Um für die Cyberbedrohungen der Gegenwart und Zukunft gewappnet zu sein, hat die Henkel AG ein global ausgerichtetes Security-Awareness-Programm mit Vorbildfunktion auf die Beine gestellt.
Die Henkel AG zeigt mit ihrem #SharedResponsibility-Programm, wie eine nachhaltige, breitgefächerte Security-Awareness-Initiative aussieht. Den Startpunkt bildete eine fünftägige Awareness-Messe am Unternehmenshauptsitz in Düsseldorf. Foto: Henkel AG
Die Henkel AG & Co. KGaA verfolgt im Rahmen ihrer Digitalstrategie zahlreiche Initiativen, um die Kundenerfahrung zu optimieren. In der Digitalisierungsära sind aber nicht nur innovative neue Ansätze und Geschäftsmodelle gefragt: Insbesondere die Härtung der IT-Systeme gegen die Angriffsversuche krimineller Hacker sollte auf der Unternehmensagenda angesichts der aktuellen Bedrohungslandschaft ganz oben stehen.
Bei Henkel hat man dieses Erfordernis erkannt und eine IT-Sicherheitsstrategie "2020+" entworfen, zu der auch ein umfassendes, global angelegtes Security-Awareness-Programm gehört, das den Faktor Mensch in den Mittelpunkt rückt. Mit der Kampagne nahm das Unternehmen am diesjährigen DIGITAL LEADER AWARD - dem deutschen Award für Digital Leadership - teil und schaffte es unter die Finalisten des Sonderpreises CYBERSECURITY.
IT-Sicherheit auf allen Ebenen
Die Kampagne für Sicherheitsbewusstsein läuft bei Henkel unter dem Motto - beziehungsweise dem Hashtag - #SharedResponsibility, schließlich geht IT-Sicherheit längst nicht mehr nur die IT-Abteilung, sondern alle Mitarbeiter an: Nur wenn die gesamte Belegschaft um die Gefahren weiß, die im Netz lauern, lässt sich das Risiko von Kompromittierungen nachhaltig reduzieren.
Wird Security zu einem allgemeinen Grundbaustein, wirkt sich das nicht nur positiv auf die Unternehmenssicherheit, sondern auch das langfristige Erfolgspotenzial von Projekten aus. Die Sicherheitsbewusstseinsinitiative von Henkel nimmt dabei nicht nur die Sicherheit im Arbeitsalltag in den Fokus, sondern auch die im privaten Umfeld. Nur so ist aus Sicht der Verantwortlichen sichergestellt, dass die vermittelten Inhalte auch wirklich zu Verhaltensänderungen bei den Mitarbeitern führen.
Zur Vermittlung der Inhalte baute Henkel ein global operierendes Awareness Team auf, dessen Schwerpunkte die Länder Deutschland, USA und China bilden und das zusätzlich von Freiwilligen aus anderen Ländern im Rahmen eines Cybersecurity-Netzwerks unterstützt wird. Die Teammitglieder kommen im Rahmen von Telefonkonferenzen regelmäßig zusammen, um sich über aktuelle (globale wie lokale) Security-Trends oder Bedrohungen auszutauschen oder auch an Train-the-Trainer-Sessions teilzunehmen. Die Mitglieder des Awareness Teams sind für die Mitarbeiter jederzeit über einen eigenen Yammer-Kanal erreichbar - der auch für die Verbreitung aktueller Informationen genutzt wird.
Die Top CIOs der Chemie- und Pharma-Branche
Markus Schümmelfeder Seit April 2018 ist Markus Schümmelfeder neuer CIO des Pharmakonzerns Boehringer Ingelheim in Ingelheim am Rhein. Er war zuvor Corporate Vice President IT im Unternehmen. Schümmelfeder berichtet an seinen Vorgänger im CIO-Amt, den CFO Michael Schmelmer.
Martin Richtberg Seit 1. Januar 2022 bekleidet Martin Richtberg die Position des Senior Vice President Information Technology, CIO und CDO von Wacker Chemie. Zuletzt war er dort Leiter des globalen Project-Engineering.
Annette Hamann Annette Hamann ist seit 2020 CIO bei der Hamburger Beiersdorf AG. Ihre Vorgängerin Barbara Saunier ist im Ruhestand.
