Phishing- und Social Engineering Angriffe haben weltweit im Jahr 2023 um 341% zugenommen, in der Schweiz wurden rund 50‘000 Fälle gemeldet – ein Zuwachs von über 15‘000 gegenüber 2022. Laut Statista waren davon 31 % der Schweizer KMU betroffen. Das berücksichtigt nicht die Dunkelziffer. Wie sollen Unternehmen damit umgehen und wie können sie sich und ihre Mitarbeitenden besser schützen, ohne Kosten und Effizienz aus den Augen zu verlieren?
Mike Polatsek, CEO CybeReady
Security-Experte Jürgen Müller sprach mit Mike Polatsek, CEO von CybeReady, über die Cyberbedrohungslandschaft, die Notwendigkeit proaktiven Lernens und die Methodik seiner Firma, die Abwehrbereitschaft von Unternehmen und Mitarbeitenden gegen Bedrohungen durch Phishing zu maximieren.
Mike, wie sehen Sie die heutigen Cyber-bedrohungen, insbesondere im Hinblick auf das sehr ernsthafte Problem des Phishings?
Mike Polatsek: Phishing bleibt eine der grössten Bedrohungen und ist im Laufe der Jahre kontinuierlich raffinierter geworden. Hacker setzen immer mehr automatisierte Tools ein, die ihre Attacken immer effektiver machen. Der rapide Anstieg von Phishingfällen hat unsere technologischen und menschlichen Herausforderungen verschärft. Abwehrmassnahmen finden oft nur zeitverzögert statt, da Hacker ihre Methoden schneller entwickeln, als viele Organisationen reagieren können.
Deshalb brauchen Organisationen mehr als nur ein besseres Sicherheitsbewusstsein, sie müssen die Mitarbeitenden aktiv darauf vorbereiten, richtig zu reagieren. Das gelingt uns, ohne sie aus ihren Arbeitsabläufen herauszulösen. Die Philosophie von CybeReady basiert darauf, «Bereitschaft» (Readiness) herzustellen, damit Bedrohungen intuitiv erkannt werden und Mitarbeitende nicht darauf reinfallen.
Anti-Phishing Training integriert in die normalen Arbeitsabläufe
Wie sieht angesichts dieser Herausforderungen die ideale Methode für Anti-Phishing Trainings aus?
Traditionelles Security Awareness Training (SAT) konzentriert sich hauptsächlich auf regelmässige Schulungen, die Mitarbeitende aus ihrer Arbeitsumgebung herausnehmen, oder auf statische Inhaltsbibliotheken. Hacker hingegen folgen einem schnellen, automatisierten Modell und wir glauben, dass SAT-Programme dasselbe tun müssen. Der Ansatz von CybeReady verwandelt Bewusstsein in Bereitschaft, indem er kontinuierliches, adaptives Lernen fördert, das sich in die täglichen Arbeitsroutinen der Mitarbeitenden integriert.
Unsere Plattform liefert kurze, relevante Trainingsmodule, die auf tatsächliche Mitarbeiteraktionen in Phishing-Simulationen reagieren und sofortiges Feedback geben. Diese praxisbezogene Methodik macht Lernen zu einem nahtlosen Teil der Arbeit, indem sie den Fokus von «nur» Wissen auf Handeln verlagert und ohne Mitarbeitende aus ihrer Arbeit herauszulösen.
Können Sie uns mehr über Ihre Methodik erzählen?
Unsere Plattform ist sehr anpassungsfähig. Für internationale und dezentralisierte Organisationen unterstützt sie bei Bedarf 42 Sprachen und berücksichtigt kulturelle Eigenheiten, um verschiedenen Arbeitsumgebungen gerecht zu werden. Unser maschinelles Lernen nutzt «Organizational Profiles», um das Training auf spezifische Rollen, Abteilungen und Risikostufen innerhalb der Organisation zuzuschneiden. Dieser massgeschneiderte, datengetriebene Ansatz stellt sicher, dass jedes Teammitglied das relevanteste Training erhält.
