How your staff can be an active part of your cyber defense

Phishing is the most common method for cyber attacks. Over 92% of all successful cyber attacks begin with a phishing email. For most hackers and attackers, the first step in an organization is about people! According to Bitkom, this causes the German economy total annual damage of more than 55 billion euros - without the undisclosed figures. #SAFETYINSIGHTS spoke to Dr. Niklas Hellemann, Managing Director of SoSafe GmbH on the topic of cyber security awareness.

#SAFETYINSIGHTS: Wow Dr. Hellemann, your company SoSafe is currently on everyone's lips - you have been nominated three times for renowned prizes in the last few weeks - as you can see, your hard work is paying off! Could you briefly describe your entrepreneurial path up to here?

Dr. Hellemann: Thank you so much! However, it must also be said here that the rapid increase in cyber attacks - and in particular attacks on company employees - has further strengthened the relevance of our solutions in recent years. Ultimately, it was also the successful phishing case in our circle of friends that motivated us to found SoSafe. At the same time, we were surprised that this important topic was often conveyed very dryly and not very didactically. Based on our experience from management consulting and software development, we have set ourselves the mission of finally training cybersecurity in an entertaining and motivating way!

#SAFETYINSIGHTS: According to AMAZON's CTO Werner Vogels, if someone falls for phishing emails, they are an idiot - can you confirm this with your experience?

Dr. Hellemann: A statement that hurts my soul as a psychologist - and that is also dangerous! For years, the view of the end user was shaped by terms such as DAU ("stupidest user to assume"). The user was seen as a pure risk that it is technically "manageable". As we know today, a purely technical defense is e.g. of phishing attacks is not possible. A modern IT security strategy therefore always involves several levels of defense - including the user. Stupidity is the totally wrong concept here - rather, well-sensitized employees can be an important and active part of the defense.

#SAFETYINSIGHTS: What types of phishing are there?

Dr. Hellemann: It would not be possible to list all tactics and stitches, because the types are as numerous as the psychological buttons that they press. Of course there are some "evergreens" or particularly successful tactics, such as "Spear phishing", ie the targeted selection of a specific victim in a company. The so-called "dynamite phishing" is also becoming more and more important and dangerous. It uses special malware to automatically generate very accurate and credible e-mails that are based on existing communication. The so-called CEO fraud, in which a phishing email supposedly comes from the manager and, for example, instructs a transfer, is also perfect and extremely successful.

#SAFETYINSIGHTS: What are the characteristics of a phishing email?

Dr. Hellemann: Unfortunately, you cannot give a brief, compressed answer too - otherwise a training platform like ours would be redundant. Rather, it is about recognizing patterns and tactics and sharpening the view by confronting various attempts to attack. In this way, our customers' employees develop the ability to identify inconsistencies and to look more closely. We can even prove this with numbers. However, it is always a good recommendation to take a close look at the sender and to show a healthy skepticism when a sender works with pressure.

#SAFETYINSIGHTS: Who is behind the phishing emails?

"Organized crime gangs and groups act here to generate high sales and also drive innovation"

Dr. Hellemann: When I started to deal with cyber security in my youth (although the term did not exist at the time), the attacker side was shaped by many hackers or idealists. The motivation was often simple to uncover security gaps and to think into a complex problem. Nowadays we are dealing with a highly professionalized industry. Organized crime gangs and groups act here to generate high sales and also drive innovation. For some time now, so-called phishing kits have been available on the Darknet, with which one can easily implement phishing campaigns.

#SAFETYINSIGHTS: If hackers know all the tricks, can I protect myself against attacks or even defend myself as an individual?

Dr. Hellemann: Absolutely! As I said, it's about sharpening your eyes and recognizing patterns. Of course, this does not happen overnight. But our numbers show that e.g. the simulation of phishing attacks with subsequent information pages can achieve very significant effects. The click rate, i.e. the number of employees falling for phishing emails, is gradually decreasing. However, since the attackers are constantly developing new attack tactics, this type of awareness must also be carried out continuously, as the Chaos Computer Club was able to show again in December last year using a large data set.

#SAFETYINSIGHTS: How have phishing attacks changed in recent years?

Dr. Hellemann: The attacks are becoming more targeted and complex. i.e. The attackers are investing more and more time and resources to target individuals or groups of employees. While we found faulty spam in our inboxes decades ago, perfectly customized e-mails with personal salutation now land in our mailbox. Of course, technological innovation also plays a role. For some time now, the very versatile malware platform “Emotet” has kept the world in suspense, which offers the attacker numerous modules to make the phishing attacks even more dangerous.

#SAFETYINSIGHTS: How can SoSafe help companies against phishing - Traditionally, private users or companies use methods such as a firewall to protect themselves against cyber threats. Are these still useful for such methods?