Dirk Ramhorst Seit dem 1. Mai 2022 ist Dirk Ramhorst, ehemaliger IT-Chef von Wacker Chemie, CIO beim Spezialchemiekonzern Evonik. Seine Vorgängerin Bettina Uhlich ging in den Vorruhestand.
Michael Nilles Henkel hat Michael Nilles am 1. Oktober 2019 zum Chief Digital & Information Officer (CDIO) ernannt. Er berichtet direkt an Carsten Knobel, CEO von Henkel. In seiner Position ist Nilles für die Bereiche Digital, IT, Geschäftsprozessmanagement und Corporate Venture Capital verantwortlich.
Abel Archundia-Pineda Abel Archundia-Pineda ist seit Mai 2017 Head of IT Business Partnering Pharmaceuticals bei Bayer im Geschäftsbereich Pharma bei Bayer. Zuvor war er Head of IT for Novartis Technical Operations and Global CIO der Sandoz Division, Novartis AG.
Michael Jud Michael Jud ist seit April 2017 Leiter IT beim Pharmahersteller InfectoPharm Arzneimittel und Consilium GmbH in Heppenheim im südlichen Hessen. Jud kommt vom Anlagenbauer Schenck Process in Darmstadt. Er berichtet bei seinem Arbeitgeber an den kaufmännischen Geschäftsführer. Neben dem Fokus-Thema IT-Sicherheit baut der gelernte Diplom Ingenieur SAP weiter aus und unterstützt das internationale Wachstum von InfectoPharm.
Alessandro de Luca Alessandro de Luca war bisher Interims-Group CIO beim Pharmakonzern Merck. Der Konzern hat sich entschieden, de Luca dauerhaft in dieser Position zu beschäftigen.
Hermann Schuster Seit 1. September 2021 ist Hermann Schuster Head of Information Technology bei der Lanxess AG. Er folgt auf Kai Finke. In seiner neuen Position will Schuster im Chemiekonzern ein Konzept für den Modern Workplace umsetzen und sich auf Cybersicherheit konzentrieren. Daneben steht der Rollout eines SAP S/4 Hana-Templates auf seiner Agenda. Schuster berichtet an den Lanxess-Finanzvorstand Michael Pontzen.
Bijoy Sagar Bijoy Sagar ist ab Juni 2020 neuer Leiter IT und Digitale Transformation der Bayer AG. Er löst den bisherigen CIO und CEO der IT-Tochter Bayer Business Services (BBS) ab, der seine Konzernkarriere beendet. Die BBS wird aufgelöst. Sagar soll die Digitalisierung des Pharmakonzerns vorantreiben und die begonnene Neuaufstellung der IT ans Ziel führen. Er berichtet an den Finanzvorstand Wolfgang Nickl.
Martin Wiedenmann Martin Wiedenmann ist seit Februar 2019 Head of Global IT/CIO der Atotech Group, einem weltweit agierenden Marktführer für Spezialchemie. Zuvor war er war seit Juli 2016 CIO bei Ledvance in München.
Andreas Becker Andreas Becker ist seit April 2017 Vice President Information Technology/CIO beim Pharmakonzern Daiichi-Sankyo Europe in München. Im Oktober 2014 kam der Diplom-Kaufmann mit Schwerpunkt Wirtschaftsinformatik & EDV als Head of IT Strategy & Service Delivery ins Unternehmen.
Sandeep Sen Sandeep Sen ist CIO der Linde Group. In dieser Funktion hat er Büros in Singapur und München. Weltweit führt Sen rund 1.100 Mitarbeiter. Er kam 1993 zu Linde Indien (vormals BOC India). Zuvor war er in der IT auf dem Finance-Sektor tätig. Dabei arbeitete er sowohl in Indien als auch in Großbritannien.
Peter Buchmüller Seit Mitte Juni 2017 ist Peter Buchmüller IT-Leiter der Aenova Group, einem pharmazeutischen Auftragshersteller mit Sitz in Starnberg bei München. Der genaue Titel lautet: Senior Vice President Corporate IT Aenova Group. Buchmüller wechselte von der Molkerei Meggle in Wasserburg, wo er zuvor als Leiter IT tätig war.
Berthold Kröger Berthold Kröger hat im Juli 2015 die IT-Verantwortung bei der K+S AG in Kassel übernommen. Der neue Leiter Corporate IT berichtet an den Vorstand Thomas Nöcker. Der promovierte Informatiker hat sein Studium an der Universität-Gesamthochschule Paderborn absolviert. Er arbeitete danach mehr als drei Jahre im Forschungs- und Technologiezentrum der Deutschen Telekom und war später in verschiedenen Positionen bei der Hochtief AG und der Hochtief Solutions AG in Essen beschäftigt.
