Cyberrisiken: "In keinem Bereich ist der Mensch so gläsern wie vor seinem Versicherungsmakler"
Perseus ist nicht nur ein antiker Held und Göttersohn, sondern auch ein Start-up in Berlin. Mit 30 Mitarbeitern schulen und betreuen die Hauptstädter kleine und mittlere Firmen und Gewerbetreibende in Sachen Cybersicherheit und Datenschutz. Auch mit Maklerpools kooperiert das zur Finleap Gruppe gehörende Unternehmen. Der Versicherungsbote hat mit Steffen Teske gesprochen, CEO und Geschäftsführer der Perseus Technologies GmbH.
- Cyberrisiken: "In keinem Bereich ist der Mensch so gläsern wie vor seinem Versicherungsmakler"
- ..."niemand würde für Diebstahlschutz das Türschloss entfernen"
Versicherungsbote: Perseus gehört zu den jungen Start-Up-Unternehmen, die auch die Versicherungsbranche bei den Herausforderungen der Digitalisierung unterstützt. Können Sie Ihr Unternehmen unseren Lesern kurz vorstellen? Und warum wählten Sie als Namensgeber Ihres Unternehmens einen Helden der griechischen Mythologie?
Anzeige
Steffen Teske: Perseus wurde im September 2017 in Berlin gegründet und bietet Präventionsmaßnahmen und Sicherheitslösungen gegen Cyberkriminalität an. Unser Ziel ist es, die Mitarbeiter von kleinen und mittleren Unternehmen zu einem stabilen und verlässlichen Teil ihrer Unternehmenssicherheit zu machen. Dieses ist notwendig, weil technische Maßnahmen alleine keinen vollständigen Schutz mehr bieten. So wird jedes Unternehmen früher oder später von Cyberangriffen betroffen sein. Ohne eine entsprechende Prävention durch den Aufbau einer "menschlichen Firewall" ist die Wahrscheinlichkeit eines Schadens sehr hoch.
Mit einfach verständlichen Online-Videos, regelmäßigen Phishing-Simulationen und einem 24-Stunden-Notfallservice unterstützen wir Unternehmen und Versicherungen dabei, das Risiko eines Cyberangriffs zu reduzieren. Sollte es dennoch zu einem Angriff kommen, helfen unsere Experten bei der Schadensbehebung.
Unser Unternehmensname Perseus lehnt sich an die Legende des Perseus an. Dieser Held der griechischen Mythologie steht für Schutz und Sicherheit.
Der „Versicherungsbote“ ist ein Makler-Magazin. Sie arbeiten unter anderem bereits mit dem Maklerpool Maxpool zusammen und bieten Schulungen zu gesetzlichen Anforderungen und Cyber-Risiken für Makler an. Gibt es branchenspezifische Sicherheitsrisiken, die für Makler besonders relevant sind?
Makler benötigen von ihren Kunden viele persönliche Daten, um ihnen ein passendes Angebot zu erstellen und die Tarifhöhe zu ermitteln. Dabei kommt alles auf den Tisch, zum Beispiel frühere Versicherungsfälle oder Unternehmensdaten – in keinem Bereich ist ein Mensch so gläsern, wie vor seinem Makler. Für kriminelle Hacker sind solche Daten ein Schatz, den sie besitzen und zu Geld machen wollen.
Wir wollen den Maklern helfen, sich zu schützen, damit sie das Vertrauen ihrer Kunden behalten und ihnen die gewohnte Sicherheit bieten können. Grundsätzlich gilt: Überall, wo mit persönlichen Daten gearbeitet wird, besteht ein Sicherheitsrisiko. Sei es beim Arzt, beim Anwalt oder in der KFZ-Werkstatt.
Wir haben neulich sogar von einem Fall gehört, bei dem Hacker eine Tierpension angegriffen haben, um die Urlaubszeiten der Besitzer in Erfahrung zu bringen. Die gestohlenen Daten wurden dann im Darknet an organisierte Einbrecherbanden verkauft. Auch der Identitätsdiebstahl, das Vortäuschen einer anderen Identität mit Hilfe entwendeter personenbezogenen Daten der betroffenen Person, wird durch einen solchen Diebstahl ermöglicht.
Cyber-Risiken entwickeln sich dynamisch, wie häufig im Kontext von Cyber-Versicherungen erwähnt wird. Anders also als bei statischen und wiederkehrenden Szenarien wie zum Beispiel im Brandschutz entzieht sich im Cyber-Bereich vieles einer vorausschauenden Kalkulation. Wie kann dennoch präventiv vorgebeugt werden?
