Newsletter abonnieren
Interview mit Felix Schürholz von »SoSafe«

Cyber Security Awareness: Startup »SoSafe« simuliert Cyber-Attacken zur Sensibilisierung von Mitarbeiter*innen

von Charlotte Clarke, 15. Oktober 2019 07:20
Auf Phishing-Mails falle ich doch nicht rein! Oder doch? Leider zeigt die Erfahrung: Oft sitzt die Schwachstelle vor dem PC. Im schlimmsten Fall kann das einfache Anklicken eines Links dem Arbeitgeber sehr teuer zu stehen kommen, z.B. wenn durch den Hacker-Angriff sensible Daten gestohlen werden. Mit realistisch aussehenden Phishing-Mails und einem E-Learning-Konzept will das Cyber-Security Startup »SoSafe« Mitarbeiter*innen zur »menschliche Firewall« machen. Mehr zum Trainingskonzept im Interview mit Felix Schürholz, Mitgründer von »SoSafe«.

Mit eurem Startup SoSafe wollt ihr den digitalen Raum ein wenig sicherer machen und Unternehmen dabei unterstützen, sich gegen Cyberkriminalität zu schützen. Wie genau stellt ihr das an?

Eines vorweg: Eine hundertprozentige Sicherheit gibt es nicht und wird es nie geben. Mit unseren Lösungen können unsere Kund*innen jedoch dafür sorgen, dass das Schutzniveau deutlich und messbar erhöht wird. Der Mensch ist nämlich das Einfallstor Nummer eins, was Cyberattacken angeht – so starten z.B. mehr als 90% aller Cyberangriffe mit einer Phishing-Mail. An genau dieser Stelle setzen wir an: Nur mit einer gut trainierten Mitarbeiterschaft, wir nennen es die »menschliche Firewall«, kann der aktuellen Bedrohungslage begegnet werden. Dies ergänzt alle technischen Maßnahmen wie Spamfilter, Virenschutz & Co, die allesamt sinnvoll sind, alleine aber erwiesenermaßen nicht ausreichen. Hierbei setzen wir vor allem auf ein umfangreiches E-Learning mit Videos und Quizzen zu allen IT-Sicherheitsthemen, auf simulierte Phishing-Angriffe mit informativen Lernseiten für die Nutzer sowie hilfreiche Support-Tools, z.B. zum Melden verdächtiger E-Mails.

Auf welche Art von Betrugsversuchen bzw. Cyber-Angriffen fallen ungeschulte Mitarbeiter*innen besonders oft herein?

Hier ist zu unterscheiden zwischen absoluten und relativen Zahlen. Absolut gesehen fallen die meisten Menschen auf recht generische Mails wie z.B. ein Bewerbungsschreiben, eine angebliche Mahnung eines Anwalts oder ein Gewinnversprechen herein. Dies liegt daran, dass derartige Mails in sehr hoher Stückzahl versandt werden. In relativen Zahlen sind es vor allem Dinge wie z.B. eine Mail von einem angeblichen Kollegen oder, noch erfolgreicher, von der Chefin, auf welche die Mitarbeiter*innen »hereinfallen«. Bei derartigen Mails, auch »Spear-Phishing« genannt, sehen wir in unseren Simulationen initiale Klickraten von über 75%. Das heißt, 3 von 4 Mitarbeiter*innen haben in der entsprechenden Mail einen Link angeklickt oder versucht, einen Anhang herunter zu laden.

Wie unterscheiden sich Phishing-E-Mails, mit denen Unternehmen attackiert werden von solchen, die sich eher an Privatpersonen richten? Auf welche Art von Informationen haben es Kriminelle besonders abgesehen?

Es gibt nicht die eine Art von Phishing-Mail, die hier oder dort besonders erfolgreich ist. Dies ist extrem individuell und unterscheidet sich z.B. auch innerhalb von Industrien, Firmen oder auch einzelnen Abteilungen stark. Auch die Motive der Hacker sind total unterschiedlich: Vom Cyberspion, der es auf die Geschäftsgeheimnisse abgesehen hat, über die in Mafia-ähnlichen Strukturen organisierten Kreditkartenbetrüger bis zum politischen Aktivisten ist alles dabei.