Dr. Hellemann: Of course, technical methods are always the first step in securing your own data and information. Endpoint protection should be installed on each computer. In addition, all systems should always be up to date. However, a large part of the attacks are not reliably identified - also because the attackers constantly change the technical parameters. As already mentioned, it is therefore essential to pick up the employees from where they are and to involve them in the active defense - and preferably in the most motivating way possible. For this, e.g. our common cyber security basics training platform using learning psychological principles, e.g. via interactive micro-learning modules. In addition, our phishing simulation helps in a practical way to sharpen the said view. Our reporting button for the mail program then enables the individual employee to become a “human firewall”.

#SAFETYINSIGHTS: Why and how exactly are hackers and cyber criminals taking advantage of the current corona crisis?

"If you actually want to protect yourself from the real virus, you can quickly catch a computer virus"

Dr. Hellemann: The attackers are always more psychological and use e.g. different emotions. At the moment, of course, the focus is on fear. With the onset of the Corona crisis, a large number of COVID19-specific attacks came into circulation. Alleged emails from WHO or Johns Hopkins University served the need for information and the feeling of uncertainty. If you actually want to protect yourself from the real virus, you can quickly catch a computer virus. In addition, the accelerated switch to the home office and the use of remote and cloud software play a major role, as the attack surface is increased massively. In the home office, it is more difficult to simply ask the sender once when I receive a strange email. In addition, there is the fact that access data for the widely used collaboration solutions are of course very popular at the moment. So it is extremely important to remain vigilant even in the remote setting and to train safe behaviors. Just as we have learned to keep our distance or wear a face mask, we also have to learn how to “digitally wash our hands”.

#SAFETYINSIGHTS: A look into the future - what will cyber attacks look like in 10 years?

Dr. Hellemann: Technological innovation will certainly bring some very worrying developments. At the BSI congress in early 2019, for example, we presented a hypothetical attack using an AI-based voice bot that mimics the voice of the manager. Not 3 months later, we supposedly saw such an attack in the "wild" in Great Britain. At the same time, we can also be sure that classic e-mail phishing will also accompany us for the next few years - it just works too well for that!

Thank you very much, Dr. Niklas Hellemann for this short but very insightful interview!

#SAFETYINSIGHTS

Deutsche Version

Wie ihre Mitarbeiter zur menschlichen Firewall werden

Phishing ist die h?ufigste Methode für Cyberangriffe. über 92% aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Mail. Der erste Schritt in eine Organisation geht daher für die meisten Hacker und Angreifer über den Menschen! Laut Bitkom fügt dies der deutschen Wirtschaft einen j?hrlichen Gesamtschaden von mehr als 55 Milliarden Euro zu - ohne die Dunkelziffern. #SAFETYINSIGHTS sprach mit Dr. Niklas Hellemann, Managing Director der SoSafe GmbH über das Thema Cyber Security Awareness.

#SAFETYINSIGHTS: Wow Herr Dr. Hellemann, Ihr Unternehmen SoSafe ist ja aktuell in aller Munde - Sie wurden in den letzten Wochen gleich dreifach für renommierte Preise nominiert – Wie man sieht zahlt sich Ihre harte Arbeit aus! Beschreiben Sie doch bitte kurz Ihren unternehmerischen Weg bis hierhin?

Dr. Hellemann: Vielen Dank! Allerdings muss man hier auch sagen, dass der rasante Anstieg von Cyberangriffen – und insbesondere von Angriffen auf Mitarbeiter von Unternehmen – in den letzten Jahren die Relevanz unserer L?sungen auch noch einmal sehr gest?rkt hat. Letztlich war es auch der erfolgreiche Phishing-Fall in unserem Bekanntenkreis, der uns zur Gründung von SoSafe motiviert hat. Gleichzeitig waren wir überrascht, dass dieses wichtige Thema h?ufig sehr trocken und nicht sehr didaktisch vermittelt wurde. Auf Basis unserer Erfahrung aus der Management-Beratung und der Softwareentwicklung haben wir uns dann die Mission auf die Fahne geschrieben, Cybersecurity endlich unterhaltsam und motivierend zu trainieren!

#SAFETYINSIGHTS: Wenn jemand auf Phishing-Mails hereinf?llt, ist derjenige laut AMAZONs CTO Werner Vogels ein Idiot - K?nnen Sie das mit Ihrer Erfahrung so best?tigen?

