Cybersecurity: Mit Psychologie gegen Hacker: Sosafe setzt auf spielerische Sicherheit
Lukas Schaefer, Niklas Hellemann und Felix Schürholz wollen Mitarbeiter möglichst realitätsnah auf Hackerangriffe vorbereiten.
Foto: SoSafeDüsseldorf. Schon eine einfache E-Mail eines vermeintlichen Kollegen kann zur Falle werden: Ein falscher Klick auf einen Link oder eine angehängte Datei kann Hackern Zugriff auf das gesamte Firmennetzwerk verschaffen. Der Schockmoment des vermeintlichen Phishing-Angriffs ist für Niklas Hellemann, Gründer des Cybersicherheits-Start-ups Sosafe, ein Teil des Geschäftsmodells. Seine Firma täuscht Hackerangriffe vor, verschickt Phishing-Mails oder fordert die Nutzer dazu auf, sich auf bestimmten Internetseiten einzuloggen. Wer in die Falle tappt, wird auf seine Lernplattform weitergeleitet.
Statt auf trockene Seminare setzt diese Plattform auf den menschlichen Spieltrieb. Die Nutzer nehmen an einer Art Quiz teil, sammeln Abzeichen und können ihre Fortschritte in einer Erfolgsübersicht einsehen. Dazu gibt es Videos und Kurse.
„Gamification kommt auch in unserer Branche zum Einsatz“, sagt Hellemann. „Wir müssen Mitarbeiter zum Teil der aktiven Verteidigung machen.“ Über ein Analytics-Dashboard werden die Klickraten gespeichert, Arbeitgeber können sie anonymisiert einsehen.
Mit ihrer Geschäftsidee hatten die Gründer bereits Erfolg: Die „Cyber Awareness Software“ hat Hellemann etwa an die Einzelhandelskette Aldi, das Energieunternehmen Vattenfall, die Modemarke Marc O’Polo oder die Drogeriekette Rossmann verkauft. Seit der Gründung 2018 hat sich die Mitarbeiterzahl auf 250 verdreifacht. Der Umsatz liegt „im achtstelligen Bereich“, genauer will es Hellemann nicht sagen – also bei mindestens zehn Millionen Euro. Tendenz: stark steigend.
Das Interesse der Risikokapitalgeber ist entsprechend groß, Sosafe sammelte vor wenigen Tagen 73 Millionen US-Dollar ein. Zu den Investoren zählen die SAP-Tochter Hybris und der Beteiligungsfonds La Famiglia – Rocket Internet stieg bereits 2018 ein.
Mit dem Investorengeld wollen die drei Gründer Lukas Schaefer, Niklas Hellemann und Felix Schürholz das Auslandsgeschäft stärken. Derzeit ist Sosafe in 30 Ländern aktiv. Die Idee von Sosafe ist nicht einzigartig, das Start-up konkurriert mit einem der weltweit führenden Anbieter von intelligenten Phishing-Abwehrlösungen aus den USA, Cofense, und der US-Cybersicherheitsplattform Knowbe4. Wer die Software kauft, erwirbt eine Lizenz, das Produkt zu nutzen, für einen Zeitraum von ein bis drei Jahren.
Im Schnitt kostet die Cybersicherheit 2,2 Millionen Euro
Die Nachfrage nach Cybersicherheitssoftware ist hoch. Nach einer Untersuchung der Versicherung Hiscox geben deutsche Unternehmen im Schnitt knapp 2,2 Millionen Euro für den Schutz vor Hackerattacken aus. Über 20.000 Euro müssen sie durchschnittlich zahlen, wenn sie Opfer eines Cyberangriffs geworden sind. Damit liegen sie vor Unternehmen in den USA, Irland, Großbritannien, Belgien, den Niederlanden, Frankreich und Spanien auf Platz eins.
„Die Kosten, Schäden von Cyberattacken zu beseitigen, sind immens“, sagt Sosafe-Gründer Hellemann. Deshalb seien große und kleine Firmen bereit, für die Software Geld auszugeben. Er spricht sogar vom „Schmerz, den Unternehmer erleiden“. Denn mitunter legen Hacker nicht nur das Firmennetzwerk lahm – sie können auch vertrauliche Daten öffentlich machen oder sogar an Kriminelle weiterverkaufen.
Sicherheitsrisiko Mensch: Auch das Bauchgefühl schützt
Hinter Hellemanns Software steckt Psychologie. Seit dem Studium ist der Diplom-Psychologe fasziniert davon, welche Motive die menschlichen Handlungen beeinflussen. „Die meisten Hackerangriffe starten mit dem Faktor Mensch“, sagt er. „Deshalb müssen wir uns auch bei der Prävention auf den Menschen konzentrieren.“
Nach dem Diplom 2010 arbeitete Hellemann sechs Jahre bei der Strategieberatung Boston Consulting Group als Berater, unter anderem im Rahmen von Personalentwicklungsprojekten. „Dort habe ich alle Arten von Pflichttrainings in Dax-Konzernen kennengelernt und ein Gefühl für die Branche entwickelt“, sagt er.
Während Hellemann seine psychologische Expertise bei Sosafe einbringt, entwickeln seine Gründungspartner Schürholz und Schaefer die Plattform technologisch weiter. Schürholz ist als Softwareentwickler mit der Tech-Branche vertraut, und Schaefer bringt als ehemaliger Unternehmensberater bei McKinsey betriebswirtschaftliches Wissen ein.
Um Phishing-Mails zu identifizieren, rät Hellemann zum Bauchgefühl. Ist der Absender ein Kollege, empfiehlt Hellemann, ihn auf anderen Kanälen auf die betreffende E-Mail anzusprechen, statt sie gleich zu öffnen. Auch sei es hilfreich, Motive der Hacker zu hinterfragen: „Ist es wirklich erforderlich, auf den Link zu klicken? Wird in der Mail Druck aufgebaut?“ Wer die psychologischen Tricks der Kriminellen durchschaut, der tappt seltener in die Falle.