:quality(80)/p7i.vogel.de/wcms/0b/94/0b94922e642ca94c57d2b96f0adc3e64/0111587687.jpeg "Die Produkte der dänischen Design-Marke Dbramante1928 gibt es jetzt auch bei Brodos. (Bild: dbramante1928)")
:quality(80)/p7i.vogel.de/wcms/ef/db/efdbf5ec4c28b466c75c934ab57920c1/0111652411.jpeg "Um auf potenzielle Cyber-Bedrohungen vorbereitet zu sein, lohnt sich die Investition in Security Awarness Trainings für die Mitarbeitenden. (Bild: Richelle - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/c9/d6c9c51486f54acf13b522ae59a800b5/0111654137.jpeg "Mit dem GfK-Konsumlikma geht es verhalten bergauf. (Bild: fotomek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/60/a4604840542b15d381f821ff50399adf/0111080645.jpeg "Der Wunsch nach modernen Technologien ist auch bei Sicherheitsverantwortlichen im Immobilienbereich sehr hoch. (Bild: Brivo)")
:quality(80)/p7i.vogel.de/wcms/2d/f5/2df5841df41988d68f3e9f1ececd79cf/0107622743.jpeg "Hybrid Work bringt Unternehmen Wettbewerbsvorteile. (Bild: © Maria Vonotna - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/a7/eba7fda9b8b3585d1bb04f8bc73cc81f/0111651548.jpeg "Die Unigrid Foundation will 10.000 europäische Rechenzentren mittels der Blockchain vernetzen. (Bild: frei lizenziert Gerd Altmann - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/e5/bd/e5bd1b6532d0e25591b37a11cee8a8ce/0111184647.jpeg "Das mit AIOps weiterentwickelte HPE Aruba Networking Central sowie Agile NaaS sollen eine effektivere Verwaltung komplexer Betriebsprozesse ermöglichen. (Bild: Hewlett Packard Enterprise)")
:quality(80)/p7i.vogel.de/wcms/6a/b0/6ab0c1232523d680ed1368fed355b780/0111210369.jpeg "Trotz aller Krisen bleibt die Digitalisierung eine der drängendsten wirtschaftlichen Herausforderungen – denn weder der internationale Wettbewerb noch die Entwicklung der Hyperscaler schlafen. (Bild: fran_kie - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/ee/0ceea15bbc5fbb8387aea9aacf2b87ae/0111651504.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/22/1c/221c5c6fbbb8447e2ad11981a645b6d0/0111649999.jpeg "(Bild: ALSO)")
:quality(80)/p7i.vogel.de/wcms/58/60/58608be66bae2377bdebaff647a6fbc3/0111649973.jpeg "(Bild: Adin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9b/259b053d61129f828e719043bffdf764/0111176792.jpeg "(Bild: Everphone)")
Security Awareness SoSafe verbindet IT-Sicherheit mit Psychologie
Die Security-Awareness-Plattform von SoSafe basiert auf einer psychologischen Methodik. Dazu gehören Micro-Lerneinheiten, Interaktivität und Gamification. Gründer und Diplom-Psychologe Niklas Hellemann erläutert, wie die Plattform funktioniert.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133400/133405/65.png "DataCore Logo.png ()")
Schaut man sich den Bildungsweg von Niklas Hellemann an, fragt man sich, was er in einem IT-Unternehmen verloren hat. Auf dem zweiten Blick wird dann klar: eine ganze Menge.
Nachdem Hellemann einen Abschluss als Diplom-Psychologe in Bonn machte, hängte er drei Jahre später noch den Doktortitel der Philosophie hinten dran. Nur zwei Jahre später gründete er gemeinsam mit Lukas Schaefer und Felix Schürholz das Unternehmen SoSafe in Köln. Das Produkt ist eine Security-Awareness-Plattform, die der Hersteller sowohl direkt als auch mithilfe von Resellern und Managed Service Providern (MSPs) verkauft.
SoSafe will Unternehmen dabei helfen, „ihre menschliche Firewall zu aktivieren“. Die IT-Security war für Hellemann schon immer eine Herzensangelegenheit, die menschliche Komponente dabei wurde seiner Ansicht nach in der Vergangenheit jedoch zu wenig beachtet.
„Der Psychologe in mir schreit, wenn ich von Unternehmen höre, bei denen die Sensibilisierung darin besteht, den Mitarbeitern 90 Minuten lang ein Video zu zeigen und danach noch ein paar Fragen zu stellen“, sagt Hellemann. „Doch Angriffe auf Menschen finden immer häufiger statt und werden immer professioneller. Deswegen ist es so wichtig, dass wir die Leute schulen und ihr Verhalten ändern, um das Risiko langfristig zu senken.“ Mittlerweile sind sich seiner Meinung nach Unternehmen aber bewusst, dass die Sensibilisierung ihrer Belegschaft einen fortlaufenden Prozess erfordert und keine einmalige Schulung.
