Martin J. Krämer, KnowBe4: Trotz KI, trotz allem, steht der Mensch im Mittelpunkt und das soll man nicht vergessen
November 2023 von Yelena Jangwa-Nedelec, Global Security Mag
Global Security Mag: Wir kennen uns bereits, und Sie schreiben auch sehr regelmäßig neue Artikel, sodass unsere Leser Sie ebenfalls kennen.
Martin J. Krämer: Ja, ich schreibe relativ häufig, das stimmt, und ich freue mich, dass es aufgegriffen wird und, finde sehr schön, dass es so viele Leser erreicht.
GSM: Wir können also mit der ersten Frage beginnen: Einige nennen ID Verification “first line of defense”. Was halten Sie davon?
Martin J. Krämer: First line, last line, whatever line of defense. Im Endeffekt sprechen wir bei KnowBe4 von der letzten Verteidigungslinie, also last line of defense, weil es, nachdem der technischen Ebene, mit den verschiedenen E-Mail-Filter, Spamfilter und der ganzen Threat Intelligence, überwunden wurde, immer auf der Entscheidung der Einzelperson kommt. Wenn man die Situation andersrum betrachtet, kann man natürlich auch von ID Verification als First line of Defense beschreiben. Die wichtige Idee ist aber nicht, ob ID verification first oder last ist, sondern, dass der Mensch selbst der entscheidende Faktor ist.
GSM: Was ist im Moment Ihre Top 1 Priorität in Ihrem Job?
Martin J. Krämer: Da wir bereits am Ende des Jahres sind, sehen wir uns gerade die aktuellen Trends an und wie das nächste Jahr sich entwickeln wird. Wir sehen, dass der Security-Awareness-Markt sich in Summe weiterentwickelt. Wir sprechen natürlich lange nicht mehr nur über Awareness, sondern mindestens auch immer noch über Behavior und Culture, als weitere Komponenten. Warum über Behavior? Weil die Entscheidung ist, das, was die Cyber-Sicherheit der Organisation am Ende des Tages beeinflusst, und nicht das reine Wissen. In der Regel kann ich mich wider besseres Wissen schlecht verhalten, und genau deswegen ist die Analyse des Behaviors wichtig. Was bringt uns dazu, uns besser zu verhalten: die Motivation! Unsere Kultur und unsere Werte prägen uns und haben einen Einfluss auf unser Verhalten. Die Unternehmenskultur spielt auch eine große Rolle dabei, und da kommt das Thema Sicherheitskultur mit rein. Wenn ich mir jetzt eine Software kaufe, das kann KnowBe4 sein, aber auch ein anderer Wettbewerber sein, ist der wichtige Punkt, wie die Software genutzt wird. Und darüber müssen sich die Unternehmen dann Gedanken machen.
Wir beschäftigen uns natürlich auch mit dem Thema KI. Mit dem allgemeinen Reifeprozess am Markt, ist das Thema KI ein Trend, den wir nicht ignorieren sollen, weil er die Bedrohungslandschaft stark beeinflusst und aber auch weil es natürlich Chancen eröffnet für die Unternehmen, sich besser aufzustellen, und die Softwares zu verbessern. Sowohl die Angreifer als auch die Verteidiger, benutzen KI, die ein weiteres Werkzeug ist, das von beiden Seiten benutzt werden muss.
GSM: Und die KI ist natürlich ein Feld, das sich richtig schnell entwickelt, wie bleiben Sie dran?
Martin J. Krämer: Threat Intelligence ist natürlich ein großes Thema, an dem man immer dran bleiben muss. Ich glaube, heutzutage im Sektor kann sich gerade kein Unternehmen erlauben nicht im Bereich der Generative KI oder KI im Allgemeinen zu investieren, und da weitere Entwicklung anzustreben.
Bei KnowBe4 haben wir dafür verschiedene Komponenten in unserer Threat Intelligence Strategy. PhishER Plus ist zum Beispiel im Endeffekt ein Tool für Administratoren, das ermöglicht, Phishing-E-Mails, die gemeldet wurden, gezielt abzuarbeiten. Wenn ich Tausende von MitarbeiterInnen habe, die alle Hunderttausende E-Mails am Tag melden, die ich abarbeiten muss, ermöglicht es das Tool, das über 3 Elemente verfügt, das automatisiert und intelligent zu tun. PhishER Plus ist eine Art Regelwerk oder Filter, was von KnowBe4 immer wieder erneuert wird.
