Request a demo
case study

Wie Qualcomm mit Hoxhunt seine 1.000 risikoreichsten Mitarbeitenden zu den besten Performern gemacht hat

Client logo
About

Qualcomm Inc (Qualcomm) is a leader in developing and delivering innovative digital wireless communications products and services based on CDMA and other advanced technologies. Today, Qualcomm has 170 offices in more than 30 countries.

Mitarbeitende: 50,000+

Industrie: Telekommunikation

Hauptsitz: San Diego, California

Challenge

Qualcomm wusste: 4 % der Nutzenden sind für 80 % aller Phishing-Vorfälle verantwortlich. Das Unternehmen wollte genau diese risikoreichsten Mitarbeitenden mit gezieltem, spielerisch gestaltetem Security Awareness Training auf einen neuen Kurs bringen.

Solution

Die mit dem CSO50 Award ausgezeichnete Initiative "Worst-to-First Employee Phishing Performance" hat Qualcomms 1.000 risikoreichste Mitarbeitende zu Vorbildern in Sachen Cybersicherheit gemacht, durch ihre Aufnahme ins Hoxhunt-Programm. Der Erfolg führte zu einem unternehmensweiten Rollout an 48.000 Mitarbeitende und hat das menschliche Risiko um Größenordnungen messbar reduziert.

Key takeaways:
Featured image
  • Qualcomm hat seine 1.000 risikoreichsten Mitarbeitenden identifiziert und in Hoxhunt aufgenommen
  • Schon nach wenigen Monaten hat diese "Risky 1K" bessere Ergebnisse erzielt als der Rest der 50.000-Mitarbeitenden-Organisation
  • Der Erfolg dieses Experiments hat den Weg für den allgemeinen Rollout von Hoxhunt geebnet
  • Die kulturelle Transformation – inklusive einer 6-fachen messbaren Steigerung der Resilienz – wurde mit einem CSO50 Award ausgezeichnet
"Hoxhunt hat uns geholfen, jedes Glied in der Software-Lieferkette gegen Social-Engineering-Angriffe zu stärken … Wir empfehlen jedem, das adaptive Phishing-Modell von Hoxhunt einzuführen. Die Ergebnisse sprechen für sich. Vom einzelnen Mitarbeitenden bis zum Großunternehmen. Wir können alle unseren Beitrag dazu leisten, unser Ökosystem sicher zu halten." -- Kris Virtue, CISO

Warum gezielt die anfälligsten Nutzenden mit adaptivem Phishing Training schulen?

Studien zeigen: 4 von 5 Cybervorfällen werden von nur 4 % der Mitarbeitenden verursacht. Qualcomm wusste: Wenn sich diese Gruppe von Wiederholungs-Klickern gezielt mit Security Awareness Training erreichen und mit neuen Cybergewohnheiten ausstatten lässt, kann sich die Risikolage des gesamten Unternehmens grundlegend verändern.

Qualcomm hat seine 1.000 risikoreichsten Mitarbeitenden in einem experimentellen Pilotprojekt zum Hoxhunt-Training angemeldet. Die Ergebnisse der "Risky 1K" sollten in regelmäßigen Benchmark-Phishing-Tests mit dem Rest des Unternehmens verglichen werden.

Cyentia-Untersuchungen haben gezeigt, dass die meisten Sicherheitsvorfälle von einer Gruppe von "Wiederholungstätern" verursacht werden, die besonders anfällig dafür sind, auf Phishing-Links zu klicken. Statt diese Mitarbeitenden aufzugeben und in eine "Phishing-Quarantäne" zu schicken, hat Qualcomm sie mit einem spielerischen, belohnungsbasierten Hoxhunt-Programm gestärkt.

Datensicherheit ist bei Qualcomm ein zentraler Wettbewerbsfaktor im B2C- und B2B-Geschäft. Vorfälle können Kund:innen verunsichern und gefährden – und sie schlagen sich langfristig in Kosten nieder: für Wiederherstellung, Imageschaden, Aktienkurs, regulatorische Auflagen, Anwaltskosten sowie Kundenbindung und -gewinnung.