Seine psychologische Expertise bringt Hellemann in die Produktentwicklung mit ein. Besonders wichtig ist es für ihn, dass die Nutzer „angstbefreit lernen“ können. Deshalb laufen die Schulungen anonym ab. „Wir deuten nicht mit dem Finger auf einzelne Personen und identifizieren sie als Sicherheitslücke.“
Stattdessen arbeitet SoSafe mit einem sogenannten Risiko-Score. Dieser bezieht sich nicht auf einzelne Personen, sondern auf vorab definierte Gruppen oder Abteilungen. Der Score speist sich aus verschiedenen Metriken, wie zum Beispiel der Klickrate auf Phishing Mails. Abteilungen, die einen hohen Risiko-Score aufweisen, bekommen häufiger Sensibilisierungsmaßnahmen.
Außerdem sei es wichtig, die Lerneinheiten zu verteilen, statt geballt auf einmal zu vermitteln. „Wir denken mit unserer Lösung nicht in einzelnen Kampagnen“, erklärt Hellemann. „Sondern die Plattform läuft kontinuierlich und schickt kurze Module, die zwischen drei bis fünf Minuten lang sind, an die Mitarbeiter.“ Dieses Konzept bezeichnet man als Micro-Learning.
Im Vordergrund steht die Interaktivität der Übungen. Denn Motivation, Spaß und aktive Beschäftigung würden dazu führen, dass die Lernenden mehr Inhalte behalten. Die Mitarbeiter müssen Aufgaben lösen, zum Beispiel, wie sie sich korrekt auf einer Dienstreise verhalten. Dazu gehört auch die Gamifizierung der Trainings. Das bedeutet, dass die Endnutzer Punkte sammeln, ihren Lernfortschritt beobachten und Abzeichen sammeln können. „Gamification funktioniert unserer Erfahrung besonders gut und die Nutzer mögen es auch sehr gerne. Das führt dazu, dass wir hohe Engagement-Raten haben und dass das Risiko dauerhaft niedrig gehalten wird.“
Je nach gewünschtem Leistungsumfang können die Kunden zwischen fünf Paketen wählen: Starter, Essential, Professional, Premium und Enterprise. Die Pakete Essential, Professional und Premium eignen sich für Managed Service Provider. Die Version Enterprise ist zu diesen Modellen zubuchbar. Lizenziert wird die Plattform nach Anzahl der User. Die Pakete können als Ein-, Zwei- oder Drei-Jahreslizenz erworben werden.
Security Awareness als MSP nutzen
Klassischerweise ist die MSP-Version von SoSafe mandantenfähig. Außerdem erhalten die Provider vom Hersteller eine Vorauswahl an geeigneten Schulungsmaterialien, die sie in die Trainings für ihre Kunden implementieren können. „Der Vorteil für die Managed Service Provider ist, dass sie wenig Aufwand haben und dennoch Erfolge bei ihren Kunden erzielen.“
Des Weiteren bietet SoSafe eine Customization Engine. Damit können MSPs die Trainings auf die lokalen Spezifikationen ihrer Kunden anpassen. „Zum Beispiel haben verschiedene Unternehmen verschiedene Passwortrichtlinien oder der Name des Datenschutzbeauftragen soll in dem Training vorkommen. Mit unserer schlanken Input-Maske können die Reseller diese Angaben eintippen und bei ihren Kunden einspielen.“
Künftig will der Anbieter noch bedarfsgerechter entwickeln. Denn ein Geschäftsführer, ein Mitarbeiter im Empfang und eine IT-Fachkraft werden mit jeweils unterschiedlicher Intensität und mit unterschiedlichen Mitteln angegriffen. Auch soll der Fokus auf Social Engineering und andere Betrugsmaschen im Homeoffice verstärkt werden. Darauf müssen die Trainings eingehen.
Auch die Kombination von Phishing E-Mails mit Voice Cloning macht Hellemann Sorgen. Dabei nutzen Hacker Künstliche Intelligenz, um die Stimme eines Kollegen oder Vorgesetzten am Telefon zu imitieren. Damit wollen sie Mitarbeiter in die Falle locken. Auch darauf sollen Nutzer künftig mehr vorbereitet werden.
Übrigens stellt SoSafe online einen kostenlosen Phishing-Test bereit.
:quality(80)/images.vogel.de/vogelonline/bdb/1751900/1751981/original.jpg "KnowBe4 kombiniert Security mit Psychologie und entwickelt somit eine Lernplattform für Security Awareness, die unter anderem mit lokalem Humor und Entertainment arbeitet. (Naz - stock.adobe.com)")
Trainingsplattform von KnowBe4
Monty Python und die Security Awareness
:quality(80)/images.vogel.de/vogelonline/bdb/1722100/1722193/original.jpg "Aus psychologischer Sicht lässt sich das Cyber-Sicherheitsverhalten von Mitarbeitern in vier Personas einteilen: ängstlich, gewissenhaft, ignorant und draufgängerisch. (© Feodora - stock.adobe.com)")
Studie „Head in the Clouds“ von Trend Micro
Die Persönlichkeiten der Security Awareness
(ID:47850392)
:quality(80)/images.vogel.de/vogelonline/bdb/1935300/1935336/original.jpg "Der Anwender ist das schwächste Glied in der Kette. Awareness Trainings können helfen, beispielsweise das Gespür für Phising-Mails zu schärfen. (m.mphoto-stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1908300/1908391/original.jpg "Unternehmen müssen sich präventiv vor KI-basierten Spear-Phishing-Mails schützen. (peshkov - stock.adobe.com)")