Security-Startups im Blickpunkt: Perseus IT-Sicherheit für die Basis

Viele kleine und mittelständische Unternehmen stehen Themen wie Digitalisierung 4.0, Cloud Computing, IT Security und der DSGVO recht hilflos gegenüber. Denn Experten sind rar und entsprechende Arbeitsplätze sind oft, aus den unterschiedlichsten Gründen, verwaist. Ein junges Berliner Startup-Unternehmen versucht KMU bei den Themen Datenschutz und Cybersicherheit Hilfestellung zu geben.

Anbieter zum Thema

SEPPmail - Deutschland GmbH

Specops Software GmbH

In dieser Serie stellt Security-Insider innovative, junge Startup-Unternehmen aus Deutschland, Österreich und der Schweiz vor, die mit innovativen Ideen die IT-Sicherheit voran bringen wollen. Das Startup Perseus, aus Berlin bietet Unternehmen Hilfe zu den Themen Datenschutz und Cybersicherheit an. Hier hat man sich ein maßgeschneidertes Leistungsspektrum ausgedacht, das die dringendsten Bedürfnisse abdeckt.

Bildergalerie

Bildergalerie mit 10 Bildern

Die mehr als dreißig Mitarbeiter von Perseus bedienen vier Schwerpunkte, die für Unternehmen bzgl. IT Sicherheit von Bedeutung sind.

• 1. Der Notfallservice: Hier springt Perseus in die Bresche und unterstützt seine Kunden bei der Verifikation, ob tatsächlich ein Problem vorliegt und wie man es am besten angeht und beseitigt.

• 2. Der Kundenservice: Perseus geht auf die Bedürfnisse des Kunden ein, berät zu Fragen rund um das Security-Angebot und unterstützt Einzelpersonen eines Unternehmens ebenso wie Teamleiter oder Geschäftsführer.

• 3. Die Sensibilisierung: Unterlagen, die der Mitarbeiter im Selbsttraining, am Arbeitsplatz bearbeiten kann, schaffen das erforderliche Level für die Sensibilisierung der Bedrohungs- und Problem-Szene. Von der DSGVO, bis hin zur aktuellen Phishing-E-Mail.

• 4. Technische Hilfsmittel: Perseus stellt unter andrem einen Passwort-Generator zur Verfügung und einen E-Mail-Check. Außerdem gibt es dazu auch den monatlich erscheinenden Newsletter von Perseus.

Dieser Grundservice richtet sich in erster Linie an die Mitarbeiter, denn diese sind es, die von Phishing-Mails attackiert werden und mit virulenten Attachments in ihren E-Mails rechnen müssen.

Einfaches Preismodell

Perseus bietet ein einfaches Preismodell an. Der Basis-Service ist gratis erhältlich und biete alle wesentlichen Basis-Komponenten und einmalige Dienstleistungen. Für 4,80 Euro (zzgl. USt) und bei einer Mindestanzahl von 5 Anwendern, erwirbt man das Premium-Level, der monatlich kündbar ist. Dieser enthält einen telefonischen Support und periodische Überprüfungen, die von Perseus initiiert werden.

Online-Training

Obwohl die IT unser tägliches Leben zunehmend reguliert und formt, haben immer weniger Menschen einen Bezug zur IT Sicherheit. Man akzeptiert einfach, dass man Autotüren per Knopfdruck auf einen Sender öffnen kann, mit Leuten überall auf dem Globus chatten und telefonieren kann und das Onlinebanking einfach funktioniert. Man akzeptiert, ohne meistens auch nur im Ansatz die Technik und Sicherheitsmechanismen dahinter zu verstehen. Dies macht es natürlich für Angreifer leicht, sich dieser Unwissenheit zu bedienen. Etablierte Beispiele wie ein CEO-Fraud, erpresserische Ransomware oder der Datendiebstahl von Finanzdaten beispielsweise für PayPal belegt dies.

Um den Anwender für die Thematik und die Tricks der Cyberkriminellen mehr zu sensibilisieren bietet Perseus ein Online-Training an. Für die Bereiche Datenschutz und Cybersicherheit stehen acht Trainingseinheiten zur Verfügung, die der Mitarbeiter absolvieren kann. Für Cybersicherheit sind dies:

• Was ist Cybersicherheit?

• E-Mail-Echtheitscheck

• Erkennen und melden eines Cyberangriffes

• Ist Ihr Passwort sicher?

