Fellowmind X SoSafe: Mit dem Menschen im Fokus zu echter, messbarer Sicherheit

Nach der Gründung 2019 in den Niederlanden etablierte sich Fellowmind schnell als Leader in digitaler Transformation und Full-Service Microsoft-Partner mit über 2.000 Expertinnen und Experten in fünf europäischen Ländern. Fellowmind unterstützt Organisationen des Produktions- und Energiesektors sowie des Einzelhandels bei der Optimierung von Betrieb und Kundenerfahrung und der Zukunftssicherung mittels Microsoft Dynamics 365 sowie Cloud- und Datenlösungen.

Bei Fellowmind steht der Mensch im Mittelpunkt. Ihr Credo ist simpel und gleichzeitig tiefgreifend: Wenn wir Einzelpersonen befähigen, ihr Talent unter Beweis zu stellen, profitieren wir auf Unternehmens- wie auch auf gesellschaftlicher Ebene.

Der CISO von Fellowmind, Roald Roos, leitet die Informationssicherheit der gesamten Organisation, er managt regionale Maßnahmen und baut unternehmensweit eine starke Sicherheitskultur auf.

Als die Cyber-Security-Anforderungen zu komplex für isolierte Tools wurden, entschied sich Fellowmind für SoSafe als Partner – denn was beide von Anfang an verband, war der Fokus auf den Menschen. Ziel war es, durch Steigerung des Engagements, verbesserte Security-Kennzahlen und den Aufbau einer zukunftsfähigen Sicherheitskultur eine risikoresiliente Organisation aufzubauen.

Von fragmentierten Tools zu nachhaltigen sicheren Gewohnheiten

Während der Expansion von Fellowmind innerhalb Europas erkannte Roald Roos schnell ein Muster: Jede Region ging Cybersicherheit anders an. In Skandinavien standen Mitarbeitende neuen IT-Tools aufgeschlossen gegenüber. In Polen herrschten strengere Kontrollen und geringeres Interesse. Die Herausforderung? Unabhängig von den verschiedenen Ausgangspunkten eine einheitliche, starke Sicherheitskultur aufzubauen.

In der Zwischenzeit stand die Bedrohungslage nicht still. Cyberangriffe, die früher an Fehlübersetzungen und unnatürlich klingenden Ausdrücken leicht zu erkennen waren, hatten sich in ausgeklügelte, nahezu unerkennbare Bedrohungen entwickelt.

„Früher erkannte man eine Phishing-Kampagne ganz einfach an sprachlichen Fehlern oder seltsam klingenden Formulierungen. Das hat sich geändert. Angriffe sind heute viel ausgeklügelter und schwerer zu erkennen“, erklärt Roald. „Die Frage lautet nicht mehr, ob man zur Zielscheibe einer Phishing-Mail wird, sondern wann. Deshalb ist Training ein zentraler Aspekt. Angreifende profitieren von KI, aber sie kann auch uns – den Guten – helfen, indem sie uns smarteres, verhaltensbasiertes Training und Detection-Strategien ermöglicht.“

Da Roalds Team außerdem mitten im ISO-Zertifizierungsprozess steckte, wurde eine einheitliche Sicherheitsstrategie noch dringlicher. Die getrennte Verwaltung von Phishing-Simulationen und E-Learning verzögerte den Erfolg von Sicherheitsmaßnahmen.

„Die unabhängigen Lösungen erschwerten das Management der Kampagnen. Wir mussten Systeme und Prozesse vereinheitlichen, Compliance sicherstellen und das Engagement der Mitarbeitenden stärken“, so Roald Roos.

Nachdem er selbst die Herausforderungen fragmentierter Lösungen erlebt hatte, erkannte er, dass eine zentrale Plattform nötig war. „Indem wir alles in einer Lösung vereinten, haben wir eine Effizienzsteigerung von mindestens 30 % erzielt und die Einrichtung war aus technischer Sicht viel einfacher“, sagt er.

Auch von außerhalb des Unternehmens erhöhte sich der Druck, denn Kunden fragten immer häufiger nach Compliance mit der NIS2-Richtlinie.

Um eine echte, nachhaltige Veränderung zu erzielen, musste das Training bei Fellowmind nicht nur informieren – es musste motivierend, leicht zu verwalten und mit allen internationalen Standorten kompatibel sein.