Der zweite Punkt ist, dass wir, durch Kommunikation mit unseren 60.000 Kunden und durch unsere interne Forschungsabteilung, richtig viel und diverse Information über Human Threat Intelligence bekommen und daher am Ball bleiben. Wir setzen dazu noch eigenes Machine Learning ein. Schlussendlich sehen wir, dass das Aufkommen an Phishing E-Mails gerade extrem gestiegen ist. Jetzt könnten wir diskutieren, ob das mit generativer KI zu tun hat oder inwiefern, aber das kann man abschließend nicht sagen. Fakt ist, dass das Aufkommen von Phishing-E-Mails, so unsere interne Abteilung, mehr als 50 % gestiegen ist.
GSM: Und die Qualität der Phishing-E-Mails hat sich dadurch auch noch gesteigert?
Martin J. Krämer: Richtig, die Vermutung liegt nahe, dass es mit generativer KI zu tun hat. Die KI erlaubt es uns definitiv, die Qualität dieser Phishing-E-Mails zu steigern. Interessanterweise, sind die von unseren Kunden reported Phishing-E-Mails, nicht nur textbasiert, sondern vor allem auch bildbasiert. Wir sehen zum Beispiel oft ein QR-Code anstelle eines Links. Das ist jetzt ein sehr spezifisches aktuelles Beispiel, das mag sich ja in zwei, drei Wochen schon wieder geändert haben. Es ist auch nur ein weiteres Beispiel dafür, dass die technischen Barrieren nicht immer ausreichen und dass es am Ende des Tages schon sehr wohl auf die Mitarbeiter ankommt.
GSM: Haben Sie den Eindruck, dass Phishing-Angriffe und Deepfakes etwas mit dem zu tun haben, was in der Welt passiert, einschließlich globaler Konflikte?
Martin J. Krämer: Das ist eine spannende Frage vor dem Hintergrund, was in den letzten Tagen passiert ist. Auf jeden Fall, als Russland die Ukraine angegriffen hat, war der Cyber-Krieg natürlich eine große Komponente davon. Man hat versucht, die ukrainische Infrastruktur lahmzulegen, mit beschränktem Erfolg. Beim aktuellen, was sich aktuell Israel und Palästina abspielen, also was die Hamas angeht, kann man das nicht unbedingt sagen. Da war zum Beispiel jetzt gerade der erste Artikel im Wall Street Journal, der im Interactive berichtete, dass sich das aktuell noch nicht abzeichnet. Aber das ist jetzt die Cyber-Sicherheit allgemein und das kann sich jeden Tag ändern.
Aber was jetzt das Thema Phishing angeht, das ist natürlich eine spannende Frage. Es gibt immer wieder Opportunisten, zweifelsohne. Für uns jetzt, die sich glücklicherweise nicht in Krisengebieten befinden, gibt es immer wieder Leute, die Phishing-E-Mails entwickeln und zum Beispiel schreiben, dass sie vom Krieg betroffen sind und Unterstützung brauchen. Und ich glaube, das betrifft den Finanzsektor ganz enorm. Banken müssen ihre Kunden sehr stark vor den typischen Betrugsmaschen schützen, die mittlerweile mit diesem Thema in Verbindung gebracht werden. Die Hilfsbereitschaft, auf die hier angespielt wird, ist eine der menschlichen Eigenschaften, die uns am verwundbarsten macht.
GSM: Informieren Sie sich regelmäßig über das, was in der Welt passiert?
Martin J. Krämer: Ja, definitiv. Die Geopolitik und die Auswirkungen darauf auf die Cyber-Sicherheit darf man nicht vernachlässigen. Man darf auch nicht vergessen, dass Israel auch ein Land der Innovation und Entwicklung für den gesamten Sektor ist, in der Tat wird dort viele Software entwickelt. Und man muss sich auch die Frage stellen, wie sich das weiterentwickeln wird. Aber ja, ich denke, wenn man im Bereich der Cyber-Sicherheit arbeitet, muss man sich auch dafür interessieren, was derzeit in der Welt passiert.
