie ist sehr umgänglich und hat zu den meisten Leuten rasch einen guten Draht. So baut sie Vertrauen auf. Die Leute reden gerne mit ihr – und sie ist geschickt dabei, ihnen Informationen zu entlocken. Diese gibt sie dann an ihren Komplizen Troy weiter.
Setzt die AMAG Trixie präventiv ein oder sind die Gefahren aus dem Cyberspace bereits Realität?
Trixie soll zusammen mit Troy verhindern, dass durch Cyberangriffe Schaden für die AMAG entsteht. In diesem Sinn setzen wir die Figuren präventiv ein. Doch die Gefahren lauern bereits und sind präsent. Ein Beispiel: Kürzlich tauchten Fake-Profile von angeblichen AMAG Mitarbeitenden auf der Social-Media-Plattform XING auf. Diese Personen trugen in ihrem Profil die AMAG als Arbeitgeberin ein. Dann vernetzten sie sich mit anderen Mitarbeitenden der AMAG, um so Vertrauen aufzubauen und Schwachstellen für gezielte Angriffe auszukundschaften.
Welche weiteren Gefahren lauern auf solchen Plattformen?
Ich staune oft, wie wenig die Menschen bei ihren Posts an die Cybersecurity denken. Da sieht man Fotos aus Workshops mit gut erkennbaren Informationen auf Flip-Charts im Hintergrund oder Screens mit offenen Programmfenstern und sensiblen Daten. Auf solche Gefahren soll Trixie ebenfalls aufmerksam machen. Sie und Troy haben deshalb übrigens seit Kurzem auch je ein eigenes LinkedIn-Profil, die Zahl ihrer Freundinnen und Freunde steigt.
Wie setzt ihr Trixie und Troy sonst noch ein?
Da sind wir kreativ. Das Spektrum reicht von Posts in unserem Intranet bis zu physischen Auftritten an Veranstaltungen. Während des Europäischen Cyber-Security-Monats im Oktober 2022 haben wir zum Beispiel einen Lunch und einen Afterwork-Apéro organisiert. Mitarbeitende aus meiner Abteilung als Trixie und Troy verkleidet waren vor Ort und machten auf ihre Themen aufmerksam. Dann und wann machen wir auch gezielte Versuche, die Mitarbeitenden auszutricksen. Wenn jemand reinfällt, ist das ein starker Augenöffner-Moment.
Das tönt spielerisch. Doch wie gross ist der Nutzen tatsächlich?
Alle sensibilisierten Mitarbeitenden achten stärker auf die Gefahren, die aus dem Cyberraum drohen. Das Schadenspotenzial durch Cyberangriffe ist sehr hoch, deshalb bringen unsere Massnahmen auf jeden Fall einen Nutzen. 2022 haben wir Trixie und Troy bei einem Audit verschiedenen Verantwortlichen von Volkswagen vorgestellt. Sie waren beeindruckt von unserer Initiative.
