Security Awareness SoSafe verbindet IT-Sicherheit mit Psychologie

Von Melanie Staudacher

Die Security-Awareness-Plattform von SoSafe basiert auf einer psychologischen Methodik. Dazu gehören Micro-Lerneinheiten, Interaktivität und Gamification. Gründer und Diplom-Psychologe Niklas Hellemann erläutert, wie die Plattform funktioniert.

Firmen zum Thema

SoSafe hat psychologische Erkenntnisse in die Entwicklung der Security-Awareness-Plattform eingebracht.
SoSafe hat psychologische Erkenntnisse in die Entwicklung der Security-Awareness-Plattform eingebracht.
(Bild: BestForYou - stock.adobe.com)

Schaut man sich den Bildungsweg von Niklas Hellemann an, fragt man sich, was er in einem IT-Unternehmen verloren hat. Auf dem zweiten Blick wird dann klar: eine ganze Menge.

Nachdem Hellemann einen Abschluss als Diplom-Psychologe in Bonn machte, hängte er drei Jahre später noch den Doktortitel der Philosophie hinten dran. Nur zwei Jahre später gründete er gemeinsam mit Lukas Schaefer und Felix Schürholz das Unternehmen SoSafe in Köln. Das Produkt ist eine Security-Awareness-Plattform, die der Hersteller sowohl direkt als auch mithilfe von Resellern und Managed Service Providern (MSPs) verkauft.

SoSafe will Unternehmen dabei helfen, „ihre menschliche Firewall zu aktivieren“. Die IT-Security war für Hellemann schon immer eine Herzensangelegenheit, die menschliche Komponente dabei wurde seiner Ansicht nach in der Vergangenheit jedoch zu wenig beachtet.

„Der Psychologe in mir schreit, wenn ich von Unternehmen höre, bei denen die Sensibilisierung darin besteht, den Mitarbeitern 90 Minuten lang ein Video zu zeigen und danach noch ein paar Fragen zu stellen“, sagt Hellemann. „Doch Angriffe auf Menschen finden immer häufiger statt und werden immer professioneller. Deswegen ist es so wichtig, dass wir die Leute schulen und ihr Verhalten ändern, um das Risiko langfristig zu senken.“ Mittlerweile sind sich seiner Meinung nach Unternehmen aber bewusst, dass die Sensibilisierung ihrer Belegschaft einen fortlaufenden Prozess erfordert und keine einmalige Schulung.

Seine psychologische Expertise bringt Hellemann in die Produktentwicklung mit ein. Besonders wichtig ist es für ihn, dass die Nutzer „angstbefreit lernen“ können. Deshalb laufen die Schulungen anonym ab. „Wir deuten nicht mit dem Finger auf einzelne Personen und identifizieren sie als Sicherheitslücke.“

Stattdessen arbeitet SoSafe mit einem sogenannten Risiko-Score. Dieser bezieht sich nicht auf einzelne Personen, sondern auf vorab definierte Gruppen oder Abteilungen. Der Score speist sich aus verschiedenen Metriken, wie zum Beispiel der Klickrate auf Phishing Mails. Abteilungen, die einen hohen Risiko-Score aufweisen, bekommen häufiger Sensibilisierungsmaßnahmen.

Außerdem sei es wichtig, die Lerneinheiten zu verteilen, statt geballt auf einmal zu vermitteln. „Wir denken mit unserer Lösung nicht in einzelnen Kampagnen“, erklärt Hellemann. „Sondern die Plattform läuft kontinuierlich und schickt kurze Module, die zwischen drei bis fünf Minuten lang sind, an die Mitarbeiter.“ Dieses Konzept bezeichnet man als Micro-Learning.

Im Vordergrund steht die Interaktivität der Übungen. Denn Motivation, Spaß und aktive Beschäftigung würden dazu führen, dass die Lernenden mehr Inhalte behalten. Die Mitarbeiter müssen Aufgaben lösen, zum Beispiel, wie sie sich korrekt auf einer Dienstreise verhalten. Dazu gehört auch die Gamifizierung der Trainings. Das bedeutet, dass die Endnutzer Punkte sammeln, ihren Lernfortschritt beobachten und Abzeichen sammeln können. „Gamification funktioniert unserer Erfahrung besonders gut und die Nutzer mögen es auch sehr gerne. Das führt dazu, dass wir hohe Engagement-Raten haben und dass das Risiko dauerhaft niedrig gehalten wird.“

Je nach gewünschtem Leistungsumfang können die Kunden zwischen fünf Paketen wählen: Starter, Essential, Professional, Premium und Enterprise. Die Pakete Essential, Professional und Premium eignen sich für Managed Service Provider. Die Version Enterprise ist zu diesen Modellen zubuchbar. Lizenziert wird die Plattform nach Anzahl der User. Die Pakete können als Ein-, Zwei- oder Drei-Jahreslizenz erworben werden.

Security Awareness als MSP nutzen

Klassischerweise ist die MSP-Version von SoSafe mandantenfähig. Außerdem erhalten die Provider vom Hersteller eine Vorauswahl an geeigneten Schulungsmaterialien, die sie in die Trainings für ihre Kunden implementieren können. „Der Vorteil für die Managed Service Provider ist, dass sie wenig Aufwand haben und dennoch Erfolge bei ihren Kunden erzielen.“

Des Weiteren bietet SoSafe eine Customization Engine. Damit können MSPs die Trainings auf die lokalen Spezifikationen ihrer Kunden anpassen. „Zum Beispiel haben verschiedene Unternehmen verschiedene Passwortrichtlinien oder der Name des Datenschutzbeauftragen soll in dem Training vorkommen. Mit unserer schlanken Input-Maske können die Reseller diese Angaben eintippen und bei ihren Kunden einspielen.“

Künftig will der Anbieter noch bedarfsgerechter entwickeln. Denn ein Geschäftsführer, ein Mitarbeiter im Empfang und eine IT-Fachkraft werden mit jeweils unterschiedlicher Intensität und mit unterschiedlichen Mitteln angegriffen. Auch soll der Fokus auf Social Engineering und andere Betrugsmaschen im Homeoffice verstärkt werden. Darauf müssen die Trainings eingehen.

Auch die Kombination von Phishing E-Mails mit Voice Cloning macht Hellemann Sorgen. Dabei nutzen Hacker Künstliche Intelligenz, um die Stimme eines Kollegen oder Vorgesetzten am Telefon zu imitieren. Damit wollen sie Mitarbeiter in die Falle locken. Auch darauf sollen Nutzer künftig mehr vorbereitet werden.

Übrigens stellt SoSafe online einen kostenlosen Phishing-Test bereit.

(ID:47850392)