Abonnieren Sie unseren NEWSLETTER

Global Security Mag : Können Sie uns sagen, wer KnowBe4 ist?

Jelle Wieringa: Was wir bei KnowBe4 tun, ist sehr einfach. Wir konzentrieren uns auf den menschlichen Aspekt der Cybersecurity und das schon seit 12 Jahren. Wir helfen Anwendern, intelligentere Sicherheitsentscheidungen zu treffen, das ist die Marketinglücke. Wir sind der Meinung, dass man Technologie kaufen und Prozesse einführen kann, aber man vergisst dabei den Menschen. Jeder vergisst, dass es nicht die Technologie ist, die den Fehler macht, die E-Mail anzunehmen, sondern der Benutzer. Und der Grund, warum der Benutzer dies tut, ist, dass er es nicht besser weiß, dass er das Risiko nicht erkennt, dass er zu beschäftigt ist, dass er seine eigenen Gefühle nicht kontrollieren kann.

Wir sind hier anders als die meisten Unternehmen. Wir sind kein Technologieunternehmen, denn für die meisten unserer Produkte nutzen wir Technologie als Plattform für das Training und das simulierte Phishing zum Testen dieses Trainings, aber wir sind viel mehr ein Trainings- und Psychologieunternehmen, weil wir die Manipulation von Menschen bekämpfen. Social Engineering ist der Akt der Manipulation von Menschen. Und das ist nicht binär. Die meisten Leute denken, man hat eine Maschine, man schaltet sie ein, programmiert sie, und das war’s. Aber ich kann euch nicht programmieren, so funktioniert das nicht. Wir brauchen also einen anderen Ansatz für die Security. Deshalb haben wir auch Psychologie in unsere Produkte eingebaut.

Wir sind also ein Trainingsunternehmen und haben als Hauptprodukt das Kevin Mitnick Security Awareness Training (entwickelt von Kevin Mitnick, dem weltbekannten Autor, Hacker, Computer Security Consultant und dem Chief Hacking Officer von KnowBe4). Wir entwickeln Tools, um den Druck auf das Sicherheitsteam zu verringern, und wir führen Schulungen mit simulierten Phishing-E-Mails durch. Wir versuchen, die Leute dafür zu sensibilisieren, was in der großen Welt da draußen vor sich geht, und testen dann ihr Wissen, um zu sehen, ob sie das Gelernte tatsächlich im echten Leben anwenden können. Denn es nützt nichts, wenn man nur etwas lernt, aber es nicht wirklich anwendet. Das sind allerdings nicht die einzigen Produkte, die wir haben. Wir konzentrieren uns auch auf die menschliche Seite der Compliance, auf SOAR (Security Orchestration, Automation, and Response), um das SOC zu unterstützen.

GSM: Was ist Ihre Lösung und was stellen Sie auf der it-sa vor?

Jelle Wieringa: Unsere Plattform ist eine Saas-Plattform. Wir haben eine riesige Bibliothek mit Trainings. Die Sache mit Training ist, dass es langweilig ist, also versuchen wir, es unterhaltsam zu gestalten, wir verwenden viel Humor, wir verwenden viel Relevanz, denn in Ihrem Job gibt es verschiedene Aspekte, als in seinem oder meinem, und außerdem sind wir auch auf unterschiedliche Weise geschult. Vielleicht spielen Sie gerne ein Spiel, um etwas zu lernen, vielleicht sehen Sie sich gerne ein Video an. Ich persönlich höre eine Menge Podcasts, ich bin sehr audiozentriert, also hey, bitte schickt mir kein Video zum Lernen, gebt mir Audio zum Lernen und ich kann es mir im Auto, auf dem Weg zur Arbeit oder in meinem Fall im Flugzeug anhören, in dem ich viel Zeit verbringe.

Wir wollen den Menschen die Möglichkeit geben, sich zu trainieren, wann sie wollen, wo sie wollen und wie sie wollen.
Wir wollen die Trainingsmöglichkeiten individualisieren und den Menschen die Möglichkeit geben, selbst zu entscheiden, wie sie trainieren wollen. Wir haben auch verschiedene Stufen, die von Anfängern oder Grundkenntnissen bis hin zu sehr fortgeschrittenen Personen reichen, denn selbst wenn man ein oder eine Cybersecurity-Experte(in), Entwickler(in) oder Programmierer(in) ist und alles über Sicherheit weiß, muss man trotzdem noch etwas lernen.

Wir glauben auch an Mikrotrainings, deshalb haben wir 5-Minuten-Trainings, oder meistens sogar weniger als 5 Minuten, um sicherzustellen, dass die Leute motiviert bleiben und lernen. Wir versuchen, die Art und Weise zu ändern, wie Menschen Cybersecurity-Training sehen. Wir haben unsere eigene Fernsehsendung entwickelt, den Inside Man. Sie besteht aus Cliffhangern und verschiedenen Handlungssträngen und soll die Menschen motivieren, sich mit Cybersicherheit zu befassen.

GSM: Würden Sie sagen, dass dieses motivierende Approach und dieser Umgang mit Menschen die Stärke von KnowBe4 ist?

Jelle Wieringa: Das ist definitiv eine der Stärken. Aber ich denke, es geht darum, den Menschen zu verstehen und wie man mit Menschen in der Cybersecurity umgeht. Das ist der Teil, auf den wir uns konzentrieren und den wir dann in die Schulungsinhalte, die Plattform und die Art und Weise, wie wir Sicherheit im Unternehmen angehen, umsetzen. Denn es geht auch um die Kultur, nicht wahr? Wir müssen eine gute Sicherheitskultur in einer Organisation aufbauen, in der die Mitarbeitende intrinsisch motiviert sind, sich an der Security zu beteiligen. Wenn Sie einen Flur betreten und ein Stück Papier auf dem Boden sehen, sind Sie dann motiviert, es aufzuheben, ohne dass jemand um Sie herum ist? Das ist die intrasec-Motivation, nach der wir suchen. Wir wollen niemanden zwingen, ein Cybersecurity Training zu machen, wir wollen sie befähigen und motivieren, es selbst zu tun!

Wir konzentrieren uns darauf, die Benutzer in die Lage zu versetzen, Social-Engineering-Verschleierungen zu erkennen und zu entschärfen. Wir wollen, dass sie verstehen, wann sie gefährdet sind, und dass sie danach das richtige Sicherheitsverhalten an den Tag legen.

GSM: Und zum Schluss, was ist Ihre Botschaft an die CISOS und/oder unsere Leser?

Jelle Wieringa: Ich denke, die Menschen verstehen den Wert des menschlichen Aspekts der Cybersecurity. Aber besonders für CISOS gilt: Bleiben Sie dran, es ist ein wichtiger Aspekt, und lassen Sie sich nicht von der C-Ebene unterkriegen, die Ihnen sagt, dass Sie kein Budget bekommen, sondern arbeiten Sie weiter daran, denn es ist wichtig.