Mit klar definierten Zielen, einem neuen System und der nötigen Dringlichkeit, war Fellowmind entschlossen, die Security Awareness unternehmensweit zu transformieren – von isolierten Maßnahmen zu einer Sicherheitskultur, die sich im Laufe der Zeit in der Unternehmenskultur verankert.

Compliance als Grundlage, Audit-Bereitschaft als Ziel

Roald führte SoSafe an allen internationalen Standorten von Fellowmind ein und war am Rollout aktiv beteiligt – dass er sieben Mandanten in einer einzigen Umgebung verwalten konnte, vereinfachte ihm dabei die Aufsicht. Um das Engagement zu steigern, wollte er ein zusätzliches Gamification-Element in Form eines freundschaftlichen Wettbewerbs zwischen den verschiedenen Regionen schaffen.

Wie Fellowmind mit SoSafe strukturierte Security Awareness über Regionen hinweg einführte

Fellowmind implementierte die integrierte Phishing- und E-Learning-Lösung von SoSafe, um die Security Awareness effektiver zu verwalten und die Compliance-Vorgaben verschiedener Frameworks zu erfüllen. Der Fokus ihres Ansatzes liegt auf:

• ​Phishing-Simulationen, die sicheres Verhalten bei den Mitarbeitenden stärken und sie befähigen, Bedrohungen frühzeitig zu erkennen.
• E-Learning-Module, die kontinuierlich motivierendes Training bereitstellen, das auf reale Risiken abgestimmt ist. Um die Awareness stetig zu stärken, veröffentlicht Fellowmind jeden Monat ein neues Trainingsmodul. Laut Roald konnte er mit SoSafe im Vergleich zum vorherigen Anbieter eine Effizienzsteigerung seines Teams von über 30 Prozent feststellen.
• Gamification, die das Engagement in Form von Kurztests, Challenges und freundschaftlichem Wettbewerb steigert.

Compliance als fester Bestandteil des Arbeitsalltags

Frameworks wie ISO-27001 geben zwar wichtige Standards vor, doch Fellowmind hatte jenseits von Audit-Anforderungen weitere Sicherheitsziele. Der eigentliche Antrieb hinter ihren Compliance-Bemühungen waren der Schutz von Kundendaten und die Minderung der realen Risiken.

Fellowmind nutzt SoSafe in seiner Strategie in drei Hauptbereichen:

• ISO-27001-Zertifizierung: Fellowmind nutzt die E-Learning-Plattform von SoSafe, um im Einklang mit der Richtlinie kontinuierliches Security Awareness Training bereitzustellen. Dabei profitiert Roalds Team auch vom ISO-Reporting-Tool zum Verfolgen der Teilnahme und als Compliance-Nachweis für Auditoren.
• NIS2-Readiness: Als Vorbereitung auf die neue Richtlinie stellte Fellowmind die Lektionen zum Thema Cybersicherheit für Führungskräfte von SoSafe bereit. Dieses rollenbasierte Training stellt sicher, dass das Führungsteam und Vorgesetzte ihre Verantwortung in Bezug auf Risikomanagement, Incident-Response und direkte Rechenschaftspflicht kennen.
• DSGVO-Compliance: Mit den Datenschutz-Lektionen von SoSafe vermittelt Fellowmind seinen Mitarbeitenden wichtige Informationen zum Schutz persönlicher Daten. Das stärkt wiederum die Compliance insgesamt und trägt zum Schutz des Kundenvertrauens bei.

Compliance ist wichtig, aber wir wollen mehr als nur Richtlinien erfüllen. Das ISO-Reporting-Tool von SoSafe hilft uns, Compliance-Anforderungen zu erfüllen. Aber es ermöglicht uns auch, reale Risiken zu reduzieren, Kundendaten zu schützen und eine Sicherheitskultur zu fördern, die menschliche Risiken effektiv minimiert. Und das ist viel wirkungsvoller, als einfach nur Audits zu meistern.

Neben der Plattform und dem Training beruhte der Erfolg von Fellowmind auch auf einer starken Partnerschaft. Roald berichtete, wie das Customer Success Team von SoSafe – die er selbst als „Berater“ bezeichnete – sie bei jedem Schritt unterstützte.

„SoSafe unterstützte uns effektiv bei der Implementierung – vom User-Management über Whitelisting und das Erstellen von Templates bis hin zu regelmäßigen Tipps zum Durchführen von Kampagnen“, so Roos.

Während zunächst auch andere Anbieter in Frage kamen, machte für Roald letztlich der verhaltenspsychologische Ansatz und der Gamification-Faktor den Unterschied, um maximale Akzeptanz in der ganzen Organisation sicherzustellen.

