Trotz all der vielfältigen Security-Lösungen: Ohne aufmerksame Endanwender geht es nicht – das hat die aktuelle Welle erfolgreicher Ransomware-Angriffe schmerzhaft verdeutlicht. Gartner erwartet, dass in zwei Jahren 60 Prozent der Großunternehmen umfassende Security-Awareness-Programme unterhalten werden, mit mindestens einer Vollzeitstelle für deren Betreuung. Das Mittel der Wahl ist häufig CBT (Computer-Based Training). CBT macht Awareness-Trainings auch der breiten Masse der Unternehmen zugänglich, Marktführer ist laut Gartner der Anbieter KnowBe4. LANline diskutierte die aktuelle Lage mit KnowBe4s Technical Evangelist Jelle Wieringa.

LANline: Herr Wieringa, was zeichnet den Schulungsansatz aus, den KnowBe4 verfolgt?

Jelle Wieringa: Bei Security-Awareness-Kampagnen geht es nicht einfach darum, Wissen zu vermitteln, sondern darum, das Verhalten zu verändern. Notwendig ist deshalb emotionales Engagement. Es muss Spaß machen, sicherheitsbewusstes Verhalten zu erlernen. Darum reichen unsere Inhalte bis hin zu Netflix-artigen Videoserien mit Cliffhangern. Dass Ziel ist, dass der Endanwender von sich aus mehr Trainings haben will, bis hin zum Binge-Watching (intensiver Medienkonsum am Stück, d.Red.) der Awareness-Inhalte.

LANline: Wie kann man die Endanwender über Länder-, Sprach- und Kulturgrenzen hinweg mit Security-Awareness-Themen erreichen?

Jelle Wieringa: „Content is king“, wie Gartner sagt. Unser Fokus liegt darauf, lokalisierten Content anzubieten, den Muttersprachler erstellt haben. Wir haben rund 20.000 Kunden mit ungefähr 22 Millionen Endanwendern. Derzeit expadieren wir stark in Europa und dem asiatisch-pazifischen Raum. In Deutschland sind wir mit einem Büro in Berlin vertreten. Vor zwei Jahren haben wir den dort ansässigen Anbieter Exploqii akquiriert, einen Spezialisten für die Erstellung maßgeschneiderter Kampagneninhalte. Insgesamt haben wir zwischen 150 und 200 verschiedene Content-Module auf Deutsch.

LANline: Und welche Anpassungen waren nötig, um die Inhalte speziell an deutsche Erfordernisse anzupassen?

Jelle Wieringa: Wir haben festgestellt, dass in Deutschland gezeichnete Inhalte sehr gut funktionieren. Statt mit Fotos arbeiten wir hier deshalb bevorzugt mit Zeichnungen im Cartoon-Stil. Inhaltlich sind Aspekte wie Privatsphäre und DSGVO in Deutschland sehr wichtig. Deshalb haben wir spezifische Inhalte für dieses Thema erstellt, die wir ausschließlich in Deutschland einsetzen. Zum Vergleich: In Großbritannien und Südafrika zieht Humor nach Monty-Python’s-Art sehr stark. Deshalb nutzen wir in Südafrika lokale Comedians als Schauspieler. Jenseits regionaler Unterschiede gilt es aber zudem, die Sprache der Zielgruppe genau zu treffen – einen Vorstand muss man eben anders ansprechen als Privatanwender.

LANline: Abgesehen von den Inhalten: Wie unterscheiden Sie sich in geschäftlicher Hinsicht auf dem hart umkämpften CBT-Markt von den zahlreichen Wettbewerbern?

Jelle Wieringa: Jedem Kunden stellen wir einen Customer Success Manager, kurz CSM, an die Seite, um sicherzustellen, dass der Kunde ein effektives Training erhält. Denn für IT-Manager ist es in der Regel schwer, ohne externe Unterstützung eine gute Kampagne aufzusetzen.

LANline: Insbesondere in Deutschland dürfte das Spannungsverhältnis zwischen Logging oder Erfolgskontrolle einerseits und Privatsphäre der Mitarbeiter andererseits einen Stolperstein darstellen. Wie gehen Sie damit um?

Jelle Wieringa: Wir sammeln die CBT-Auswertungsdaten in einer cloudbasierten Umgebung. Allerdings speichern wir dabei keine personenbezogenen Informationen, aus Datenschutzsicht ist das somit unkritisch. In der Cloud erfassen wir nur: Welche Trainings haben die Nutzer absolviert, wie gut haben sie abgeschnitten? Der CISO sieht per Login die Ergebnisse auf Abteilungs- und auf Unternehmensebene. Mit diesen Informationen kann er neue Kampagnen aufsetzen oder bestehende anpassen. Dass wir keine On-Premises-Lösung haben, bereitet uns in manchen Ländern Probleme, zum Beispiel im Nahen Osten, in Deutschland hingegen weniger.

LANline: Um Menschen für Security Awareness zu begeistern, nutzen viele Anbieter Gamification, also spielerische Interaktionselemente. Welche Rolle spielt Gamification in Ihrem Portfolio?

Jelle Wieringa: Der gesamte IT-Security-Markt ist sehr angstorientiert und konzentriert sich auf die schrecklichen Dinge, die passieren könnten. Entsprechend setzen auch viele Unternehmen beim Training immer noch auf den Angstfaktor. Um Verhaltensänderungen zu erzielen, muss man aber vor allem die positiven Seiten des korrekten Verhaltens betonen. Deshalb nutzen wir neben unterhaltsamem Content auch Gamification-Elemente wie Badges, die ein Nutzer verdienen kann, oder auch auf Wettbewerbe zwischen Abteilungen.