Bei eurer Schulung simuliert ihr z.B. Phishing-E-Mails und versendet diese an die Mitarbeiter*innen. Erfährt der Arbeitgeber, wer diese nicht als potenzielle Gefahr erkannt hat und unbedarft auf die E-Mail geklickt hat? Das könnte ja unter Umständen für die betreffende Person ziemlich peinlich sein…

Nein, bei unseren normalen Simulationen bleiben die Nutzer*innen vollkommen anonym. Hier kann lediglich nach Kriterien wie Standort oder Abteilung differenziert werden, nie aber auf Einzelmitarbeiterebene. Jedes angezeigte Cluster muss stets mindestens 5 Personen beinhalten. Somit weiß nur der/die User*in selbst, ob er/sie auf eine unserer Phishing-Mails »hereingefallen« ist. Dies ist auch extrem wichtig, sowohl aus Gründen des Datenschutzes und Arbeitsrechts, als auch, um eine möglichst große Akzeptanz bei den Mitarbeiter*innen für ein derartiges Training zu erhalten. Und dies zahlt sich aus: So bewerten uns die Mitarbeiter*innen im Schnitt mit 4.8 von 5 möglichen Sternen. 

Sind denn nicht hauptsächlich große Konzerne und Unternehmen mit sensiblen Daten von Cyber-Gefahren betroffen? Lohnt es sich überhaupt z.B. für eine kleine mittelständische Firma, sich mit diesem Thema auseinanderzusetzen?

Dies mag so scheinen, da solche Fälle, bei denen z.B. große Firmen betroffen sind, schneller und präsenter in den Medien behandelt werden. In Wahrheit ist es aber genau anders herum; wie eine Studie des eco e.V. (Verband der Internetwirtschaft) kürzlich noch einmal unterstrich: Kleine und mittelständische Firmen werden sogar überproportional häufig das Opfer von Cyberattacken. Gerade auch, weil sie sich oft weder eine moderne technische Sicherheitsstruktur noch ein umfassendes Training für ihre Mitarbeiter*innen leisten können. Dies wollen wir mit SoSafe adressieren, weshalb wir nun z.B. auch eine Awareness-Plattform extra für KMU eröffnet haben, wo Firmen mit bis zu 100 Mitarbeiter*innen ein kostengünstiges Training durchführen können.

Wie ist die Idee zur Gründung von SoSafe entstanden und was waren eure ersten konkreten Schritte zur Umsetzung eurer Geschäftsidee?

In diversen Kundenprojekten, die wir Gründer bei McKinsey, BCG und als Freelancer gesammelt hatten, haben wir drei immer wieder die Erfahrung gemacht, dass im Bereich IT-Sicherheit ein Element viel zu oft vernachlässigt wird: Die Nutzer*innen selbst. Es fehlte an einer einfachen, effizienten und vor allem effektiven Lösung zur Schulung der Mitarbeiter*innen - dies wollten wir mit SoSafe ändern. Wir starteten damit, die Idee einer interaktiven Phishing-Simulation bei möglichen Interessenten zu pitchen – und stießen auf reges Interesse. Darüber hinaus hatten wir uns um ein EXIST-Gründerstipendium beworben, welches uns auch gewährt wurde. Und kurze Zeit später schon ging es los und die SoSafe GmbH war geboren.

Gab es bestimmtes fachliches oder praktisches Know-how, womit ihr zu Beginn noch völlig unvertraut wart und welches ihr euch im Laufe der Gründung erst noch aneignen musstet?

Zwar hatten wir alle bereits umfangreiche Arbeitserfahrung mit IT & Digitalisierung sowie Didaktik und Psychologie, jedoch nicht explizit mit dem Bereich IT-Sicherheit. Hier haben wir daher früh entsprechend rekrutiert und haben mittlerweile einige echte IT-Security-Expert*innen mit an Bord.

Wer steht hinter SoSafe? Wie hat das Gründerteam zueinander gefunden und wie habt ihr die Kernaufgaben untereinander aufgeteilt?