Alexander Bode Im Juli 2014 hat Alexander Bode den CIO-Posten beim Farbenhersteller DAW SE angetreten. DAW (Deutsche Amphibolin-Werke) ist vor allem bekannt durch Farbenmarken wie Caparol und Alpina. Bode kommt vom Pharmahändler Celesio, wo er seit 2013 als Global Head of IT Governance tätig war. Davor arbeitete der Wirtschaftsinformatiker viele Jahre bei der Freudenberg-Gruppe, wo er auch seine berufliche Laufbahn 2002 begann. Zuletzt verantwortete er dort von 2008 bis 2013 als Director ERP Europe das SAP Competence Center von Freudenberg Sealing Technologies.
Torsten Müller Seit November 2018 ist Torsten Müller Head of Information Technology (CIO) beim Pharma- und Laborzulieferer Sartorius AG mit Sitz in Göttingen. Zuvor war er Chief Digital Officer und Chief Information Officer sowie Mitglied der Geschäftsleitung der Versicherung Helvetia Deutschland in Frankfurt.
Stephan Heinelt Stephan Heinelt ist seit September 2018 Group CIO beim Spezialchemiekonzern Altana AG mit Sitz in Wesel. Der Diplom-Wirtschaftsinformatiker Heinelt war zuletzt Leiter Service Management Global IT Services bei der Evonik Industries AG in Essen.
Martin Kinnegim Martijn Kinnegim ist seit März 2019 CIO der STADA Arzneimittel AG mit Sitz im hessischen Bad Vilbel. Kinnegim arbeitete zuvor bei Jacobs Douwe Egberts (JDE). Dort war er als Global CIO tätig und leitete die Integration der Gesellschaften DE Masterblender 1753 und Mondelez International in den weltweit führenden Kaffeekonzern.
Walter Grüner Walter Grüner ist seit Mai 2019 Head of Information Technology beim Chemie-Unternehmen Covestro in Leverkusen. Zuvor war Grüner seit 2013 als Group CIO bei der KION Group AG tätig, einem Anbieter von Gabelstapler und Lagertechnik.
Tobias Günthör Der Pharmakonzern Stada hat mit Tobias Günthör seit Anfang April einen neuen IT-Chef. Der Titel des 53-Jährigen lautet CIO/Senior Vice President IT at Stada Group.
Carsten Priebs Zum 01.01.2024 wurde Carsten Priebs zum Digitalchef der Biesterfeld AG berufen.
Ein wesentlicher Erfolgsfaktor für das Gelingen von Security-Awareness-Initiativen ist die Unterstützung durch die Management- und Vorstandsebene. Bei Henkel ist IT Security regelmäßig ein Thema in Management-Konferenzen - darüber hinaus treten die Mitglieder der Führungsebene des Konzerns in Statement-Videos auf, die die Bedeutung von digitaler Sicherheit und der Umsetzung entsprechender Maßnahmen unterstreichen sollen.
Der Awareness-Mix macht's
Um #SharedResponsibility zu einem standesgemäßen Start zu verhelfen, entschied sich Henkel dafür, eine fünftätige Awareness-Messe im Unternehmenshauptsitz in Düsseldorf abzuhalten. Auf der Veranstaltung nutzten die Mitglieder des Awareness Teams die Gelegenheit, um ihre Security-Themen im Rahmen von interaktiven Vorträgen zu platzieren - auch externe Redner wurden eingeladen, um über den Tellerrand der digitalen Henkel-Welt hinauszublicken.
Dabei wurden nicht nur "klassische" Themen wie Phishing oder Social Engineering behandelt, sondern auch die kriminellen Auswüchse im Darknet - Live Hackings waren ebenfalls geboten. Um allen Mitarbeitern weltweit zu ermöglichen, live an der Veranstaltung teilzunehmen, wurden sämtliche Präsentationen mehrfach durchgeführt - zudem wurden die Sessions aufgezeichnet und im Nachgang über Microsoft Stream zur Verfügung gestellt.
