Mitarbeitende der Stadt Oelde erkennen täuschend echte Phishing-Mails

Mit monatlichen Awareness-Trainings für alle Mitarbeitenden erreicht die Stadt Oelde einen hohen Lerneffekt, durch den bereits echte Cyberangriffe verhindert wurden.

Klickrate:

in einem Jahr von 9 % auf 4 % gesenkt (↓55%)

Zufriedenheit der Mitarbeitenden mit SoSafe:

4,5/5

Produkte:

• Personalisiertes Micro-Learning
• Phishing-Simulationen
• Phishing-Meldebutton

Demo starten

Das nordrhein-westfälische Oelde ist mit 30.000 Einwohnern eine kleine Stadt – aber technisch moderner aufgestellt als viele große Kommunen. Beispielsweise hat sie alle Außenstellen, Schulen und die Feuerwehr mit eigenen Glasfaserleitungen angebunden und stellt überall WLAN zur Verfügung.

Dafür verantwortlich ist Daniel Kramer, Leiter des Fachdienstes IT und Digitalisierung, der seit über 20 Jahren bei der Stadtverwaltung arbeitet. Mit seinem 15-Personen-Team stellt er die Netzwerk-Infrastruktur und digitale Produkte für Bürger und Betriebe bereit. Er ist stolz darauf, wie innovativ die IT der Stadt Oelde ist und dass sie nicht nur reaktiv, sondern proaktiv handelt. Dazu gehört auch, die Security-Awareness zu stärken, um Cyberangriffe von vornherein zu verhindern. Im Gespräch erzählte uns Daniel, dass die Mitarbeitenden mit dem Micro-Learning von SoSafe so viel gelernt haben, dass sie jetzt selbst täuschend echte Phishing-Mails entlarven und Angreifende stoppen können.

Den Kopf der Menschen haben wir nicht im Griff

Die Stadt Oelde macht im Bereich IT vieles anders als andere Kommunen. „Wir sind einzigartig, weil wir sehr autark sind“, erklärt Daniel. Ihm und seinem Team ist es wichtig, möglichst wenig auf externe Anbieter zurückzugreifen, sondern das für den täglichen Betrieb nötige Know-how im eigenen Haus zu haben. Das hat den Vorteil, agil und flexibel auf Anforderungen reagieren zu können, bringt aber auch große Verantwortung mit sich: Das Team ist ganz allein für die Sicherheit zuständig. Deshalb hat Sicherheit immer Vorrang, wenn neue Produkte ausgerollt, Dienstleistungen entwickelt, neue Server aufgesetzt oder neue Anbindungen geschaffen werden – auch wenn dadurch manchmal auf Funktionen verzichtet werden muss.

Aufgrund der bedeutenden Rolle, die Behörden für das öffentliche Leben spielen, werden an die Sicherheit ihrer IT-Systeme besonders hohe Anforderungen gestellt. Vor einigen Jahren war deshalb bei der Stadt Oelde ein Uniprojekt durchgeführt worden – eine als wissenschaftliche Studie angelegte Phishing-Kampagne. Dabei reifte folgende Erkenntnis: Nach technischen und organisatorischen Maßnahmen ist der nächste logische Schritt, bei den Mitarbeitenden das Bewusstsein für Sicherheit zu wecken und zu festigen. Daniel und sein Team überlegten damals: „Was ist das größte Einfallstor? Neben der Technik, die wir gut im Griff haben, was haben wir nicht im Griff? Das ist natürlich der Kopf des Menschen. Wir können noch so tolle technische IT-Sicherheit machen, es hängt schlussendlich am User. Die Person hinter dem Bildschirm muss entscheiden, ob sie auf die Mail klickt oder nicht.“

Wie wichtig es ist, die eigenen Mitarbeitenden in Cybersicherheit zu schulen, wurde der Stadt Oelde im Jahr 2023 noch einmal eindrucksvoll vor Augen geführt, als in der Region ein kommunaler IT-Dienstleister Opfer eines Ransomware-Angriffs wurde. „Da hat man natürlich sehr klar mitbekommen, was das für Auswirkungen hat und was für einen langen Zeitraum das auch beinhaltet. Nicht nur einige Tage, sondern Monate“, erinnert sich Daniel.