• Das Erste-Hilfe-Set: Einen Cyberangriff eindämmen

• Sechs typische Cybersicherheitsfehler

• Sicheres mobiles Arbeiten

• Sicheres Surfen im Netz

Jede Trainingseinheit besteht dabei aus einem Lern-Video und einem nachfolgenden Quiz bzw. einer Lernkontrolle. Hat ein Mitarbeiter alle Daten alle Lerneinheiten abgearbeitet kann ein Perseus-Zertifikat ausgedruckt werden, welches die erfolgreiche Teilnahme bescheinigt.

Perseus unterstützt die Lernbestrebungen auch, durch den Versand von gefälschten Phishing-E-Mails, so dass die Mitarbeiter das erlernte auch in der Praxis austesten können. Die einzelnen Einheiten des Online-Trainings sind nicht für eine spezielle Branche konzipiert, sondern decken gut verständlich und interessant konzipiert, jedwede Zielgruppe ab. Zu beachten ist dabei, dass es sich hier um Basis-Schulungen handelt – tiefergehendes Know-how zu Cybersicherheit, welches beispielsweise in Finanzbereichen oder medizinischen Umfeld erforderlich ist, wird nicht vermittelt.

Ergänzendes zum Thema

Im Gespräch mit Steffen Teske, CEO und Co-Founder Perseus Technologies

Security Insider: Herr Teske, wie kam es zur Gründung von Perseus – bestanden Kontakte in die KMU-Szene, die zeigten, dass viele Firmen mit den Basis-Anforderungen zu IT-Sicherheit überfordert waren?

Steffen Teske: Perseus wurde mit der Mission gegründet, Kleinunternehmen vor den wachsenden Cyberrisiken zu beschützen. Mittlerweile hört man mehrmals die Woche Meldungen über Hackerangriffe gegen Unternehmen, Behörden oder sogar Versorgungsnetze. Selbst der Bundestag und das ZDF waren bereits Opfer eines Cyberangriffs! Gerade kleine Unternehmen laufen Gefahr von Hackern angegriffen zu werden. Auf den ersten Blick erscheinen sie nicht so interessant wie ein Industrieunternehmen. Als Zulieferer sind KMU allerdings häufig in Besitz von sensiblen Daten und Know-How von großen Unternehmen oder eben von personenbezogenen Daten, deren Verlust auch datenschutzrechtliche Konsequenzen haben kann. Auch ist nicht zu unterschätzen, dass wir in Deutschland unter den kleinen und mittelständischen Unternehmen viele Vordenker und versteckte Weltmarktführer, sogenannte Hidden Champions, haben. Ihre Daten sind aus der Perspektive von Wirtschaftsspionage hochinteressant.

Im Gegensatz zu großen Konzernen haben kleine Unternehmen keine eigenen IT-Abteilungen oder Rechenzentren. Auch die Weiterbildung bleibt häufig auf der Strecke. Das macht KMUs zu einem sehr einfachen Opfer von Cyberkriminellen. Dass bei KMU ein Bedarf für mehr IT-Sicherheit besteht, hat der Branchenverband Bitkom bereits 2015 festgestellt. Schon damals war jedes zweite Unternehmen in Deutschland Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl. Dieser Meinung waren auch unsere Investoren, die Hannover Rück und finleap.

Security Insider: Was sind die Hauptprobleme Ihrer Kunden? Verdächtige E-Mails, unerklärliche Probleme am Arbeitsplatz oder Cyberattacken um beispielsweise Geld zu erpressen oder betriebliches Know-how zu stehlen?

Teske: Häufig bestehen Ängste auf betrügerische E-Mails, sogenanntes Phishing, hereinzufallen. Durch die vermehrten Medienberichte über Hackerangriffe wächst nicht nur die Sensibilität für dieses Thema, was ich begrüße, sondern auch die Angst vor Hackern.

Was für die Privatperson der Diebstahl von Bankdaten ist, ist für den Unternehmer ein Ransomware-Angriff. In diesen Fällen erpressen Hacker Unternehmen, indem sie die Firmendaten verschlüsseln und ein Lösegeld für die Freigabe der Daten fordern. Erfolgt keine Lösegeldzahlung, dann drohen sie damit, die Daten verschlüsselt zu lassen oder gar zu zerstören. Für einen kleinen Betrieb kann das schnell die gesamte Existenz bedrohen. In unseren Schulungen empfehlen wir immer externe Datensicherungen durchzuführen. Um auf die unangenehmen finanziellen Folgen eines Betriebsausfalles vorbereitet zu sein, lohnt sich auch der Abschluss einer Cyberversicherung. Eine solche Police deckt häufig die Kosten eines Betriebsausfalles ab sowie für die IT-Forensik und Datenwiederherstellung.