LANline: Wie wichtig ist es heutzutage, Endanwender auch per Mobilgerät in Security-Awareness-Trainings einbinden zu können?

Jelle Wieringa: Man muss die Endanwender dort erreichen, wo es am besten funktioniert. Millenials zum Beispiel sind mit Smartphones aufgewachsen, also erreicht man sie mit Mobile-Inhalten am besten. Übrigens nutzt auch in Afrika praktisch jeder Mobiltelefone, auch dort gilt natürlich: Mobile first!

LANline: Nutzen Sie für Ihre Trainings auch aktuelle Threat Intelligence (Auswertung von Bedrohungsinformationen)?

Jelle Wieringa: Nein, aktuelle Bedrohungsinformationen ziehen wir für die Kampagnen nicht heran. Es wäre schwierig, Endanwender auf bestimmte aktuelle Gefahren hin zu schulen, zumal diese Bedrohungen sich auch sehr schnell ändern können.

LANline: Ein im Ernstfall wichtiger Prozessschritt ist der von der Erkennung eines Angriffs oder einer Malware zur Reaktion. In welchem Maße bietet KnowBe4 eine Integration in EDR- (Endpoint Detection and Response) oder Incident-Response-Tools?

Jelle Wieringa: Das Training dient vor allem der grundlegenden Sicherheitshygiene, nicht der Abwehr konkreter Angriffe. Wir geben den Nutzern, Administratoren und Managern Reports an die Hand, die die Effektivität der Trainings belegen. Ergänzend bieten wir aber in der Tat ein SOAR-Produkt (Security Orchestration, Automation, and Response, d.Red.) namens PhishER. Das Tool richtet sich an den Administrator, damit er alle gemeldeten E-Mails einfacher und besser bearbeiten kann. Endbenutzer können vermutete Phishing-Angriffe über die kostenlose „Phish Alert Button“-Software melden, die in ihrem E-Mail-Client installiert wird. Denn die IT-Teams haben weder die Zeit noch die Erfahrung, um alle möglichen Phishing-Mails einzeln zu überprüfen, hier hilft ML (Machine Learning, d.Red.) sehr.

LANline: Stichwort „Machine Learning“: Setzen Sie ML oder allgemein KI auch ein, um das Lernverhalten der Endanwender zu tracken und somit Maßnahmen oder Kampagnen individualisieren zu können?

Jelle Wieringa: Wir wollen ML künftig heranziehen, um Trainingskampagnen zu erstellen. Erst der Folgeschritt ist es dann, ML zur Personalisierung von Kampagnen zu nutzen. Künstliche Intelligenz lässt sich aber auch noch auf andere Weise für Awareness-Kampagnen nutzbar machen. Bei Deepfakes zum Beispiel denkt man derzeit vorrangig an Betrugsversuche als Weiterentwicklung von BEC (Business E-Mail Compromise, Betrug mittels gefälschter E-Mails, d.Red.). Man könnte aber mit den gleichen Verfahren auch Avatare des CEOs oder CISOs erstellen, um so den Chef selbst – eben virtuell – in Security-Awareness-Videos einzubinden. All das ist aber noch in der Entwicklung.

LANline: Ein Sicherheitsansatz, der sich allein auf die Abwehr von Bedrohungen konzentriert, stößt bekanntlich früher oder später an Grenzen. Deshalb sprechen viele Security-Fachleute heute lieber vom Ziel der Resilienz, also Aufrechterhaltung des Betriebs – oder zumindest grundlegender Prozesse des Kerngeschäfts. Ist Resilienz auch als Ziel von Awareness-Schulungen praktikabel?

Jelle Wieringa: Was Unternehmen brauchen, ist eine datenbasierte Verteidigung und risikobasierte Widerstandsfähigkeit. Wir wollen eine Verhaltensänderung hin zu mehr Sicherheit erzielen, das ist die Basis für Resilienz. Resilienz ist allerdings derzeit ein überbeanspruchter Terminus, er ist einzig auf die Technik ausgerichtet. Ich bevorzuge deshalb die Formulierung „Security Posture“ (Sicherheitshaltung, Sicherheitsaufstellung, d.Red.). Dies umfasst die Aspekte Technologie, Prozesse und eben auch die menschliche Seite.

LANline: Resilienz kann doch durchaus eine menschliche Seite haben, oder? Schließlich erfordert die Aufrechterhaltung des Betriebs auch schnelles Eingreifen von Mitarbeitern, auf Benutzerseite zum Beispiel, indem ein Endanwender, der dann doch mal auf einen „bösen Link“ geklickt hat, das sofort dem Security-Team meldet, statt dem Impuls zu folgen, das Missgeschick zu vertuschen. Deshalb die Frage: Sind auch Incident-Response-Aspekte Bestandteil Ihres Trainingsangebots?

Jelle Wieringa: Incident-Response-Trainings sind ein Standardbaustein unserer Schulungen, allerdings vorrangig für größere Unternehmen. Denn die kleineren Firmen haben in der Regel kein eigenes Incident-Response-Team. Die Reaktionen auf Vorfälle sind je nach Unternehmen sehr unterschiedlich. Mein Rat wäre es deshalb hier, die nötige Zeit zu investieren, um die Inhalte genau auf die gewünschte Reaktion der eigenen Mitarbeiter abzustimmen.

LANline: Herr Wieringa, vielen Dank für das Gespräch.