Perseus setzt an den Teilen der Sicherheitskette an, die am einfachsten zu beeinflussen sind: die Mitarbeiter und ihre IT-Sicherheitskenntnisse. Hier sorgen wir nicht nur für eine Erhöhung der Sensibilität für Cybergefahren, sondern wollen diese dauerhaft beibehalten, indem wir das erlernte Wissen auffrischen. Im ersten Schritt unseres Präventionsangebots berechnen wir das individuelle Sicherheitsrisiko auf Basis einer Selbstauskunft. Im Online-Training absolvieren die Mitarbeiter dann je acht Video-Lektionen zu den Themen Cybersicherheit und Datenschutz. Darin lernen sie, wie sie Angriffe identifizieren und abwehren können oder wie ein DSGVO-konformes Verhalten aussieht. Jede Lektion wird mit einem Wissenstest abgeschlossen. Wenn alle Prüfungen bestanden wurden, gibt es ein Zertifikat, den sogenannten Führerschein für Cybersicherheit bzw. Datenschutz. Dieser Führerschein gilt dann als ein Nachweis für die in der DSGVO festgeschriebenen technischen und organisatorischen Vorsorgemaßnahmen.
Um die Sensibilität für Cyberangriffe dauerhaft beizubehalten, versenden wir regelmäßig simulierte Betrugs-E-Mails im Rahmen unseres Phishingstests und informieren unsere Nutzer über neue Cybergefahren, wie zum Beispiel neue Virus-Epidemien oder Passwort-Hacks. Außerdem bieten wir auf unserer Plattform die Möglichkeit an, dass verdächtige E-Mails an unsere Sicherheitsexperten zur Prüfung weitergeleitet werden.
Das ist wie mit der Kennzeichnung von Fluchtwegen: Ein Fluchtwegplan trägt erst dann zur Sicherheit bei, wenn die Mitarbeiter die Informationen kennen, sie immer wieder abrufen können und auch das Verhalten im Notfall regelmäßig üben.
Sie bieten unter anderem Online-Trainingseinheiten zur IT-Sicherheit an. Welche Verhaltensweisen einzelner Mitarbeiterinnen und Mitarbeiter sind für ein Unternehmen besonders gefährlich? Anders ausgedrückt: Wie verhält sich ein „Risikopatient“ aus Ihrer Sicht, bevor er ein erfolgreiches IT-Sicherheitstraining durchlaufen hat?
Das größte Risiko ist die mangelnde Passwortsicherheit. “Start1234”, Geburtstage oder der Lieblingsfußballverein sind beliebte und einfach zu merkende Kennwörter, aber alles andere als sicher. Da reicht eine simple Recherche in sozialen Netzwerken oder ein geschickt geführtes Telefonat, um solche persönlichen Informationen in Erfahrung zu bringen.
Auch verzichten viele Menschen aus Bequemlichkeit auf eine Zwei-Faktor-Authentifizierung. Dabei es handelt es sich um einen Passwortschutz, bestehend aus einem Passwort und einer getrennt erstellten PIN, die eine zusätzliche Bestätigung der Anmeldung (zum Beispiel das Mobiltelefon) erfordert.
Anzeige
Ein weiteres Problem ist, dass die Mitarbeiter nicht über neue Angriffsformen informiert sind, zum Beispiel den CEO-Fraud. Hier werden gefälschte E-Mails im Namen der Vorgesetzten mit einer Aufforderung zur Geldüberweisung oder Preisgabe von vertraulichen Informationen versendet. Gegen solche Angriffe helfen nur permanente Sensibilisierungsmaßnahmen und regelmäßige Hinweise an die Mitarbeiter – somit ist das auch eine Frage der gelebten Sicherheitskultur im Unternehmen.
..."niemand würde für Diebstahlschutz das Türschloss entfernen"
Versicherungsbote: Welche Verhaltensweisen zeichnen eine erfolgreich geschulte Mitarbeiterin oder einen erfolgreich geschulten Mitarbeiter eines Unternehmens mit einem hohem IT-Sicherheitsbewusstsein aus?
Steffen Teske: Das IT-Sicherheitsbewusstsein ist eng verbunden mit der gelebten Sicherheitskultur im Unternehmen. Idealerweise gehören Passwortmanager und Zwei-Faktor-Authentifizierung genauso zum Unternehmen, wie regelmäßige Betriebsinformationen über aktuelle Cyberrisiken. Man darf die Mitarbeiter auch nicht mit dem Thema überfordern und die Prozesse unnötigerweise bürokratisieren. Die Arbeit mit digitalen Mitteln soll schließlich den Alltag vereinfachen und Spaß machen.
Anzeige
Zu Ihren Angeboten gehören auch Wissenstests mit Abschlusszertifikat zur EU-Datenschutzgrundverordnung (DSGVO). Auch aufgrund dieses Angebots kooperiert zum Beispiel Maxpool mit Ihnen. Aufgrund verschärfter Haftungsrisiken führte die DSGVO zu großer Verunsicherung in der Branche. Jedoch helfen Software und IT-Lösungen auch immer mehr bei einem datenschutzkonformen Arbeitsalltag. Welche Aufgaben beim Datenschutz kann die Technik übernehmen? Und warum sind dennoch DSGVO-Schulungen auch für Makler sinnvoll?