Um bei den Mitarbeitenden das nötige Wissen aufzubauen, um solche Vorfälle zu verhindern, führte die Stadt Oelde Awareness-Trainings zunächst mit einem anderen Anbieter durch. Nach der Übernahme des Anbieters litt jedoch die Zusammenarbeit, weshalb die Stadtverwaltung den Vertrag auslaufen ließ und sich neu umschaute.

Daniel sah sich viele Lösungen an, wobei ihm ein Punkt besonders wichtig war: dass die Trainings gut gemacht sind. Fündig wurde er bei SoSafe: „Ich habe noch keine besseren E-Learnings gesehen am Markt.“

Spaß am Pflichtprogramm

Seit Anfang 2024 führt die Stadt Oelde ihre Awareness-Trainings nun mit SoSafe durch. Nach einem dreimonatigen Onboarding startete die Verwaltung mit dem verhaltenspsychologisch fundierten personalisierten Micro-Learning. Der persönliche Lernpfad sorgt dafür, dass die Inhalte immer relevant sind und die Nutzenden motiviert bleiben, und die Gamification-Elemente bereichern das Lernen durch den Wettbewerbsfaktor, Anerkennung und das gute Gefühl, Fortschritte zu machen.

In Daniels Worten: „Wenn man erst mal damit angefangen hat, dann macht es Spaß, und zum anderen gibt es den Effekt, dass man es dann auch schaffen möchte.“

Dieser Aspekt war entscheidend, denn in Abstimmung mit dem Personalrat und der Verwaltungsleitung wurde beschlossen, die E-Learnings für alle Mitarbeitenden verpflichtend zu machen – jeden Monat. Dass die dafür nötige Arbeitszeit gut investiert ist, darüber gab es „keine große Diskussion“, wie Daniel berichtet, doch die Pflicht war etwas Neues.

Damit keine Abwehrhaltung entstand, achtete Daniel darauf, alle Beteiligten mitzunehmen, transparent zu kommunizieren und geduldig zu erklären, warum diese Maßnahme nötig ist.

Er kontrolliert, ob alle Mitarbeitenden die E-Learnings absolvieren, und lässt bei Bedarf automatische Erinnerungen verschicken.

Um die Wirksamkeit des Micro-Learnings zu testen, begannen anschließend die Phishing-Simulationen. Dabei erhalten die Mitarbeitenden in ihrem echten Posteingang simulierte Phishing-E-Mails, die auf ihre individuellen Aufgaben und Verhaltensmuster abgestimmt sind. Sehen sie eine E-Mail, die sie für gefährlich halten, klicken sie auf den Phishing-Meldebutton von SoSafe und erhalten sofort Feedback. Das befähigt Mitarbeitende, Bedrohungen im realen Kontext immer zuverlässiger zu erkennen.

Der Meldebutton wurde außerdem an das Ticketsystem der Stadtverwaltung angeschlossen. Nutzen Mitarbeitende diesen bei einer tatsächlichen Phishing-Mail, geht sofort eine Meldung an die IT, die dann schnell die Mail prüfen und bei Bedarf Gegenmaßnahmen ergreifen kann.

Daniels guter erster Eindruck von den Lerninhalten von SoSafe bestätigt sich schnell: „Die E-Learnings sind hervorragend gemacht“, lobt er. „Die Erfahrungen der Kollegen sind gut.“

Auch der Schwierigkeitsgrad der Trainings stellt sich als genau richtig heraus. Daniel berichtet, dass die Mitarbeitenden nicht jedes Quiz auf Anhieb bestehen, aber so motiviert sind, dass sie es trotzdem schaffen möchten. „Ich rede viel mit den Kollegen. […] Man merkt, dass es ihnen Spaß macht und dass eine gewisse Challenge und Motivation dabei ist.“

Wissen zum Angeben und Abwehren

Nach über einem Jahr ist jetzt deutlich zu spüren, dass das Thema Sicherheit im Bewusstsein der Mitarbeitenden gereift ist. Lag die Klickrate zu Beginn noch bei 9 Prozent, sank sie durch die E-Learnings und Phishing-Kampagnen innerhalb eines Jahres auf 3,9 Prozent. Besonders stark war der Rückgang bei Kampagnen der Kategorie „mittel“ und „schwer“, was ein klarer Beweis für den erzielten Lernerfolg ist.

