Ohne Schulung keine Sicherheit: Aware7 schafft Awareness für IT-Security

Ein Sponsored Post von Aware7.


Jedes System ist immer nur so sicher wie seine Nutzer. Mit anderen Worten: Die besten Sicherheitsmechanismen nützen nichts, wenn sie von den Nutzern umgangen oder deaktiviert werden. Das geschieht in den seltensten Fälle aus bösem Willen – viel häufiger machen Sicherheitsmaßnahmen den Nutzern die tägliche Arbeit schwerer oder unbequemer. Was ist da naheliegender, als gewissermaßen einen virtuellen Keil in die Feuerschutztür zu klemmen?

Security Awareness Startup aware7 aus Gelsenkirchen  Dass Nutzer nicht in diese Versuchung kommen, dafür sorgt die sogenannte Security Awareness. Grob zu übersetzen als „Bewusstsein für IT-Sicherheit“ hat Awareness zum Ziel, dass Nutzer den Sinn hinter Sicherheitsmaßnahmen verstehen und sich so verhalten, dass sie selbst keine neuen Sicherheitslücken und Angriffsflächen eröffnen.

Während jahrzehntelang technische Maßnahmen in der IT-Sicherheit an erster Stelle standen, wissen mittlerweile immer mehr Fachleute, welchen großen Gewinn an Sicherheit man durch eine fundierte Schulung der Nutzer erreichen kann. Und genau dies bietet das Gelsenkirchener Startup Aware7 an, dessen Mitgründer Matteo Cagnazzo wir für unseren heutigen Blogbeitrag interviewt haben.

Matteo Cagnazzo, Security Awareness Startup aware7 aus Gelsenkirchen

Welche Erfahrungen haben Euch veranlasst, Aware7 zu gründen?

Wir haben einfach den Bedarf gesehen, niederschwellige Angebote in den Bereich Cybersecurity zu bieten. Weiterhin fehlt uns bei den meisten Lösungen aktuell der ganzheitliche Ansatz, Mensch und Technologie gemeinsam zu betrachten.

Die technisch sicherste Lösung ist nichts ohne den Menschen, der sie bedienen kann, und umgekehrt. Dieses Zitat tweeten

Wir sind an Schulen und in DAX-Konzernen unterwegs und finden es einfach spannend, aus der gesamten Bandbreite der Erfahrungen und Einwirkungen dieser unterschiedlichen Gruppen zu lernen.

IT-Sicherheit hat ja oft ein Marketingproblem (unklarer Return on Security Investment oder „ausgebliebene Zwischenfälle merkt man nicht“). Wie löst Ihr dieses? Besteht bei Euren Kunden schon ein Bedarf, oder weckt Ihr ihn durch Aufklärung erst?

Gerade im Live-Hacking Bereich gibt es ja zu Recht sehr viel negative Kommentare seitens der Security Community. Wir versuchen unsere Live-Hackings immer mit tagesaktuellen Szenarien zu füllen und vom Laien bis zum Fachmann etwas für jeden zu bieten. Gefüttert werden die Szenarien dabei aus den “anspruchvolleren” Services, also zum Beispiel aus dem Pentesting, Forschungsprojekten oder Red-Teaming. Davon losgelöst bieten wir mit unserem Blog, Podcast und Instagram-TV genügend niederschwelliges Material, um auch unabhängig von den Live-Hackings niederschwellig zu bleiben. Hinzu kommt die Tatsache, dass wir ab Frühjahr 2019 mit der SECUTAIN GmbH gemeinsam eLearning-Inhalte anbieten.

Welche Berufsgruppen sind am einfachsten zu schulen? Oder welche demographischen/sonstigen Gruppen (Geschlecht, Alter, Vorbildung…)?