GSM: Glauben Sie, dass Sie sich persönlich noch lange mit dem Thema Phishing und Schulung beschäftigen werden?
Martin J. Krämer: Also ich denke, dass sich die Welt insgesamt weiterentwickeln wird. Das Thema Schulung ist natürlich inzwischen recht gut abgedeckt. Durch generative KI wird die Erstellung von qualitativ hochwertigem Content natürlich vereinfacht und unterstützt. Das heißt, dass das Thema Training dann im Endeffekt ein Bestandteil eines größeren Projekts wird. Und das größere und für mich auch spannendere Thema ist eigentlich das Verhalten und die Möglichkeit, Leute zu überzeugen, dass Cyber-Sicherheit wichtig ist. Bei KnowBe4 sagen wir immer „mit Herz und Verstand“ überzeugen. Weil ohne die richtigen Motivationen, ohne den Glauben daran, das Richtige zu tun, wird sich auch nichts ändern. Also ich denke, dieser reine Trainingsaspekt ist zu kurz greifend, es wird tatsächlich immer um das Zwischenmenschliche gehen, um die richtige Art und Weise der Kommunikation und Leute zu überzeugen. Für ein Unternehmen ist das essenziell. Wenn die Cyber-Sicherheit weiterhin als Aufgabe der IT-Abteilung betrachtet werden würde, würden wir das Ziel verfehlen.
GSM: Sie haben vorher über Motivation geredet. Ich habe den Eindruck, dass KnowBe4 ganz oft spielerische Mittel und zum Beispiel auch Serien benutzt, um Motivation zu kreieren.
Martin J. Krämer: Motivation als Faktor ist ein ganz spannendes Thema. Klassischerweise versucht man im beruflichen Umfeld, in der Geschäftsführung, mit Geld zu motivieren. Aber bei einer Aufgabe, die eben langfristig angelegt ist, wie Cyber-Sicherheit, funktioniert das nicht. Es gibt auch genügend Studien dazu. Geld ist eine schlechte extrinsische Motivation und das, was wir eigentlich erreichen wollen, ist eine nachhaltige intrinsische Motivation. Und um das zu erreichen, muss ich zunächst alle Mitarbeitenden von der Notwendigkeit der Maßnahmen überzeugen. Und das tue ich, indem ich die Cybersicherheits-Ziele mit den unternehmerischen Zielen verknüpfe. Es ist wichtig, dass die eigene Verantwortung als Beitrag erkannt wird und ich sehe, was ich tue. Dies wirkt sich positiv auf die eigene Entwicklung aus.
Und dann muss ich verstehen, wie ich die Situation verbessern kann, selber den Beitrag dazu leisten kann. Am Anfang darf ich natürlich andere Mittel einsetzen, aber finanziell funktioniert es nicht. Es gibt tatsächlich einfachere Sachen, die viel besser funktionieren. Zum Beispiel ein Gamification-Ansatz, der am Anfang meiner Motivation erhoben wird. Es gibt auch Leaderboards, damit man sich vergleichen kann. Mit solchen Mitteln kann man die Motivation erhöhen. Schokolade ist tatsächlich besser als Geld. Warum? Weil Schokolade Dopamin frei setzt. Das ist besser als eine reine extrinsische Motivation.
Was ist dieses Mal Ihre Botschaft für die Leser und die CISOs?
Martin J. Krämer: Ich würde sagen, dass die Themen Awareness und Human Risk (Behavior), immer noch wichtig sind und sein werden: Der Mensch steht im Mittelpunkt und das soll man nicht vergessen. Menschen mit Herz und Verstand müssen abgeholt werden. Es geht darum, eine gute strategische Planung, gute Kommunikation und eine langfristige Motivation einzusetzen. Das sollte man zum Mantra seines Programms machen.
GSM: Trotz KI bleibt der Mensch also das wichtigste?
Martin J. Krämer: Danke, ja, genau! Trotz KI, trotz allem, kommt es auf den Mensch darauf an.