Aufbau einer strukturierten Sicherheitsorganisation
KGAL hat die Reise von einem personenzentrierten Ansatz und Einzelmaßnahmen hin zu einer strukturierten Sicherheitsorganisation mit einem strategisch verankerten Secuity Awarenss Programm gemeistert.
Die KGAL ist ein führender unabhängiger Investment- und Asset-Manager mit einem betreuten Investitionsvolumen von über 15 Milliarden Euro. Der Schwerpunkt der Investments liegt auf langfristigen Realkapitalanlagen für institutionelle und private Investoren in Real Estate, Sustainable Infrastructure und Aviation. Die europaweit tätige Gruppe wurde im Jahr 1968 gegründet und hat ihren Sitz in Grünwald bei München. Rund 400 Mitarbeiter tragen unter Berücksichtigung von Rendite- und Risikoaspekten dazu bei, nachhaltig stabile Erträge zu erzielen.
Ausgangslage
Als Andreas Scholz 2018 bei KGAL die Rolle des Information Security Officers übernahm, war das Thema Security Awareness noch stark personengeprägt. Der Einstieg war pragmatisch und typisch für viele Organisationen in dieser Phase: Schulungen wurden selbst entwickelt, Inhalte intern aufbereitet, Awareness über Präsentationen vermittelt.
„Ich kam aus der IT und habe mich dann vollständig dem Thema Information Security gewidmet. Am Anfang habe ich die Schulungen einfach selbst gehalten.“
erinnert er sich.
Was zunächst funktionierte, wurde mit wachsender Organisation schnell zur Belastung. Neue Mitarbeitende mussten regelmäßig geschult werden, Prozesse wiederholten sich, und die Verantwortung blieb im Kern bei einer Person hängen.
Irgendwann war klar: Dieses Modell ist so auf Dauer nicht tragfähig - trotz einer bereits soliden inhaltlichen Basis und hohem persönlichen Engagement, das jedoch ohne strukturelle Unterstützung an seine Grenzen stößt.
Der Wendepunkt
Die zentrale Frage lautete nicht mehr, ob Awareness notwendig ist, sondern wie sie nachhaltig organisiert werden kann.
Der entscheidende Impuls entstand im Austausch mit anderen Unternehmen aus dem Branchenumfeld, die die Expertise von HvS bereits erfolgreich genutzt hatten
Die Empfehlung für IS-FOX fiel dabei sehr klar aus – weniger als Produktempfehlung, sondern als Hinweis auf eine strukturierte Lösung für ein wachsendes Problem und als Partner, um den bestehenden Ansatz gezielt weiterzuentwickeln und auf ein skalierbares Niveau zu heben.
Entscheidend war für KGAL dabei nicht nur ein einzelnes Tool, sondern der Gedanke eines durchgängigen Konzepts.
Die Entscheidung war bewusst ambitioniert: Wenn eine Veränderung erfolgt, dann nicht halbherzig, sondern als vollständiger Aufbau eines strukturierten Awareness-Programms gemeinsam mit IS-FOX als methodischem und inhaltlichen Sparringspartner.
Die Lösung
Der Einstieg erfolgte über klassische E-Learning-Formate im Bereich Informationssicherheit. Sehr schnell wurde jedoch deutlich, dass ein isolierter Ansatz nicht ausreicht, um Verhalten nachhaltig zu verändern.
Aus dem initialen Projekt entwickelte sich schrittweise ein umfassendes Awareness-Programm, das verschiedene Bausteine miteinander verbindet und gezielt aufeinander abstimmt:
Wichtig war dabei nicht die Menge der Maßnahmen, sondern ihr Zusammenspiel, das dauerhaft durch Andreas Scholz und IS-FOX orchestriert wurde, um so ein konsistentes Gesamtkonzept zu entwickeln und über gezielte Impulse aktiv weiterzuentwickeln.
„Entscheidend ist für uns, dass Awareness nicht als Einzelmaßnahme verstanden wird, sondern als kontinuierlicher Prozess“,
fasst Scholz die interne Perspektive bei KGAL zusammen.
Entwicklung
Mit der Zeit entstand bei KGAL ein eigenes internes Awareness-Ökosystem.
Inhalte wurden nicht nur konsumiert, sondern aktiv weitergeführt: Schulungen wurden ergänzt, Kampagnen in interne Portale integriert und neue Formate regelmäßig an aktuelle Bedrohungslagen angepasst.
Ein zentraler Lernpunkt aus den Phishing-Simulationen war dabei die Erkenntnis, wie stark menschliche Neugier in Angriffsszenarien wirkt und wie wichtig kontinuierliche Sensibilisierung ist.
Awareness wurde damit weniger zu einem einmaligen Trainingsformat, stattdessen mehr zu einem festen Bestandteil der internen Kommunikation.
Ein weiterer wichtiger Schritt war im Jahr 2021 die organisatorische Verortung von „Informationssicherheit“ und der CISO-Rolle in das Team Compliance.
Damit hat der gesamte Themenkomplex einen zusätzlichen positiven Impuls bekommen, Informationssicherheit aus dem rein technischen Bezug hin zu einem übergreifenden und prägenden Steuerungselement werden zu lassen.
Ergebnis
Heute ist Security Awareness bei KGAL kein isoliertes Projekt mehr, sondern ein kontinuierlicher Bestandteil der Organisationskultur.
Die Maßnahmen greifen ineinander, werden regelmäßig weiterentwickelt und sind eng mit realen Bedrohungsszenarien verknüpft - als Ergebnis einer strukturierten Zusammenarbeit, die sowohl befähigt als auch Orientierung gegeben hat.
Der größte Unterschied zur Ausgangssituation liegt dabei weniger in einzelnen Tools, sondern vielmehr im strukturellen Wandel begründet:
von individuellen Initiativen hin zu einem systematisch aufgebauten, langfristigen Programm.
Fazit
Die Zusammenarbeit zwischen IS-FOX und KGAL zeigt exemplarisch, wie sich Security Awareness über Jahre entwickeln kann, wenn sie konsequent als Prozess gedacht wird - und wenn ein erfahrener Partner dabei hilft, vorhandene Ansätze zu strukturieren, zu skalieren und nachhaltig zu verankern.
Nicht als Kampagne. Nicht als Pflichtübung. Sondern als kontinuierliche Entwicklung innerhalb der Organisation.
Oder wie es Andreas Scholz sagt:
„Awareness ist nichts, das man einmal einführt – sondern etwas, das man gemeinsam weiterentwickelt.“
Dem schließen wir uns gerne an.
Mehr Erfolgsgeschichten
Amadeus gewinnt einen Security Awareness Award für eine herausragende Kampagne zur Cyber Security und Mitarbeiter-Sensibilisierung
Wie rgos Security mit IS-FOX Awareness-Trainings Pflichtschulungen für Mitarbeiter, NIS-2, Lieferketten-Compliance und Whistleblowing effizient und praxisnah umsetzt.
Lanxess gewinnt den Digital Leader Award 2020 mit der HvS Security Awareness Kampagne