Dr. Hellemann: Eine Aussage, die mir als Psychologe in der Seele weh tut – und die auch gef?hrlich ist! Jahrelang war der Blick auf den Endnutzer gepr?gt von Bezeichnungen wie z.B. DAU (?Dümmster anzunehmender User“). Der Nutzer wurde als reines Risiko gesehen, das es technisch zu ?managen“ gilt. Wie wir heute wissen, ist eine rein technische Abwehr z.B. von Phishing-Angriffen nicht m?glich. Eine moderne IT-Sicherheitsstrategie bezieht daher immer mehrere Ebenen der Verteidigung ein – und hierbei eben auch den Nutzer. Dummheit ist hier das total falsche Konzept – vielmehr k?nnen gut sensibilisierte Mitarbeiter ein wichtiger und aktiver Teil der Verteidigung sein.

#SAFETYINSIGHTS: Welche Arten von Phishing gibt es?

Dr. Hellemann: Alle Taktiken und Maschen aufzuz?hlen w?re gar nicht m?glich, denn die Arten sind so zahlreich wie die psychologischen Kn?pfe, die sie drücken. Natürlich gibt es einige ?Evergreens“ oder besonders erfolgreiche Taktiken, wie z.B. ?Spear-Phishing“, also das gezielte Ausw?hlen eines bestimmten Opfers in einem Unternehmen. Immer wichtiger und gef?hrlicher wird zudem das sogenannte ?Dynamite-Phishing“, bei dem mithilfe von besonderer Malware automatisch sehr passgenaue und glaubhafte E-Mails erzeugt werden, die auf bestehender Kommunikation aufbauen. Perfide und extrem erfolgreich ist zudem der sogenannte CEO-Fraud, bei dem eine Phishing-Mail vermeintlich vom Vorgesetzten kommt und beispielweise eine überweisung anweist.

#SAFETYINSIGHTS: An welchen Merkmalen erkenne ich eine Phishing-Mail?

Dr. Hellemann: Auch hier kann man leider nicht eine kurze komprimierte Antwort geben – sonst w?re auch eine Trainingsplattform wie die unsere überflüssig. Vielmehr geht es darum, Muster und Taktiken zu erkennen und den Blick durch die Konfrontation mit verschiedenen Angriffsversuchen zu sch?rfen. So entwickeln die Mitarbeiter unserer Kunden die F?higkeit, Ungereimtheiten zu erkennen und genauer nachzuschauen. Das k?nnen wir sogar mit Zahlen nachweisen. Eine gute Empfehlung ist es aber immer, sich den Absender genau anzuschauen sowie eine gesunde Skepsis an den Tag zu legen, wenn ein Absender mit Druck arbeitet.

#SAFETYINSIGHTS: Wer steckt hinter den Phishing-Mails.

"Banden und Gruppen des organisierten Verbrechens agieren hier, um hohe Ums?tze zu erzielen und treiben auch Innovation voran"

Dr. Hellemann: Als ich begonnen habe, mich in meiner Jugend mit Cyber Security zu besch?ftigen (obwohl es den Begriff damals noch gar nicht gab), war die Angreiferseite gepr?gt von vielen Hobbyhackern oder auch Idealisten. Die Motivation war h?ufig einfach, Sicherheitslücken aufzudecken und sich in ein komplexes Problem hineinzudenken. Heutzutage haben wir es mit einer hochprofessionalisierten Industrie zu tun. Banden und Gruppen des organisierten Verbrechens agieren hier, um hohe Ums?tze zu erzielen und treiben auch Innovation voran. Im Darknet kann man seit l?ngerem sogenannte Phishing-Kits erwerben, mit denen man ganz einfach Phishing-Kampagnen umsetzen kann.

#SAFETYINSIGHTS: Wenn Hacker alle Tricks kennen, kann ich mich als Einzelner überhaupt noch gegen Angriffe wappnen oder gar wehren?

Dr. Hellemann: Absolut! Wie schon gesagt, geht es darum, den Blick zu sch?rfen und Muster zu erkennen. Das geht natürlich nicht von heute auf morgen. Aber unsere Zahlen zeigen, dass z.B. die Simulation von Phishing-Angriffen mit darauffolgenden Aufkl?rungsseiten ganz erhebliche Effekte erzielen kann. Die Klickrate, also die Zahl der Mitarbeiter die auf Phishing-Mails hereinfallen, geht sukzessive herunter. Da die Angreifer aber laufend auch neue Angriffstaktiken entwickeln muss man diese Art der Sensibilisierung allerdings auch kontinuierlich durchführen, wie der Chaos Computer Club im Dezember letzten Jahres auch noch einmal anhand eines gro?en Datensatzes zeigen konnte.

#SAFETYINSIGHTS: Inwiefern haben sich Art und Weise der Phishing-Angriffe in den letzten Jahren ver?ndert?

