Wie eine neue Zürcher Firma auch KMUs vor Phishing-Angriffen schützen will

Was war die zündende Idee, die zur Gründung von Veriphy führte?

Marijana Gavric: Wir stellten eine erhöhte Aktivität von Phishing-E-Mails fest. Diese waren teilweise überraschend professionell aufgesetzt, so dass selbst wir als "Digital Natives" vermehrt auf sie reingefallen sind. Hackerangriffe scheinen für uns alle omnipräsent zu sein und haben neben Unternehmen auch Privatpersonen zum Ziel. Ein Angriff auf einen unserer ehemaligen Arbeitgebenden endete sogar in einem kompletten Betriebsausfall und mehreren Tagen bezahlten Urlaub für die gesamte Belegschaft. Wir erkannten sehr schnell, dass insbesondere bei KMUs viel Nachholbedarf für einen sicheren Umgang mit Informationen besteht. Dazu zählt die Aufmerksamkeit der eigenen Mitarbeitenden - und genau diese Initiative wollten wir starten. Heute stehen wir mit einem jungen und agilen Team da, das bereit ist, die Mitarbeitenden zu einem starken Glied in der Informationssicherheitskette zu machen.

Warum sollten Unternehmen ihr Geld in Awareness-Trainings und Phishing-Simulationen stecken, wenn sie schon viel in ihre Cyberabwehr investiert haben?

Gavric: Ein Beispiel hierzu: Stellen Sie sich vor, Sie bezahlen enorme Beträge für modernste Überwachungssysteme und Alarmanlagen für Ihr zuhause. Kameras mit den neuesten Technologien und Alarmsysteme, die unmöglich manipuliert werden können. Die Sicherheit, die Sie durch Ihre Investitionen erlangen, kann dazu führen, dass Sie schrittweise nachlässig werden. Sie vergessen beispielsweise Ihr Haus abzuschliessen oder lassen die Türe sogar absichtlich offen, wenn Sie nur kurz das Haus verlassen. Dieser rein menschliche Leichtsinn führt dazu, dass alle getätigten Investitionen nutzlos werden. Analog dazu können modernste Cyberabwehr-Systeme nutzlos werden, wenn die eigenen Mitarbeitenden nicht ausreichend auf Informationssicherheitsrisiken sensibilisiert sind. Hinzu kommt, dass selbst kleinste Investitionen in Letzteres einen sehr positiven Effekt haben.

Wie sind die Trainings und Simulationen aufgebaut?

Gavric: Die Awareness-Analyse, die mittels Phishing-Simulationen ermittelt wird, wird durch Veriphy durchgeführt. Die Awareness-Trainings hingegen werden bewusst von einem unserer externen Partner angeboten. Wir vertreten die Meinung: "Wer lehrt, prüft nicht". Unsere Phishing Kampagnen sind in drei Phasen aufgeteilt. In der ersten Phase sind wir intensiv im Austausch mit dem Kunden. Wir analysieren die Situation beim Kunden, schauen uns seine Herausforderungen an und definieren den Umfang der Kampagne oder auch der Kampagnen. Hier sind wir stark auf die Informationen des Kunden angewiesen, um möglichst realitätsnahe Phishing-E-Mails kreieren zu können. Bei uns gibt es keine Templates für die simulierten E-Mails. Für jedes Unternehmen, ja sogar für jede Abteilung, erstellen wir individuell angepasste E-Mails - immer nach Aktualität und/oder der bestimmten Situation, in der sich ein Unternehmen befindet. In der zweiten Phase werden die E-Mails versendet - auch hier individualisiert und nach Kundenwunsch (beispielsweise können die E-Mails alle gleichzeitig oder versetzt versendet werden). Die Reportings werden parallel von uns erstellt. In der dritten Phase wird eine ganzheitliche Evaluation der Resultate in Form eines finalen Reportings erstellt und den IT-Verantwortlichen oder der Geschäftsleitung präsentiert. Dazu geben wir gerne unsere Empfehlungen für weitere Massnahmen.

Was für Themen decken diese ab?

Gavric: Wir decken die Themen Phishing und Social Engineering ab. Natürlich können auch diverse andere Information-Security-Themen durch unsere externen Partner abgedeckt werden.

Wie ist das Angebot strukturiert? Gibt’s es verschiedene Preiskategorien oder -stufen?

Gavric: Wir bieten die Simulationen in der Regel in Packages an. Der Preis der Packages wird durch die Anzahl der zu testenden User definiert. Ein Package beinhaltet vier Simulationen, das heisst vier Tests. In der Vergangenheit haben wir auch schon einzelne Simulationen durchgeführt - davon raten wir jedoch ab, da die Awareness-Kurve für den Kunden so nicht erkennbar wird.

Was für ein Feedback erhalten die Mitarbeitenden?

Gavric: Das Feedback an die Mitarbeitenden kann individuell gestaltet werden. Womit wir bis anhin gute Erfahrungen gemacht haben: Die Mitarbeitenden erhalten von uns ein unmittelbares Feedback, falls sie auf die Phishing Simulation reingefallen sind, aber auch dann, wenn sie korrekt gehandelt haben. Bei denjenigen, die reingefallen sind, erscheint beispielsweise gleich ein trauriges Smiley mit einem Lern-Link. Bekannterweise führt ein solcher "Schockmoment" zu einer viel länger anhaltenden "Lektion" als andere Feedbacks.