„Die Kombination aus Phishing-Simulationen, personalisiertem Lernen und Gamification hat das Engagement insgesamt gesteigert und hilft uns, die Anforderungen wichtiger Frameworks wie NIS2, DSGVO und ISO zu erfüllen“, so der CISO von Fellowmind.

Aufbau einer vertrauenswürdigen und messbaren Sicherheitskultur

Heute wird die Sicherheitskultur bei Fellowmind nicht durch Richtlinien definiert. Sie zeigt sich in täglichen Entscheidungen, kleinen, aber wichtigen Gewohnheiten und stolzen Momenten, wenn jemand eine Phishing-Mail erkannt hat.

„Unsere Klickraten sind drastisch gesunken und unsere Mitarbeitenden sind aktiv ins Training involviert. Mit der Hilfe von SoSafe bauen wir eine proaktive Sicherheitskultur auf und stellen gleichzeitig die Compliance mit wichtigen Richtlinien sicher“, sagte Roald.

Mit den Analytics von SoSafe verfolgt Fellowmind die Ergebnisse aufgeschlüsselt nach Land und kann seinen Ansatz basierend auf echten Daten anpassen. Roald konnte in allen Bereichen Verbesserungen beobachten und die Ergebnisse sprechen für sich:

• In manchen Märkten sind die Klickraten bei Phishing-Simulationsmails bis auf 3,5 % gesunken und liegen weit unter dem Branchendurchschnitt.
• Nutzende erzielen beim Training ein durchschnittliches Ergebnis von 97 %, was von einer starken Awareness zeugt.
• Interaktionen mit Phishing-Mails sind um 74 % gesunken.

Für die Zukunft sieht Roald personalisiertes Lernen als den nächsten großen Schritt: „Keiner will jedes Jahr aufs Neue dieselben Inhalte durchkauen. Durch personalisierte Lerninhalte, die auf einem kurzen Fragebogen basieren und auf die individuellen Aufgaben abgestimmt sind, können wir die Akzeptanz weiter steigern“, erklärte er.

Roald schätzt vor allem auch die von Expertinnen und Experten erstellten Lektionen: „Anstatt stundenlange Vorträge über die Sicherheitskultur zu halten, ist es viel wertvoller, von Experten erstellte Lektionen und Templates zu haben. Solche Materialien selbst zu erstellen, würde unglaublich viel Zeit in Anspruch nehmen und die Qualität, die SoSafe mit Gamification, Tests und Videos bietet, könnten wir nicht ansatzweise erreichen“, fügt er hinzu.

Trotz allem vergisst Roald nie die stärkste aller Verteidigungslinien:
„Hinter den Bildschirmen sitzt das wichtigste Element, nämlich der Mensch. Mit ihm steht oder fällt nahezu jeder Angriff“, betont Roald. „Es ist wichtig, dass Mitarbeitende wissen, wie sie sich bei einem echten Angriff verhalten sollen. Hier kommt es auf effektives Risikomanagement und eine insgesamt starke Sicherheitskultur an.“

„SoSafe ermöglicht es uns, langfristige sichere Verhaltensweisen zu etablieren – durch Security Awareness, personalisiertes Training und stetigen, hervorragenden Support“, sagte er abschließend. „Die aktive Unterstützung durch SoSafe bei jedem Schritt hat den gesamten Prozess immens erleichtert. Und das maßgeschneiderte Training und die Analytics waren entscheidende Faktoren für eine nachhaltige Veränderung.“

Die verhaltensbasierte Security-Awareness-Plattform von SoSafe integriert Phishing-Simulationen, personalisiertes E-Learning, Gamification-Elemente und Echtzeit-Analytics. So hilft sie Organisationen, langfristig sicheres Verhalten aufzubauen, eine proaktive Sicherheitskultur zu fördern und Compliance-Vorgaben zu erfüllen.

Als es für Fellowmind darum ging, Teams verschiedenster Hintergründe unter einer starken Sicherheitskultur zu vereinen, fanden sie in SoSafe den richtigen Partner. Für sie lag echte Sicherheit in den täglichen Gewohnheiten, nicht bloß im Erfüllen von Richtlinien. Die Geschichte von Fellowmind verdeutlicht: Das echte Risiko liegt nicht im nächsten Angriff, sondern in der Frage, ob die Mitarbeitenden darauf vorbereitet sind.