Die Technik selbst kann beim Datenschutz eher wenig zur Umsetzung des Datenschutzes beitragen. Der Mensch steht hier bei der Programmierung und letztlich beim Einsatz der Technik in der Pflicht die Richtlinien einzuhalten, etwa durch den Einsatz einer Verschlüsselungstechnik für seine Anlagen oder die Einhaltung von Sicherheitsstandards im Arbeitsalltag.
Dazu gehört auch die regelmäßige Aktualisierung der Software oder die Aktivierung von Sicherheitsmechanismen, wie Firewall und Virenscanner. Zuhause würde auch niemand auf die Idee kommen den Feuermelder auszuschalten oder das Türschloss zu entfernen. Wenn die Datenschutzbehörden ein Bußgeld verhängen wollen, prüfen sie, inwieweit eine Fahrlässigkeit seitens des Unternehmens vorliegt. Wenn technische und organisatorische Vorkehrungen vorliegen, wirkt sich dies nach DSGVO bußgeldmindernd aus. Eine solche Maßnahme muss jedoch nachgewiesen werden, zum Beispiel mit unserem Führerschein für Cybersicherheit und Datenschutz, den die Makler nach erfolgreichem Abschluss des Online-Trainings erhalten.
Einer Ihrer Angebote besteht aus Phishing-Tests, also aus dem Versenden simulierter Phishing-Mails an die Kunden – jedoch ohne schädliche Konsequenzen wie einem „Abfischen“ von Passwörtern. Kunden sollen so die eigene Anfälligkeit für derartige Bedrohungen erkennen, zumal auch weitere Schadprogramme oft über das Mail-Postfach eindringen. Zeigt sich, dass Menschen häufiger auch wiederholt auf solche fingierten Schad-Mails hereinfallen? Und mit welchen Strategien schaffen es Angreifer aus dem Netz, immer wieder Mitarbeiterinnen und Mitarbeiter eines Unternehmens „in die Falle“ zu locken?
Die Betrüger nutzen beim Phishing geschickt verschiedene psychologische Strategien, damit ihre Opfer die gewünschten Informationen preisgeben. Neugier ist zum Beispiel ein treibender Faktor ("Wir haben eine Überraschung für Sie."), aber auch sozialer Druck ("Alle Kollegen haben an der Aktion teilgenommen.") oder Gewinnstreben ("Loggen Sie sich ein und erhalten Sie einen Gutschein über 50 Euro.") können effektive Mechanismen sein, um an die gewünschten Daten zu gelangen. Je nach seiner Persönlichkeit ist jeder Mitarbeiter unterschiedlich anfällig für verschiedene Formen von Cyberangriffen. Man sollte sich daher nicht unter Druck setzen und immer die Identität von E-Mail-Absendern und Anrufern ausreichend prüfen.
Wir hatten bereits Fälle, in denen wir unsere eigenen Phishing-Mails zur Prüfung weitergeleitet bekommen. Da zeigt, dass sich die Sensibilität für Cyberkriminalität in den Köpfen der Perseus-Nutzer verankert hat.
„Digitalisierung“ ist ein Schlüsselbegriff der Branche. Große Versicherer wie die Allianz kündigen Digitalisierungsoffensiven an. Werden aus diesen Offensiven neue IT-Risiken erwachsen? Und wie kann sich aus Ihrer Sicht die Branche dagegen wappnen?
Bei der Digitalisierung ist es wie mit den Anfängen in der Automobilität. Am Anfang war man froh, dass die Autos fuhren und uns schnell von A nach B brachten. Doch dann gab es die ersten Unfälle, man hat seine Lehren daraus gezogen und Vorfahrtsregeln eingeführt. Weil Regeln alleine uns nicht schützen, wurde der Anschnallgurt erfunden und später der Erste-Hilfe-Kurs für Autofahrer verpflichtend eingeführt.
Die Digitalisierung hat, wie die Automobilität, einen enormen Beitrag zur gesellschaftlichen Entwicklung geleistet. Jetzt liegt es am Menschen, das einhergehende Risiko zu erkennen und zu reduzieren. Das Bundesamt für Sicherheit in der Informationstechnik und die Allianz für Cybersicherheit bieten zahlreiche Informationsmöglichkeiten an. Diese lösen jedoch nicht das Problem der mangelnden Zeit für eine individuelle Weiterbildung der Mitarbeiter in den einzelnen Betrieben. Die Themen Cybersicherheit und digitale Kompetenz müssen von der Politik eine höhere Priorität erhalten, was mit dem aktuellen Koalitionsvertrag in Teilen bereits geschehen ist. Auf diese Worte müssen jetzt endlich Taten folgen, Betriebe sollten beim Aufbau einer Sicherheitskultur unterstützt werden, zum Beispiel durch steuerliche Vergünstigungen für die Weiterbildung ihrer Mitarbeiter.
Anzeige
(Die Fragen stellte Sven Wenig)
- Cyberrisiken: "In keinem Bereich ist der Mensch so gläsern wie vor seinem Versicherungsmakler"
- ..."niemand würde für Diebstahlschutz das Türschloss entfernen"