Der Cloud-Sicherheitsspezialist Hornetsecurity hatte bereits ein großes Portfolio. Viele Partner waren jedoch der Meinung, dass noch etwas fehlte: Schulungen zum Sicherheitsbewusstsein. Yvonne Bernard, CTO, ist stolz darauf, dass das Unternehmen mit der Übernahme von IT-Seal nun eine angemessene Antwort darauf hat.

Vor etwa einem Jahr haben wir auch mit Yvonne Bernard gesprochen. Als nächstes folgte die Übernahme des Backup-Spezialisten Altaro. „Wir sind der festen Überzeugung, dass Sie neben der Sicherheit auch immer ein Backup benötigen. Die Kombination ist interessant. Nur wenige Anbieter können dies in ihrem Produktportfolio anbieten, wie wir es derzeit können“, sagte sie damals. Aber nach dieser Backup-Ergänzung stand noch etwas anderes auf der Wunschliste von Hornetsecurity. „Wir wussten schon lange, dass Security-Awareness-Schulungen eine großartige Ergänzung unseres Portfolios sein würden“, sagt sie jetzt. „Wir wollen für unsere Partner ein einziger Anbieter für Sicherheit, Backup und Compliance sein. In dieser Tabelle fehlte noch die Bewusstseinsschulung.

Hornetsecurity hat sich schnell für die Übernahme eines Unternehmens entschieden. „Wir haben die Technik im Haus, um selbst etwas bauen zu können. Aber wir planten bereits, das Team zu erweitern. Die Übernahme eines Unternehmens, das bereits Erfahrung in diesem Bereich hat, war für uns ein logischer Schritt. Wir haben viel recherchiert und verschiedene Produkte getestet.

zweite Generation
Diese Entscheidung hat das Unternehmen nicht über Nacht getroffen. „Wenn es darum geht, das Bewusstsein zu schärfen, gibt es zwei Arten von Produkten“, erklärt Bernard. „Sie haben die erste Generation von Produkten, bei denen der IT-Administrator oder der CISO die Phishing-Simulationen selbst steuert und versendet und die Statistiken überwacht. Bei der zweiten Generation hat der Administrator keine manuelle Arbeit und alles wird vom Anbieter automatisiert erledigt Ein wichtiger Unterschied ist, dass jeder so viel Training bekommt, wie er braucht – nicht zu wenig, aber auf keinen Fall zu viel.

Letzteres erlebt Bernard oft. „Die Leute bekommen dann alle Arten von Phishing-E-Mails, die sehr ähnlich sind. Sie langweilen sich dadurch und es hat wenig Wirkung. Mit einem guten Awareness-Produkt bekommt man so viel Schulung, wie man braucht, nicht das Maximum für den Geldtransfer brauchen Sie viel spezifisches Training, weil Sie auch viel Risiko eingehen. Jemand, der zum Beispiel in der Personalabteilung arbeitet, muss mit verschiedenen Arten von Dateien umgehen, und die Risiken sind auch unterschiedlich. Also braucht er auch anderes Training, B. mit gezielten Phishing-Simulationen. Wir fanden das bei der Produktauswahl sehr wichtig. Nur so können wir eine gute Sicherheitskultur in einem Unternehmen schaffen, ohne Zeit und damit auch Geld des Unternehmens zu verschwenden.

Messen
Nach einer Orientierungs- und Testphase fiel die Wahl auf das deutsche Unternehmen IT-Seal. Die Übernahme wurde im Mai bekannt gegeben. Das Unternehmen macht genau das, was Bernard beschreibt: automatisiertes Training, zugeschnitten auf verschiedene Rollen innerhalb einer Organisation. „Was mir an IT-Seal auch sehr gefällt, ist der Employee Safety Index“, fügt Bernard hinzu. „Es ist eine patentierte Messung, die angibt, wie sicher Ihr Unternehmen ist. Es ist eine Zahl zwischen 0 und 100. Abhängig von der Branche, in der Sie tätig sind, und der Art des Geschäfts, in dem Sie tätig sind, können Sie einen Wert auswählen, den Sie erreichen möchten, und ihn dann an diesen senden. Je mehr Sie punkten möchten und je mehr Sie bestimmten Bedrohungen ausgesetzt sind oder in Phishing-Simulationen geraten, desto mehr Training erhalten Sie. Es bietet Transparenz für einen Administrator oder CISO. »

Ein weiterer wichtiger Vorteil des Produkts von IT-Seal in Kombination mit der Technologie von Hornetsecurity ist die Fokussierung auf neue Mitarbeiter, erklärt Bernard. „Wir vergessen oft, dass neue Mitarbeiter in den ersten Monaten große Risiken eingehen. Sie ändern ihren LinkedIn-Status und lassen Hacker wissen, dass da draußen jemand Neues ist. Sie sind fehleranfälliger und werden daher oft als Eingabedaten verwendet. Damit beispielsweise neu angelegte Benutzer in Microsoft 365 vom ersten Arbeitstag an die richtigen Schulungen erhalten, stellen wir die richtigen Links zur Verfügung. Dies geschieht automatisch und ist auch für die Rolle eines neuen Mitarbeiters geeignet. »

Produktintegration
Die Organisationen der beiden Unternehmen sind nun vollständig integriert. Bernard: „Wir arbeiten jetzt an der Produktintegration, damit Sie wie bei unseren anderen Produkten über unser Control Panel Zugang zu Schulungen zum Sicherheitsbewusstsein haben. Es sollte zu der Struktur und dem Aussehen passen, die Partner und Kunden gewohnt sind. Es ist das Front-End für Administratoren und CISOs und für den Hub, wo Benutzer ihre Ergebnisse sehen können. »

Im Herbst soll die Produktintegration abgeschlossen sein und offiziell gestartet werden. „Wir haben uns bewusst dafür entschieden, das Frontend vom ersten Tag an zu integrieren. Alles läuft nach Plan, ebenso die Integration der Organisationen Backup. Als wachsendes Unternehmen mussten sie die Herausforderung begrenzter Ressourcen meistern. Jetzt haben sie viel mehr Möglichkeiten.

Einfach zu verwenden
Die Partner seien sehr gespannt auf die Übernahme, sagt sie. „Sie haben lange danach gefragt. Wir haben auch den Bedarf gesehen, aber wir wollten das am besten geeignete Unternehmen finden und haben auf die nächste Generation von Awareness-Produkten gewartet. Partner erwarten von uns automatisierte Produkte, die einfach zu bedienen sind Ich habe das Produkt auch selbst verwendet und es war genau das, wonach wir gesucht haben.

Security Awareness sei von großer Bedeutung, findet Bernard, auch wenn manche Phishing-E-Mails selbst mit gutem Training nicht mehr von „echten“ zu unterscheiden seien. „Die Kombination aus Schulung und guter E-Mail-Sicherheit ist sehr wichtig. Bestimmte Attacken werden Sie bei gutem Training tatsächlich nicht erkennen. Dafür gibt es aber gute Schutzprodukte. Umgekehrt stoppen unsere Produkte nicht alles, zum Beispiel Angriffe mit Deep-Fake-Technologie. Dafür brauchen Sie gut ausgebildete Mitarbeiter.

Die Produkte und Dienstleistungen von Hornetsecurity werden in den Benelux-Ländern von CloudLand vertrieben.

Autor: Johan van Leeuwen