Die SoSafe-Gründer haben eine Lernsuite entwickelt, um zu verhindern, dass Phishing-Angriffe in Unternehmen auftreten. Zu diesem Zweck haben sie einen Lehrplan zusammengestellt, der 10 E-Learning-Online-Kurse mit simulierten Phishing-Angriffen kombiniert. Die Vorlagen für die Phishing-Angriffe können an die Bedürfnisse des Unternehmens und der Branche angepasst werden, um auch sogenannte „Spearphishing-Angriffe“ zu simulieren. Bei diesem Ansatz profilieren Hacker zunächst Mitarbeiter in sozialen Medien und senden dann gezielte Phishing-E-Mails, die auf das Opfer zugeschnitten sind und daher schwer zu erkennen sind. Die Lehrplan- und Phishing-Vorlagen sind Cloud-basiert, sodass sie von außerhalb des IT-Systems des Unternehmens abgerufen und bereitgestellt werden können. Das System entspricht der neuen Datenschutzrichtlinie. Zugriff und Ergebnisse werden also anonymisiert.
Um noch einen Schritt weiter zu gehen, verhandelt SoSafe derzeit mit verschiedenen Versicherern, um deren Angebot in ein gebündeltes Angebot für Cyber-Risikopolitik zu integrieren.
Seit geraumer Zeit versuchen die Versicherer, ihre Produktvorschläge auf die Prävention auszudehnen, um vor dem Auftreten eines Schadens zu handeln. Das relativ neue Feld der Cyber-Risikodeckung ist daher ein guter Ort, um diesen Ansatz in die Tat umzusetzen. Das Anbieten von Cyber-Risikorichtlinien zusammen mit SoSafes Suite von E-Learning und simulierten Phishing-Angriffen scheint eine Selbstverständlichkeit zu sein. Das Erlernen der Risiken und das anschließende wiederholte Üben der erlernten Inhalte kann das Risiko einer Cyberverletzung verringern und somit die Schadenskosten senken.
Der Ansatz ist eine clevere Möglichkeit, Versicherung und Prävention mit einem Element der Gamifizierung zu kombinieren. Wie die moderne Lernpsychologie bewiesen hat, behalten wir nur 20% von dem, was wir hören, und merken uns tatsächlich 90% von dem, was wir selbst tun. Darüber hinaus trägt das Wiederholen der Übung positiv dazu bei, das erworbene Verhalten in unser Gedächtnis aufzunehmen.
Außerdem kommt das Angebot zum richtigen Zeitpunkt, da Phishing-Angriffe zunehmen. Eine gemeinsame Studie von Google und der University of Berkeley im November 2017 (https://ai.google/research/pubs/pub46437) zeigten, dass Phishing nach zweithäufigen Datenlecks die zweithöchste Ursache dafür ist, dass ein Benutzer einem Hacking-Angriff zum Opfer fällt. Interessanterweise haben sich sogenannte Phishing-Kits, Softwareprogramme, die den Angriff automatisieren und beispielsweise eine Google- oder Paypal-Anmeldeseite emulieren, seit den 2000er Jahren technologisch kaum weiterentwickelt, sind aber weiterhin genauso effektiv.
Die Kombination eines Ansatzes zur Phishing-Prävention mit einer Cybersicherheitsrichtlinie scheint daher ein wirksames Wertversprechen für Kunden zu sein, indem das Risiko noch weiter reduziert wird.