Pauschal lässt sich das gar nicht so richtig beantworten. Wir sind immer bemüht, die Inhalte in den Schulungen für ein bestimmtes Publikum anzupassen, und das gelingt uns auch ganz gut, wenn man dem Feedback glauben darf. Unsere Vorträge an Schulen sind natürlich grundlegend anders als beispielsweise vor Technikern oder Handwerkern. Es ist bei Schülern beispielsweise ganz schön zu sehen, wenn eine Klasse oder Stufe während des Vortrags immer ruhiger und aufmerksamer wird und zwischendurch viele Fragen stellt. Dann gibt einem  schon das Gefühl, etwas richtig gemacht zu haben. Das gilt für alle anderen Gruppen aber ebenfalls.

Und welche am schwersten?

Wenn es mal schwer läuft im Rahmen einer Schulung, dann sehen wir die Schuld eher bei uns. Es ist unsere Aufgabe, die Inhalte entsprechend zu verpacken und rüberzubringen. Wenn wir das nicht schaffen oder das Gefühl haben, eine Präsentation lief gar nicht so, wie wir wollten, dann liegt das eher an uns. Unserer Erfahrung nach hat keiner kein Interesse an IT-Sicherheit und Datenschutz. Das Thema attraktiv zu beschreiben und zu analysieren ist nur eine Herausforderung, der wir uns stellen.

Ein Fall eines Unternehmens, bei dem ein großer Vorher-/Nachher-Unterschied bestand, nachdem Ihr gekommen seid?

Im Rahmen einer Kampagne haben wir uns auch die Internetpräsenz des Unternehmens angeschaut, da wir firmenspezifische Inhalte gesucht haben. Das Ganze war eher rudimentär, aber da gab es eine Webseite, über die alle Kunden direkt per Firmenmail kontaktiert werden konnten. Es gab keinerlei Authentifizierung oder Verifizierung. Für großangelegt Phishingkampagnen wäre das der perfekte Einstiegspunkt gewesen. Jeder der die Domain kannte oder erraten hatte, hätte Mails im Namen des Unternehmens schreiben können, über die offizielle Unternehmensinfrastruktur. Nach der Kampagne war das Problem dann glücklicherweise behoben.

Was ist die größte Hürde, die besserer Security-Awareness in Deutschland im Weg steht?

Unserer Meinung fehlt ein ganzheitlicher, strategischer Ansatz. Eine Schulung an sich nutzt wenig, wenn die Mitarbeiterinnen und Mitarbeiter diese nur einmal pro Jahr besuchen. Eine Anti-Phishing-Kampagne, bei der nur geschult wird, dass Mitarbeiter nicht auf Links klicken sollen, führt zu geschäftlichen Einschränkungen, weil kein Mitarbeiter mehr auf irgendeinen Link in der Mail klickt.

Stigmatisierung von Mitarbeitern, die auf simulierte Phishing Mails klicken, ist zudem ein Problem, da Mitarbeiter sich so kontrolliert und unter Umständen hintergangen fühlen - insbesondere, wenn die Performance in Mitarbeitergespräche einfließt.Dieses Zitat tweeten Wir müssen Menschen und Unternehmen proaktiv schulen, Ihr Risiko einzuschätzen und entsprechend ermächtigen zu handeln.

“Welche Daten kann ein Angreifer über mich/mein Unternehmen finden und wie kann er diese ausnutzen?” ist eine dieser Fragen die man im Rahmen einer proaktiven Awareness stellen und beantworten kann. Dadurch wird direkt die “Bei mir gibt es nichts zu holen”-Mentalität eingeschränkt..

Habt Ihr privat Gewohnheiten, von denen Ihr Leuten bei der Awareness-Schulung abratet?

Pizza essen!

Das ist ein Beispiel im Rahmen von “Wie funktioniert Internet-Werbung”. Da beschreiben wir das Phänomen, dass wir jede letzte Woche im Monat einmal Pizza bestellen und hacken, und ab der Woche davor Werbung für Lieferdienste verstärkt in die Feeds kriegen. Die Empfehlung ist dann immer: Keine Pizza essen oder TOR/VPN nutzen. Beides machen wir in der Regel nicht bei der Pizza-Bestellung.


Sie möchten mehr über das Thema Live Hacking und IT-Sicherheitstests erfahren? Dann besuchen Sie das Team von Aware7 auf ihrer Webseite aware7.de!