Wir haben eine vollständig automatisierte Lösung für ressourcenbeschränkte Organisationen entwickelt, die die Belastung für IT- und Sicherheitsteams erheblich reduziert. Unser «Auto-Pilot»-Feature ermöglicht es auch kleinen Teams, Kampagnen zu starten, Compliance zu verfolgen und die Ergebnisse mit einem einzigen Klick zu monitoren. Dieser Ansatz schafft einen kontinuierlichen Lernzyklus, der mit Echtzeitdaten und adaptivem Lernen für verschiedene Risikogruppen auf die gesamte Organisation abgestimmt ist.
Automatisierung und Konfigurierbarkeit steigert die Effizienz für KMU
Wie unterstützt CybeReady kleinere Organisationen oder solche mit begrenzten Ressourcen?
CybeReady ist für Organisationen jeder Grösse nutzbar. Unsere Plattform vereinfacht die Implementierung für kleine und grosse Teams und die Automatisierung minimiert den laufenden Wartungsaufwand. Unsere Preisgestaltung pro Benutzer gewährleistet Erschwinglichkeit und bietet unabhängig von der Unternehmensgrösse das gleiche Mass an Funktionalität.
Automatisierung scheint zentral für CybeReadys Ansatz zu sein. Wie verbessert dies die Effektivität des Trainings?
Die Automatisierung zieht sich durch das gesamte Produkt wie ein roter Faden. Für unsere Kundschaft zeigt sich das in dem umfassenden Trainingsprogramm und dem «Entscheidungsmotor» (Decision-Making Engine). Beide stellen eine hohe Lernerfolgsrate sicher. Die Automatisierung ermöglicht es Teams, Kampagnen zu starten, Compliance zu monitoren und Berichte mit einem einzigen Klick zu erstellen.
Wie können Ihre Kunden die Effektivität ihres Trainings überprüfen?
Trotz der Automatisierung kann der Kunde die Software in zahlreichen Funktionen konfigurieren, wie z.B. durch Aktivierung von Modulen, der zeitlichen Steuerung von Aktionen, der Anpassung und Bearbeitung von Inhalten sowie durch operative Informationen und Ergebnisberichte.
Die Berichte sind umfassend und reichen von individuellen Scorecards bis hin zu Executive-Dashboards. Sie ermöglichen es dem Management, Phishing-Klickraten, Engagement-Level und andere Metriken in Echtzeit einzusehen. Es muss sich also niemand Gedanken darüber machen, dass er die Kontrolle verlieren könnte.
Die Bedrohungsszenarien verändern sich ständig
Welche Verbesserungen hat CybeReady implementiert, um mit den heutigen Cyberbedrohungen Schritt zu halten?
Die sich ständig verändernden Bedrohungsszenarien erfordert anpassungsfähige Trainingsmethoden und Funktionen. Dazu ein paar Beispiele: Unser organisatorisches Profil (Organizational Profile) passt das Training automatisch an unternehmensspezifische Attribute, wie etwa Branche und Jobfunktionen, an. Wir erweitern auch das mobile Training über SMS und Whats-App und testen On-Demand-Inhalte.
Was sind die grössten Herausforderungen bei der Sensibilisierung für Cybersicherheit und wie gehen Sie damit um?
Eine grosse Herausforderung ist das Missverständnis, dass ein geschärftes Bewusstsein bei den Mitarbeitenden allein ausreicht. Sicherheitskultur erfordert auch und vor allem Verhaltensänderungen. Bei CybeReady verlagern wir den Fokus auf kontinuierliches Engagement, das echte Veränderungen fördert. Anstatt einmaliger Phishing-Tests verwenden wir kontinuierliche Simulationen und Echtzeit-Lernmethoden, die es Mitarbeitenden ermöglichen, aus Fehlern zu lernen, ohne dabei «dumm» dazustehen. Darüber hinaus passen wir uns an unterschiedliche Risikostufen innerhalb einer Organisation an, indem wir einen datengesteuerten, personalisierten Ansatz nutzen. Dieser Ansatz ermöglicht ein nachhaltiges, wirkungsvolles Training, das sich mit den Lernbedürfnissen der einzelnen Mitarbeitenden weiterentwickelt.
