Einführung von Security Awareness Trainings in einem produzierenden Unternehmen
Die Security Awareness Trainings erfüllen die gesetzlichen Vorgaben nach NIS2 und erhöhen das Sicherheitsbewusstsein der Mitarbeitenden im Unternehmen.
Kunde: Industriebetrieb aus dem Maschinen- und Anlagenbau
Bei dem Kunden handelt es sich um einen mittelständischen Industriebetrieb aus dem Maschinen- und Anlagenbau mit Hauptsitz in Deutschland. Das Unternehmen beschäftigt rund 800 Mitarbeitende an mehreren nationalen und internationalen Standorten.
Das Portfolio umfasst die Entwicklung, Produktion und den weltweiten Vertrieb hochspezialisierter Maschinenkomponenten für die Automobil- und Fertigungsindustrie. Aufgrund der engen Einbindung in globale Lieferketten und der hohen Innovationsdichte spielt IT-Sicherheit eine zentrale Rolle für die Aufrechterhaltung der Produktions- und Lieferfähigkeit.
Herausforderung: NIS2-konforme Sicherheitsschulungen für die gesamte Belegschaft
Mit der zunehmenden Digitalisierung der Produktions- und Geschäftsprozesse stieg auch die Angriffsfläche für Cyberbedrohungen deutlich an. Besonders kritisch war die Kombination aus vernetzten Produktionssystemen und international verteilten Standorten.
Parallel dazu wurde das Unternehmen durch die Anforderungen der NIS2-Richtlinie unmittelbar adressiert. Dabei wurde klar: Neben technischen Sicherheitsmaßnahmen rückt insbesondere der Faktor Mensch in den Fokus regulatorischer Anforderungen.
Security Awareness ist unter NIS2 nicht freiwillig, sondern verpflichtend. Unternehmen müssen sicherstellen, dass Mitarbeitende regelmäßig geschult werden, Cyberrisiken erkennen und richtig darauf reagieren können. Diese Anforderungen gelten explizit als Bestandteil eines nachweisbaren Informationssicherheitsmanagements.
Im Unternehmen zeigte sich jedoch:
- Awareness-Maßnahmen waren bislang nur punktuell vorhanden
- Schulungen fanden unregelmäßig und nicht standardisiert statt
- Es fehlte eine zentrale Plattform zur Steuerung und Dokumentation
- Phishing-Simulationen wurden bislang nicht durchgeführt
Damit bestand sowohl operativer als auch regulatorischer Handlungsdruck.
Projekt & Lösung: Beratung und Sicherheitskonzept durch ORBIT
ORBIT übernahm die umfassende Analyse der bestehenden IT- und Sicherheitsstruktur. Dabei wurde insbesondere der Reifegrad der organisatorischen Sicherheitsmaßnahmen bewertet. Im Ergebnis entwickelte ORBIT ein ganzheitliches Sicherheitskonzept, das Security Awareness als verbindlichen Bestandteil der Compliance- und Sicherheitsstrategie definierte.
Kernpunkte des Konzepts:
- Einführung eines verpflichtenden, unternehmensweiten Awareness-Programms
- Definition klarer Schulungszyklen gemäß NIS2-Anforderungen
- Segmentierung nach Rollen (z. B. Verwaltung, IT, Produktion, Management)
- Einführung messbarer Sicherheitskennzahlen (KPIs)
- Aufbau einer Audit-fähigen Dokumentationsstruktur
Einführung des Security Awareness Service
Zur Umsetzung der Anforderungen entschied sich ORBIT gemeinsam mit dem Kunden für den Einsatz des Security Awareness Service von Hornetsecurity – eine Security Awareness Suite mit E-Trainings, Spear-Phishing-Engine und Awareness Benchmarking.
Die Plattform wurde unternehmensweit ausgerollt und in bestehende Systeme integriert. Dabei standen insbesondere Skalierbarkeit und Automatisierung im Fokus, da Mitarbeitende an verschiedenen Standorten und in unterschiedlichen Zeitzonen eingebunden werden mussten.
Implementierte Funktionen:
- Pflichtschulungen für alle Mitarbeitenden mit automatisierter Zuweisung
- Regelmäßige Phishing-Simulationen in realistischen Angriffsszenarien
- Interaktive, praxisnahe E-Learning-Module
- Zentrale Auswertung von Sicherheitskennzahlen
- Nachweisführung für interne und externe Audits (NIS2-Compliance)
Nutzen: Nachhaltige Verankerung von Sicherheitsbewusstsein in der Unternehmenskultur
Bereits wenige Monate nach Einführung zeigten sich deutliche Verbesserungen im Sicherheitsverhalten der Mitarbeitenden:
- Signifikante Reduktion der Klickrate auf simulierte Phishing-Mails
- Erhöhte Melderate verdächtiger E-Mails an die IT-Abteilung
- Nachweisbare Teilnahmequote von nahezu 100 % bei Pflichtschulungen
- Verbesserte Auditfähigkeit durch vollständige Dokumentation aller Maßnahmen
Darüber hinaus konnte das Unternehmen erstmals strukturiert nachweisen, dass es die Anforderungen der NIS2-Richtlinie im Bereich Awareness vollständig erfüllt.
Fazit
Die Einführung des Security Awareness Service …
… führte zu einer Stärkung der Sicherheitskultur im Unternehmen. Insbesondere im Kontext der NIS2-Richtlinie erreichte das Unternehmen eine klare Transformation: von punktuellen Schulungen hin zu einem strukturierten, messbaren und verpflichtenden Awareness-Programm.
Die Kombination aus strategischer Beratung durch ORBIT und technologischer Plattform von Hornetsecurity ermöglichte eine NIS2-konforme, skalierbare und praxisnahe Umsetzung im gesamten Unternehmen.
Auf einen Blick:
Security Awareness Trainings für alle Mitarbeitenden
Herausforderungen
Handlungsdruck: NIS2-Richtlinie macht Security-Awareness-Schulungen zur verpflichtenden Maßnahme.
Lösung
- Beratung zu einer ganzheitlichen Compliance- und Sicherheitsstrategie
- Analyse der bestehenden IT- und Sicherheitsstruktur
- Konzeption von umfassenden Sicherheitsstrukturen inkl. Security-Awareness-Programm
- Implementierung des Security Awareness Service von Hornetsecurity
- Onboarding aller Mitarbeitenden inkl. Geschäftsführung
Nutzen
- Erfüllung der gesetzlichen Anforderungen nach NIS2
- Bedarfsgerechte, unternehmensrelevante E-Trainings
- Mehrsprachige Lerninhalte und E-Learnings
- Nachweisliche Verbesserung des Sicherheitsbewusstseins im Unternehmen
- Zeit- und Ressourcenersparnis in der Durchführung durch vollständig automatisierte Steuerung der E-Trainings
Noch mehr Erfolgsgeschichten
Managed Detection & Response als Investitionsschutz
Investitionsschutz durch Managed Detection & Response: Ein Hersteller sichert seine modernisierte IT dauerhaft ab – ohne eigenes SOC.
Managed SOC für maximale Compliance
NIS2 & Co.: Wie ein Automatisierungstechnik-Unternehmen alle regulatorischen Anforderungen mit Managed SOC erfüllt.
Beratung & Einführung von Security Awareness anfragen
