Wer kennt es nicht: „Bitte loggen Sie sich ein“ oder „Bitte verifizieren Sie Ihr Konto“. Hinter diesen, manchmal gut oder schlecht gefälschten, E-Mails stecken oft Phishing-Attacken von Cyberkriminellen. Allein 2019 wurde jede:r achte Nutzer:in insbesondere beim Online- banking Opfer durch Phishing – das Thema mag unspektakulär klingen, ist in der Cybersecurity aber hochaktuell. Wir sprachen mit Alex Wyllie, Gründer des Cybersecurity Start-ups „IT-Seal“.
Herr Wyllie, möchten Sie sich zunächst unseren Leser:innen vorstellen?
Gerne! Ich bin Alex Wyllie, Gründer und Initiator von IT-Seal – einem aufstrebenden Cybersecurity Start-up aus Darmstadt mit dem Ziel, gemeinsam eine nachhaltige Sicherheitskultur innerhalb unserer Gesellschaft zu etablieren. Wir starteten mit diesem Vorhaben bei Wirtschaftsunternehmen und Behörden und konnten so bisher schon über 500 Organisationen sicherer machen. Aber auch Privatpersonen gehören zu unserer Gesellschaft: Deswegen haben wir mit „Bleib wachsam, Darmstadt!“ das weltweit erste lokale Cybersecurity-Training kostenlos für alle Bürgerinnen und Bürger gemeinsam mit der Stadt Darmstadt ins Leben gerufen. Wir möchten Cyberkriminellen keine Chance bieten!
Neues Mindset, Skills & Tools gegen Cyberkriminelle
Es klingt an sich so simpel: Nicht auf Phishing-Mails hereinfallen, keine dubiosen Anhänge öffnen. Warum fallen so viele Endnutzer trotzdem auf so etwas herein?
Eine gute Frage, die sich allerdings einfach beantworten lässt: Menschen sind keine Maschinen und so macht jeder mal einen Fehler oder lässt sich täuschen. Das kann auch aus völlig unterschiedlichen menschlichen Gewohnheiten und Bedürfnissen heraus passieren: Wir helfen gerne anderen, wir sind neugierig, manchmal ängstlich und oft auch einfach nur überhäuft mit Informationen. Diese Zustände nutzen Cyberkriminelle eiskalt aus, indem sie sich als hilfsbedürftige Kolleg:innen ausgeben oder den Empfänger künstlich unter Druck setzen. Das klappt zwar ganz oft nicht, aber in einigen wenigen Fällen eben doch – und das reicht bereits aus, um ganze Konzerne lahmlegen und erpressen zu können. Hier setzen wir an, um den Faktor Mensch von einem Risiko zu einem Schutzfaktor weiterzuentwickeln: Wir verändern sein Mindset und geben ihm die nötigen Skills und Tools an die Hand, um Täuschungsversuche rechtzeitig erkennen zu können. Dieses Zusammenspiel aller Komponenten nennen wir nachhaltige Sicherheitskultur und ist das Ziel unseres Awareness-Trainings.
Die IT-Seal GmbH hat im Jahr 2020 ein Patent für ihre sogenannte „Spear-Phishing-Engine“, angemeldet. Können Sie diese Technologie verständlich erklären und für wen diese „Engine“ besonders interessant sein könnte?
Heutige Phishing-Mails werden immer raffinierter. Zur Vorbereitung von Spear Phishing-Angriffen sammeln Angreifer aus öffentlich zugänglichen Quellen Informationen, um ein umfassendes Bild der Zielperson zu erhalten. Im Fachjargon der Spionage wird dies als Open Source Intelligence (OSINT) beschrieben. Unsere patentierte Spear-Phishing-Engine simuliert dieses Vorgehen von Angreifern, indem sie die Mitarbeiter:innen- und Unternehmens-Profile unserer Kunden auf beruflichen Sozialen Netzwerken scannt und die daraus gewonnen Informationen für individuelle Spear-Phishing-Simulationen nutzt. Am einfachsten lässt sich das mit einem Beispiel nachvollziehen: Vielleicht hat die Zielperson angegeben, dass sie großer Fan eines Fußballvereins ist und früher mal bei der Mustermann AG gearbeitet hat. Ein denkbares Szenario unserer patentierten Spear-Phishing-Engine wäre nun, dass die Zielperson eine Mail im Namen eines ehemaligen Kollegen der Mustermann AG erhält mit dem Hinweis, dass hier gerade eine großartige Ticketverlosung für seinen Lieblingsverein stattfindet.
Das ist ein Szenario, das nur auf diesen einen Mitarbeiter passt und dadurch die Wahrscheinlichkeit enorm steigert, geklickt zu werden. Begeht nun jemand einen falschen Klick innerhalb unserer Simulation, so wird er direkt aufgeklärt: Worauf hätte man achten müssen? Woran hätte man den Phishing-Link erkannt? Welche psychologischen Mechanismen haben hier gegriffen? Die Mitarbeiter:innen sind dann am empfänglichsten für die Aufklärung, wenn sie den Fehler in genau diesem Moment begangen haben. Wir nennen das auch „Most Teachable Moment“. Die Technologie unserer patentierten Spear-Phishing-Engine nutzen wir für Organisationen, die ihre Mitarbeiter:innen für solche Gefahren sensibilisieren möchten. Wissenschaftliche Untersuchungen haben schon häufig gezeigt, dass solche Spear-Phishing-Simulationen ein effektives Mittel sind, um im Ernstfall reale Angriffe erkennen und abwehren zu können.
Karrierechance: Arbeiten im Cybersecurity Start-up
Warum sollten sich Absolvent:innen ausgerechnet bei Ihnen und nicht den beliebtesten Trendence-Arbeitgebern bewerben?
IT-Seal ist ein einzigartiger Ort, um sich fachlich und persönlich weiterentwickeln zu können. Hier erhält man große Verantwortung von der ersten Sekunde an und kann in einem hochprofessionellen Umfeld wertvolle Erfahrungen in allen Bereichen sammeln: Vom Vertrieb und Marketing über die Produktentwicklung bis hin zur Kundenbetreuung und der Unternehmensverwaltung. Außerdem bieten wir soziale Benefits, einen modernen und einladenden Workspace sowie viele spannende Persönlichkeiten. Wir sind sehr familienfreundlich, ermöglichen Home Office auch über die Pandemie hinaus und können branchengerechte Gehälter zahlen. Und die Kirsche auf der Torte ist unser innovatives Produkt, das kontinuierlich durch alle Mitarbeiter:innen weiterentwickelt wird. Es gibt also viele gute Gründe dafür, mal auf unserer Karriereseite vorbeizuschauen. Wir sind immer auf der Suche nach Talenten!
Werden Sie die IT-Seal GmbH bezogen auf die Geschäftsfelder weiterentwickeln, sodass es bald vielleicht nicht „nur“ um Schutz vor Phishing geht?
Schon heute sensibilisieren wir Mitarbeiter:innen vor weit mehr Gefahren als bloßem Phishing. Unsere E-Trainings decken viele unterschiedliche Themen ab, von Datenschutz über Home-Office-Sicherheit bis hin zu Passwörtern und vielen weiteren unternehmensrelevanten Sicherheitsthemen. Wir prüfen Unternehmen auch auf ihre physischen Schwachstellen vor Ort oder nutzen andere Social-Engineering-Tricks, wie beispielsweise das Vishing – also Voice Phishing per Telefon, das in der Realität besonders gerne für sogenannte CEO-Frauds genutzt wird.