Welche Trends prägen CybeReadys Produkt-Roadmap?
KI und mobile Bedrohungen sind wichtige Einflussfaktoren. Die Angriffe werden immer ausgefeilter, daher investieren wir über 40% unseres Budgets in Forschung und Entwicklung, um unsere Inhalte in Echtzeit auf aktuelle Bedrohungslagen anzupassen. Darüber hinaus konzentrieren wir uns auf das Hinzufügen neuer Komponenten: Sensoren oder Auslöser für das Lernen, wie z.B. Informationsquellen und Bedrohungsanalysen einerseits und spezifische, massgeschneiderte Inhaltselemente andererseits. So verbessern wir kontinuierlich die Effizienz der Trainingsprogramme. Unser Ziel ist es, Organisationen mit proaktiven Tools auszustatten, die sich automatisch an Cyberrisiken anpassen.
Kunden-Feedback als Teil der Produktplanung
Wie halten Sie Kontakt mit Ihrer Kundschaft und wie stellen Sie sicher, dass ihre Wünsche berücksichtigt werden?
Unser «Voice-of-the-Customer»-Programm umfasst Design-Interviews, persönliche Treffen und regelmässige Check-ins, um die Bedürfnisse unserer Kunden zu erfüllen. Mit Scorecards und Fortschrittsberichten unterstützen wir sie dabei, eine robuste Sicherheitskultur aufzubauen, die für die Zukunft ausgelegt ist.
Welche Botschaft möchten Sie an CISOs und Sicherheitsleiter vermitteln?
Es reicht nicht aus, dass Mitarbeitende die Bedrohungen kennen, sie müssen auch aktiv darauf reagieren können. *CybeReadys «Readiness-First»-Modell betont proaktives Lernen und Fähigkeiten über Compliance hinaus, indem es Human Risk durch realistische Simulationen managt und so echte Bereitschaft fördert.
Die Rolle lokaler Vertriebspartner
Wie sieht Ihre Go-to-Market Strategie aus und welche Rolle spielen lokale Partner?
Unsere Go-to-Market Strategie baut auf lokale Partner, welche die Bedürfnisse ihrer Märkte verstehen. Diese Zusammenarbeit hilft uns, eine Lösung zu liefern, die nicht nur globale Sicherheitsanforderungen abdeckt, sondern auch lokale Compliance und kulturelle Erwartungen erfüllt. Unsere lokalen Partner sind entscheidend bei der Vermittlung von CybeReadys einzigartigem Readiness first-Ansatz. Sie helfen dabei, unsere Rolle als Pioniere in der bereitschaftsorientierten Cybersicherheit zu kommunizieren und zu betonen, dass CybeReady ein proaktives und dynamisches Modell anbietet.
Was unterscheidet CybeReady von anderen Anbietern?
CybeReady ist einzigartig, weil es verhaltensbasiertes Training mit adaptiven Algorithmen kombiniert, um Echtzeit-Analysen, Feedbackschleifen und kontinuierliches Lernen zu gewährleisten. CybeReadys datengesteuerte Automatisierung revolutioniert das Sicherheitstraining und macht es zu einem nahtlosen, adaptiven Erlebnis. Das bereitet Mitarbeitende nicht nur auf das vor, was kommt, sondern stärkt sie auch als die erste Verteidigungslinie bei Phishing-Attacken.
Vielen Dank für das Gespräch!
Weitere Informationen zu CybeReady finden Sie auf www.cybeready.com
Der Autor
Das Interview mit Mike Polatsek führte Jürgen Müller. Er hat mehr als 35 Jahre in verantwortungsvollen Positionen in der IT in Europa und den USA verbracht. Seit Februar 2023 ist er «active retiree» und nach wie vor ein enger Begleiter der IT-Branche. www.linkedin.com/in/mueller-juergen
Der Beitrag erschien im topsoft Fachmagazin 24-4
Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.