Das Gründerteam besteht aus einem Dipl.-Psychologen, einem Software-Entwickler und einem Betriebswirt. Wir hatten vorher an einem anderen Projekt zusammengearbeitet und dort, obwohl - oder vielleicht auch gerade weil - es nicht erfolgreich war, gemerkt, dass wir sehr gut miteinander arbeiten können und uns toll ergänzen, so unterschiedlich wir auch sind. Auch unser Team aus mittlerweile mehr als 30 Mitarbeiter*innen ist heterogen aufgestellt: Vom IT-Security-Experten, über die Wirtschaftspsychologin bis zum Designer ist alles dabei, um bei Produktentwicklung und Projektdurchführung die Kundenerwartungen immer noch ein wenig zu übertreffen. Und darauf sind wir unheimlich stolz, eine so schlagkräftige und hochkarätige Mannschaft aufgebaut zu haben.

Mit welchen Partner*innen habt ihr während der Gründungsphase zusammengearbeitet? Wo finden digitale Startups eurer Erfahrung nach besonders wertvolle Unterstützung?

Wir hatten Unterstützung von einem Netzwerk aus IT-Sicherheits-Professor*innen (Uni Bonn, TH Köln, Ruhr-Uni Bochum) sowie Security-Expert*innen (u.A. eco, McAfee, Fortinet), mit denen wir auf verschiedensten Wegen in Kontakt gekommen waren. Auch haben wir uns früh darum gekümmert, mögliche Kooperationspartner*innen zu gewinnen, so wie kürzlich z.B. die DEKRA, eine der größten Organisationen für Zertifizierung und Sicherheit weltweit. Wichtig für alle Startups sollte sein, sich ganz konkret Einzelpersonen herauszusuchen, die man für sich gewinnen kann. Hierbei sollte allerdings auch möglichst schnell reflektiert werden, ob beide Seiten tatsächlich von einer Kooperation profitieren oder ob es unterm Strich nur Zeitverschwendung ist. 

Was war bisher eure größte Herausforderung als junges Startup? Welchen Rat würdet ihr anderen Gründer*innen mit auf den Weg geben, um diese zu meistern?

Das mit Abstand Schwierigste ist in unseren Augen der Aufbau eines starken und gut kooperierenden Teams. Die richtigen Mitarbeiter*innen zu finden, ist schon in Zeiten ohne Fachkräftemangel und Vollbeschäftigung schwierig – und aktuell um so mehr. Wir sind zwar schon stark gewachsen, würden uns aber am liebsten direkt nochmal verdoppeln. Daher stellen wir auch stetig weiter ein, auf unserer Karriereseite sind alle aktuellen Stellenausschreibungen zu finden. 

Allen anderen Gründer*innen würden wir raten, beim Thema Mitarbeiter*innen keine Kompromisse zu machen, auch wenn dies oft verlockend ist. Mit der Qualität der Menschen steht und fällt auch die Qualität des Produktes und ein schlagkräftiges Team kann Berge versetzen!


Lust auf einen kleinen Selbsttest? Auf der Website von SoSafe kannst du dich kostenlos zu einem kleinen Test-Training anmelden, bei dem dir mehrere angebliche Phishing-Mails in dein Postfach geschickt werden. Ob du sie wohl alle erkennst?


Dir gefällt dieser Artikel?

Dann hier Newsletter abonnieren und keine Artikel mehr verpassen:

Magazin

Persönliche Entwicklung

Personal Branding - in 5 Schritten zur »Marke Ich«

31. Oktober 2019

Interview mit Konrad Gutkowski und Felix Hartelt von »Coding da Vinci«

Coding trifft Kultur: Beim Kultur-Hackathon »Coding da Vinci« werden digitale Schätze aus dem Archiv ins öffentliche Licht geholt

30. Oktober 2019

Interview mit Markus Reinhold von »EINHUNDERT Energie«

Nie wieder Stromnachzahlung! CleanTech-Startup »EINHUNDERT Energie« macht Mieterstrom smart

23. Oktober 2019

Selbstständigkeit

Coworking Spaces in Köln

19. Oktober 2019