Im Zeitalter von KI-gestützten Angriffen wächst das menschliche Cyber-Risiko Tag für Tag: Immer mehr Phishing-Angriffe – auch immer raffinierter – umgehen die technischen Filter. Qualcomm wollte seine Human Firewall genau dort stärken, wo sie am schwächsten war: mit gezieltem Security Awareness und Phishing Training. Das Ziel war, die risikoreichsten Mitarbeitenden zu messen und zu führen, ohne den Geschäftsbetrieb zu stören oder die Kultur zu belasten.

Wie Qualcomm den Kulturwandel gestartet hat

Von den rund 50.000 Mitarbeitenden wurden 1.000 für die Teilnahme am Hoxhunt-Training ausgewählt. Diese Mitarbeitenden galten als besonders gefährdet, Opfer von Social Engineering zu werden – sie waren bei mindestens 3 der vorherigen 6 Phishing-Übungen durchgefallen und arbeiteten in Rollen, die häufig im Visier von Phishing-Angriffen stehen: zum Beispiel Kreditorenbuchhaltung, Sales/Marketing oder Executive Support.

Die Fehlerrate der "Risky 1K" in Phishing-Simulationen lag zwischen 30 und 50 %, und ihre Meldequote war vor der Aufnahme in den Benchmark-Phishing-Test verschwindend gering.

Die Fehlerrate der "Risky 1K" in Phishing-Simulationen lag zwischen 30 und 50 %, und ihre Meldequote war vor der Aufnahme in den Benchmark-Phishing-Test verschwindend gering.

Mit dem CSO50 Award ausgezeichnete Ergebnisse

Innerhalb weniger Monate hat sich die "Risky 1K" komplett gewandelt. Von Quarantäne-Kandidaten zur Spitzengruppe – und so deutlich besser als der Rest des Unternehmens, dass das Security-Team grünes Licht für einen unternehmensweiten Hoxhunt-Rollout erhalten hat. Dieser hat die Failure Rates in Phishing-Simulationen seither global um den Faktor 6 verbessert.

Diese Ergebnisse wurden mit dem renommierten CSO50 Award von Foundry ausgezeichnet.

Der Rückgang der Fehlerrate war sogar noch beeindruckender, als diese Zahlen es vermuten lassen. Schon mit der Aufnahme ins Hoxhunt-Training und einem strukturierten Onboarding haben sich die Meldequoten und Fehlerrate der "Risky 1K" sofort verbessert. Ihre Ausgangs-Failure-Rate vor Hoxhunt lag tatsächlich näher bei 30 bis 50 % – das entspricht einer nahezu 10-fachen Verbesserung der simulierten Klickrate auf bösartige Inhalte!

Durch die Kombination aus KI, Verhaltenswissenschaft und Spielmechanik hat Hoxhunt es Qualcomm ermöglicht, endlich auch jene Mitarbeitenden zu erreichen, die mit den klassischen, trockenen und auf Bestrafung basierenden SAT-Tools als unerreichbar galten.

Ein Wechsel vom etablierten zum disruptiven Modell birgt Risiken. Qualcomm hat intensiv mit Hoxhunt zusammengearbeitet, um das Programm auf die eigenen technischen und operativen Anforderungen zuzuschneiden. Nach dem Go-live gab es Bedenken aus dem Management:

1) Steigt das Risiko durch den Wechsel von einem bestraften zu einem belohnungsbasierten Programm?

2) Wie reagieren die Mitarbeitenden auf die zunehmenden Security-Micro-Trainings?

Die Rückmeldungen aus der Belegschaft, vom Management und aus den Security-Funktionen waren durchweg positiv. Das Programm hat eine robuste Verhaltensänderung bewirkt – mit hohem Engagement in einer Zielgruppe, die normalerweise als schwer erreichbar gilt. Genau diese Mitarbeitenden sind zu Vorbildern in Sachen Cybersicherheit geworden. Seit dem allgemeinen Rollout im August 2023 sind die Engagement-Raten unternehmensweit auf einem Spitzenniveau, die Meldequoten für simulierte Bedrohungen steigen stark, und die Klickraten sind eingebrochen.