Die Awareness-Messe verhalf der #SharedResponsibility-Initiative von Henkel zu einem eindrucksvollen Start - im Nachgang galt es, das Interesse am Thema hoch zu halten. Dazu werden in regelmäßigen Abständen digitale Infopakete verteilt, deren Inhalte besonders prägnant und leicht verständlich aufbereitet sind. Um eventuelle Barrieren bei den Mitarbeitern abzubauen, wenn es um Nach- beziehungsweise Rückfragen geht, wurde neben der bereits erwähnten Yammer-Gruppe auch eine eigene Mailbox eingerichtet, über die die Mitglieder des Security-Awareness-Teams nahezu rund um die Uhr erreichbar sind.
Um die Mitarbeiter besser verstehen zu können und die Inhalte des Programms entsprechend an den Bedürfnissen der Zielgruppe auszurichten, werden auch regelmäßige Interviews und Befragungen anberaumt. Ergänzend zu den digitalen Infopaketen und Interviews setzt Henkel zudem auf regelmäßige Phishing-Simulationen, um sich ein umfassendes Bild vom aktuellen Security-Niveau zu machen.
Konsequent zeigt sich Henkels Awareness-Initiative nicht nur in Sachen Vermittlung, Organisation und Commitment, sondern auch, wenn es um den Einsatz digitaler Tools geht. Im Bereich Personalmanagement und Einkauf, sowie für die interne Kommunikation setzt das Unternehmen schon seit Jahren auf entsprechende Software - für #SharedResponsibility konnte Henkel daher zum Teil auf bereits bestehende Lösungen zurückgreifen:
Trainingsangebot via Cloud-basierter Lernplattform "Cornerstone";
Webinare via Skype Broadcast;
Videos und Podcasts via Microsoft Stream und SharePoint;
Zudem experimentierte das Awareness Team auf der initialen Messeveranstaltung in Düsseldorf auch mit der Augmented-Reality-Technologie in Form von Videotrainings.
Win-Win-Security
Die Früchte der Security-Awareness-Bemühungen in Metriken zu fassen, ist naturgemäß ein schwieriges Unterfangen - dennoch kann Henkels #SharedResponsibility-Programm erste Erfolge vorweisen: Die Klickzahlen im Rahmen der Phishing-Simulationen sind rückläufig, die Download-Zahlen der Awareness-Materialien steigen. Laut der Verantwortlichen konnten zudem bereits mehrere Hacker-Angriffe erfolgreich abgewehrt, beziehungsweise verhindert werden, weil aufmerksame Mitarbeiter entsprechende, fragwürdige E-Mails oder Auffälligkeiten an ihren Rechnern gemeldet haben.
Die Henkel AG hat mit ihrer Security-Awareness-Iniative innerhalb von etwa eineinhalb Jahren erfolgreich einen kulturellen Wandel angestoßen. #SharedResponsibility ist zum festen Bestandteil der Digitalstrategie des Konzerns geworden und sichert nicht nur die digitalen Unternehmens-Assets, sondern erhöht auch das private Sicherheitsniveau der Mitarbeiter.
Die Erfolgstreiber für Security Awareness
Individuelle Lern-Sessions Bieten Sie spezifische Inhalte für bestimmte User-Gruppen und Fachbereiche an, anstatt auf „one size fits all“ zu setzen.
Überlänge vermeiden Die Aufmerksamkeitsspanne Ihrer Mitarbeiter ist begrenzt. Einzelne Sessions sollten im Idealfall nicht länger als 30 Minuten in Anspruch nehmen.
Nicht alles auf einmal IT Security ist ein weites Feld – konzentrieren Sie sich auf die Dinge, mit denen die betreffenden Mitarbeiter in ihrem Arbeitsalltag konfrontiert werden.
Der stete Tropfen Security Awareness einmal pro Jahr ist keine Lösung. Sorgen Sie für Trainings in regelmäßigen Abständen - nur so klappt es mit dem Awareness-Durchbruch.
Keine alten Kamellen Hätten Sie große Lust, mehrmals dieselben Lehrinhalte serviert zu bekommen? Eben. Ihre Mitarbeiter auch nicht.
Aktivität einfordern Eine rein passive Berieselung mit Best Practices aus dem Security-Bereich ist nicht zielführend. Vielmehr sollten Sie Ihre Mitarbeiter aktiv ins Awareness-Training einbeziehen.
C-Level an Bord? Auch das Management braucht regelmäßige Weiterbildung in Sachen IT-Sicherheit.