Das grösste Problem ist ja, dass Mitarbeiter während der Schulung sehr aktiv das Gelernte anwenden, aber mit der Zeit immer mehr vergessen und vernachlässigen. Wie geht Veriphy mit dem Problem um?

Gavric: Genau aus diesem Grund empfehlen wir die Durchführung von mehreren Simulationen pro Jahr. Einerseits zeigt dies dem Unternehmen seinen Fortschritt auf, und andererseits werden die Mitarbeitenden mehrmals pro Jahr mit Themen rund um Informationssicherheit konfrontiert. Ausserdem haben wir uns Partner gesucht, die Schulungen auf sehr unterhaltsame Weise (zum Beispiel mit Sketches) durchführen. Wir sind überzeugt, dass das Lernen, unterstützt durch unterhaltsame Bilder oder Videos, besser funktioniert.

Wie viele Mitarbeitende beschäftigt ihr? Wie viele davon hier, wie viele in Osteuropa?

Andrea Vucinic: Unser Team in der Schweiz besteht aus vier Personen. Insgesamt zählen wir bereits ein Team von neun Mitarbeitenden, unter anderem auch solche, die auf Abruf verfügbar sind. Wir haben Fachleute aus den Bereichen Risk, Compliance, IT und Information Security (ISO 27001). Und wir sind sehr stolz auf diese sich sehr gut ergänzenden Köpfe.

Wie wollt ihr euch gegen die Konkurrenz behaupten - sowohl aus der Schweiz als auch international?

Marijana Gavric: Mit einem innovativen Denkansatz, massgeschneiderten Dienstleistungen und spürbarer Kundennähe - unabhängig von der Grösse des Unternehmen. Phishing-Angriffe werden immer raffinierter. Phishing-E-Mails, die früher als Lottogewinne getarnt waren, sind heute zu individualisierten E-Mails geworden, die teilweise sogar private Informationen beinhalten (Social Engineering). Unsere Simulationen sind so individuell, wie sie im echten Geschäftsalltag vorkommen. Standardisierte E-Mails werden bei uns nicht verwendet. Vielmehr nutzen wir in unseren Simulationen alltägliche Themen, die im Unternehmen diskutiert werden. Das können zum Beispiel Firmenevents, Lohnfragen oder Gerüchte zu Umstrukturierungen im Unternehmen sein. Hinzu kommt, dass wir den Kunden nicht einfach mit den Resultaten im Raum stehen lassen, vielmehr versuchen wir ihn auf seinem weiteren Weg zu begleiten, indem wir die nächsten Schritte mit ihm planen und mit unseren externen Partnern ein massgeschneidertes Training definieren.

Wie viele Kunden habt ihr schon?

Andrea Vucinic: Wir haben bereits zwei Kunden, die bei uns wiederkehrende Leistungen beziehen. Leider dürfen wir aus datenschutzrechtlichen Gründen keine Namen nennen. Was wir aber sagen können: Wir sehen grosses Interesse aus der Gesundheitsbranche. Viele Unternehmen haben erkannt, dass es nicht mehr um die Frage geht, ob man angegriffen wird, sondern wann es passieren wird. Wir sind sehr erfreut über diese Wahrnehmung.

Warum habt ihr euch für einen Nearshoring-Ansatz entschieden? Gibt es keine entsprechende Expertise in der Schweiz?

Marijana Gavric: In den letzten Jahren wurde in Osteuropa intensiv in die Ausbildung von Informatikern und Informatikerinnen investiert, was zu einem regelrechten Boom in diesem Sektor geführt hat - vor allem in Serbien. Wir waren überrascht, wie viel Know-how und Potenzial in diesem Gebiet vorhanden ist. Das Preis-Leistungs-Verhältnis ist beeindruckend. Einer der wichtigsten Gründe für diesen Ansatz war auch: Kein Unternehmen sollte auf die Ausbildung seiner Mitarbeitenden im Bereich Information Security verzichten müssen, weil die Schulungen zu teuer sind.

Wie profitieren Ihre Kunden vom Nearshoring?

Gavric: Dadurch, dass wir trotz Nearshoring nahe bei unseren Kunden sind und ihren Ansprüchen vollumfänglich entsprechen, aber auch höchste Ansprüche an unsere eigene Arbeit stellen - und das Ganze zu einem fairen Preis. Vollumfänglich individualisierte Beratungsansätze im Bereich Informationssicherheit für KMUs sind so plötzlich keine Wunschvorstellung mehr.

Macht ihr Direktgeschäfte? Oder seid ihr auf der Suche nach Partner für den Vertrieb?

Andrea Vucinic: Bis anhin haben wir im Phishing-Bereich nur direkte Geschäfte gemacht, jedoch sind wir nicht abgeneigt, auch hier Partnerschaften einzugehen. Firmen im Bereich Security Integration könnten von einer Zusammenarbeit mit Veriphy profitieren. Unsere Management-Reportings zeigen menschliche Sicherheitslücken auf, welche es zu schliessen gilt. Dies kann als Einstieg für eine umfassende Sicherheitsberatung dienen.

Das Phishing-Mails immer raffinierter werden, zeigt auch dieser Vorfall: Die Genfer Steuerbehörde warnt nämlich vor Phishing-Mails, die im Namen der Verwaltung verschickt werden. Die Verwaltung reichte Anklage gegen Unbekannt ein, wie Sie hier nachlesen können.