Die E-Learnings sind aber nicht nur wirksam, sondern auch beliebt. Daniel berichtet, dass die Mitarbeitenden regelrecht „mit dem Wissen angeben, weil man es an vielen Stellen auch für den privaten Alltag nutzen kann“. Es gibt viele positive Rückmeldungen, die Mitarbeitenden reden und scherzen miteinander darüber.

Auch der Phishing-Meldebutton wird gut angenommen. Im Ticketsystem der Stadt Oelde kommen darüber jeden Tag viele Meldungen zu verdächtigen E-Mails an. Das zeigt, dass die Mitarbeitenden lieber einmal zu viel nachfragen, ob eine E-Mail unbedenklich ist – aus Sicherheitssicht genau die richtige Einstellung.

Was den Arbeitsaufwand für sein Team angeht, ist Daniel zufrieden: „Die Zeit, die wir im Monat investieren, ist sehr, sehr gering. […] Es muss auch Produkte geben, die einfach funktionieren, auf die man sich verlassen kann, und das funktioniert mit SoSafe sehr gut.“

Letztlich ist aber nur eines entscheidend: der Lernerfolg und wie er die Cybersicherheit der Stadt Oelde stärkt. Daniel kann von ganz konkreten Gefahrensituationen berichten, in denen die Mitarbeitenden Angriffe verhindert haben. Nachdem beispielsweise das E-Mail-Konto einer örtlichen Firma gehackt wurde, mit der die Stadtverwaltung zusammenarbeitete, ging bei der Stadt Oelde eine gefälschte E-Mail ein. Obwohl diese Phishing-Mail sehr überzeugend war – der Absender stimmte, der Gesprächsverlauf war korrekt –, wurde der Mitarbeiter skeptisch. Er meldete die Mail, der Angriffsversuch scheiterte. „Hätten wir keine Phishing-Kampagne, keine Awareness durchgeführt, hätte der Fall auch anders ausgehen können“, erinnert sich Daniel. Derartige E-Mails von gehackten Konten sind technisch kaum zu blocken, weshalb es in einem solchen Moment darauf ankommt, dass die Mitarbeitenden sensibilisiert sind.

Zusammenfassend hält Daniel fest: „Wir sehen im Arbeitsalltag, dass das Thema angekommen ist und dass die Kampagnen von SoSafe uns auch wirklich im operativen Geschäft helfen können.“ Er freut sich auf die weitere Zusammenarbeit und insbesondere auf das neue Portal, mit dem er für die Stadt Oelde eigene Phishing-Kampagnen erstellen kann. Sein Team möchte damit das Thema KI angehen und ist gespannt, ob sich die Ergebnisse der Simulationen von den bisherigen unterscheiden.

Die Stadt Oelde zeigt, wie gezielte Awareness-Kampagnen von SoSafe die Cyberrisiken spürbar reduzieren – mit Spaß für die Mitarbeitenden und wenig Aufwand für die IT. Die Lösung von SoSafe hat den Mitarbeitenden wertvolles Wissen vermittelt, mit dem sie jetzt die IT-Systeme der Stadt als erste Abwehrlinie aktiv schützen können.

Stärken Sie Ihre Sicherheits­kultur – einfach und effektiv

Erfahren Sie, wie SoSafe CISOs, Admins und Usern dabei hilft, menschliche Risiken kontinuierlich zu reduzieren.

Produktdemo vereinbaren