Dr. Hellemann: Die Angriffe werden zum einen zielgerichteter und zum anderen komplexer. D.h. die Angreifer investieren immer mehr Zeit und Ressourcen, um zielgerichtet einzelne Personen oder Gruppen von Mitarbeitern anzugreifen. W?hrend wir vor Jahrzehnten noch fehlerbehafteten Spam in unseren Inboxen gefunden haben, landen nun perfekt angepasste Mails mit pers?nlicher Anrede in unserem Postfach. Natürlich spielt auch die technologische Innovation eine Rolle. So h?lt seit einiger Zeit die sehr vielf?ltig einsetzbare Malware-Plattform ?Emotet“ die Welt in Atem, die dem Angreifer zahlreiche Module bietet, um die Phishing-Angriffe noch gef?hrlicher zu machen.

#SAFETYINSIGHTS: Wie kann SoSafe Unternehmen gegen Phishing helfen - Gegen Cybergefahren wappnen sich Privatnutzer oder Firmen traditionell mit Methoden wie einer Firewall. Nützen diese bei solchen Methoden noch etwas? (Hier k?nnte man die gemeinsame Kooperation erw?hnen)

Dr. Hellemann: Technische Methoden sind natürlich immer der erste Schritte bei der Absicherung der eigenen Daten und Informationen. Auf jedem Rechner sollte eine Endpoint-Protection installiert sein. Zudem sollten alle Systeme immer auf dem neuesten Stand sein. Allerdings wird ein gro?er Teil der Angriffe nicht zuverl?ssig erkannt – auch weil die Angreifer konstant die technischen Parameter ver?ndern. Wie schon gesagt, ist es daher essentiell wichtig, die Mitarbeiter da abzuholen wo sie stehen und sie dann in die aktive Verteidigung mit einzubeziehen – und das am besten auf m?glichst motivierende Art und Weise. Hierfür vermittelt z.B. unsere gemeinsame Trainingsplattform Cybersecurity-Grundlagen mithilfe lernpsychologischer Prinzipien, z.B. über interaktive Micro-Lernmodule. Daneben hilft unsere Phishing-Simulation ganz praktisch dabei, den besagten Blick zu sch?rfen. Unser Reporting-Button für das Mailprogramm versetzt dann den einzelnen Mitarbeiter in die Lage, zur ?menschlichen Firewall“ zu werden.

#SAFETYINSIGHTS: Warum und wie genau machen sich Hacker und Cyberkriminelle die derzeitige Corona Krise zunutze?

"Wer sich eigentlich vor dem realen Virus schützen m?chte, f?ngt sich so schnell einen Computervirus ein"

Dr. Hellemann: Die Angreifer agieren immer psychologischer und nutzen z.B. verschiedene Emotionen aus. Aktuell steht hier natürlich Angst im Vordergrund. Sofort mit Aufkommen der Corona-Krise kam daher eine Vielzahl von COVID19-spezifischen Angriffen in Umlauf. Vermeintliche Mails von der WHO oder der Johns-Hopkins-Universit?t bedienten das Bedürfnis nach Information und das Gefühl der Verunsicherung. Wer sich eigentlich vor dem realen Virus schützen m?chte, f?ngt sich so schnell einen Computervirus ein. Daneben spielt der beschleunigte Wechsel ins Home-Office und die Nutzung von Remote- und Cloud-Software eine gro?e Rolle, da so die Angriffsfl?che massiv erh?ht wird. Im Home Office ist es aufw?ndiger, den Absender einfach einmal zu fragen, wenn ich eine komische E-Mail erhalte. Zudem kommt die Tatsache, dass Zugangsdaten für die vielgenutzten Kollaborationsl?sungen natürlich aktuell sehr begehrt sind. Es ist also extrem wichtig, auch im Remote-Setting wachsam zu bleiben und sichere Verhaltensweisen einzutrainineren. So wie wir auch gelernt haben, Abstand zu halten oder einen Mundschutz zu tragen, müssen wir also auch das ?digitale H?ndewaschen“ einstudieren.

#SAFETYINSIGHTS: Ein Blick in die Zukunft - Wie werden in 10 Jahren Cyberattacken aussehen?

Dr. Hellemann: Sicherlich wird die technologische Innovation noch einige sehr beunruhigende Entwicklungen mit sich bringen. Auf dem BSI-Kongress Anfang 2019 haben wir beispielswiese noch einen hypothetischen Angriff mithilfe eines AI-gestützten Voice-Bots pr?sentiert, der die Stimme des Vorgesetzten imitiert. Nicht 3 Monate sp?ter haben wir dann vermeintlich einen solchen Angriff in der ?freien Wildbahn“ in Gro?britannien gesehen.Gleichzeitig k?nnen wir aber auch sicher sein, dass uns auch klassisches E-Mail-Phishing die n?chsten Jahre begleiten wird – dafür funktioniert es einfach viel zu gut!

Vielen Dank, Dr. Niklas Hellemann für dieses kurze aber sehr aufschlussreiche Interview!

#SAFETYINSIGHTS