Der größte Gewinner: die Sicherheitskultur. Obwohl die Mitarbeitenden deutlich mehr Phishing-Simulationen erhalten, gibt es mehr positives und weniger negatives Feedback als zur Zeit der vorherigen Kadenz von 4 Simulationen pro Jahr. Gleichzeitig setzt Qualcomm weniger Ressourcen für Security Awareness und Phishing Training ein.

Auch die Steigerung der Meldequote für simulierte Bedrohungen war in Wirklichkeit dramatischer, als die experimentellen Daten zeigen. Vor dem Onboarding und der Aufnahme in den Hoxhunt-Pilot war die Meldequote in der "Risky 1K" praktisch nicht vorhanden.
"Der CSO50 Award würdigt die Wirkung eines gezielten Security-Awareness-Programms und wie es ein neues Level an Exzellenz in unserer Sicherheitskultur freisetzt, beginnend bei unseren anfälligsten Mitarbeitenden. In den 9 Monaten ihrer Hoxhunt-Teilnahme hat sich unsere risikoreichste Nutzergruppe von einer doppelt so hohen Phishing-Failure-Rate wie der Rest der Kolleg:innen auf etwa die Hälfte verbessert – ein 4-facher Sprung im Vergleich. Diese Ergebnisse haben uns den globalen Rollout von Hoxhunt für alle Mitarbeitenden ermöglicht, deren Fehlerraten seither um den Faktor 6 gesunken sind." -- Kris Virtue, Global Head of Cybersecurity, Qualcomm

"Es war eine eindeutige Entscheidung.… Man sieht, wie aus den Schlechtesten die Besten werden in 2 Monaten mit Hoxhunt. Es war einfach, das auf das gesamte Unternehmen auszuweiten. Und die Ergebnisse waren ehrlich gesagt ziemlich beeindruckend." -- Rachel Shaw, Sr. Manager of Cybersecurity at Qualcomm, sauf der CSO50-Award-Verleihung in Ar

Kulturwandel

Eine Kette ist nur so stark wie ihr schwächstes Glied. Indem Qualcomm genau die Mitarbeitenden mit personalisiertem, dynamischem Phishing Training gestärkt hat, die für Social Engineering am anfälligsten sind, hat das Unternehmen geschafft, woran andere SAT-Tools gescheitert sind: das größte menschliche Risiko in eine erhebliche Sicherheitsressource zu verwandeln. Diese Mitarbeitenden klicken heute nicht nur seltener als ihre Kolleg:innen auf bösartige Links – sie melden Bedrohungen sogar häufiger und schützen damit die gesamte Organisation.

Und all das innerhalb von 6 Monaten nach dem globalen Rollout.

Auf den allgemeinen Rollout von Hoxhunt folgte ein echter Wandel im Cyberverhalten und in der Sicherheitskultur: Genau die Gruppe, die als cybertechnisch herausfordernd galt, hat allen gezeigt, was mit einem adaptiven Phishing-Training-Programm möglich ist.
"Qualcomm verfolgt die Mission, eine Welt zu ermöglichen, in der alles und jeder intelligent vernetzt sein kann. Unsere Worst-to-First-Initiative ist für uns eine Art IT-Gleichnis dafür, wie diese Vernetzung sicher und damit zur Grundlage für beispiellosen Wohlstand werden kann."
Durch die Korrektur des Sicherheitsverhaltens unserer risikoreichsten Mitarbeitenden hat Hoxhunt uns geholfen, jedes Glied in der Software-Lieferkette gegen Social-Engineering-Angriffe zu stärken – den wichtigsten Angriffsvektor für Datenpannen. Wir empfehlen jedem, das adaptive Phishing-Modell von Hoxhunt einzuführen. Die Ergebnisse sprechen für sich. Vom einzelnen Mitarbeitenden bis zum Großunternehmen – wir können alle unseren Beitrag dazu leisten, unser Ökosystem sicher zu halten." -- Kris Virtue, CISO
Want to match these results?
Hoxhunt adaptive phishing training dramatically increases training engagement and security resilience.
Request a demo
MEHR ERFAHREN

Erlebe Hoxhunt. Frag noch heute eine Demo an.

Demo buchen
Watch video
In der Demo:
Discuss challenges you would like to solve
Discover what you are looking for in a solution
See the Hoxhunt end user experience in action
Explore the administrator dashboard, success metrics and reporting