Security Insider: Welche Erweiterungen planen Sie derzeit? Sind mehr Dialogmodule für das User-Training oder Tools für den Werkzeugkasten geplant? Oder haben Sie neue Ideen?

Teske: Unsere Entwickler arbeiten natürlich fleißig an neuen Produktideen und Features. Seit kurzem bieten wir eine IT-Sicherheitsprüfung auf unserer Website an. Damit erhalten Unternehmen eine Kurzanalyse über mögliche Sicherheitslücken in deren IT-Struktur. Dazu müssen sie lediglich ihre Website angegeben.

Zu unserer Arbeit gehört es auch, Berichte über Cyberangriffe genau zu analysieren und daraus Anpassungen für unsere fingierten Phishing-Mails abzuleiten. Mit diesen Mails testen wir das Wissen unserer Clubmitglieder - und regen sie dazu an, beim Thema Cybersecurity auf der Hut zu bleiben. Zu unseren anderen Ideen können wir gerade noch nicht so viel verraten.

Security Insider: Was war in den letzten sechs Monaten die größte Herausforderung für Perseus?

Teske: Auf jeden Fall war das Inkrafttreten der DSGVO eine große Herausforderungen! Im positiven wie im negativen Sinne. Ansonsten kämpfen wir wie jedes Startup mit dem Fachkräftemangel im IT-Bereich. Wir haben viele Stellen ausgeschrieben und freuen uns über jede Bewerbung!

Der Werkzeugkasten

Hier handelt es sich um eine kleine Toolsammlung, die gegenwärtig aus zwei Tools besteht. Diese sind ein Passwort-Generator und ein E-Mail-Scanner.

Der Passwort-Generator erzeugt aus einem Merksatz ein Passwort, indem die Anfangszeichen extrahiert werden. Aus „Mein Passwort ist Otto!“ wird so ein „MPiO!“ – eine Vorgehensweise, die von Experten empfohlen wird um sich leichter Passworte zu merken bzw. ableiten zu können. Allerdings wird bei steigender Passwort-Anzahl die Nutzung auch komplizierter, da man sich merken muss, welcher Satz mit welchem Dienst verknüpft wurde.

Der E-Mail-Scanner kommt dann zum Einsatz, wenn ein Anwender einmal Bedenken hat, eine E-Mail zu bearbeiten bzw. die Dateianlage zu öffnen, da sie verdächtig erscheint. In diesem Fall kann er diese Nachricht an Perseus weiterleiten, um dort die Sicherheit der Dateianlagen und die Identität verdächtiger Absender überprüfen zu lassen (Kein Spam-Check!). Das Ergebnis der Überprüfung wird per E-Mail dem E-Mail-Einreicher mitgeteilt. Die Details, wie Perseus prüft und welche Tools dazu verwendet werden, sind öffentlich nicht zugänglich.

Der Notfall- und Kunden-Service

Die beiden Bestandteile des Perseus-Angebots haben den Anwender im Visier. Perseus hat hier eine eigene Hotline, an die sich die Kunden wenden können, um Fragen oder Probleme zu erörtern. Im Notfall, also bei einem konkreten Cyberangriff oder dem Verdacht eines solchen, steht Perseus auch bereit. Per Telefon oder E-Mail kann man Support anfordern. Dieser wird dann zusammen mit dem Anrufer versuchen, die Angriffswege zu identifizieren, den Vorfall zu analysieren und entsprechende Schutz-Maßnahmen zu empfehlen.

Sofern es sich um einen größeren Vorfall handelt, bei dem beispielsweise Rechtsgutachten oder eine forensische Datenanalyse erforderlich ist, empfiehl Perseus Partnerfirmen vor Ort, die dies optional durchführen können. Der Kunde erhält aber immer eine Falldokumentation, die Erkenntnisse, durchgeführte Aktivitäten und ergänzende Maßnahmen aufführt. Das ganze innerhalb von vierundzwanzig Stunden, damit der Kunde zeitnah reagieren kann und ggf. Geschäftspartner informiert oder additive Security-Controls implementieren kann.

Der Vorteil dieses Notfall-Services ist es, das erfahrene Mitarbeiter von Perseus, dem Kunden beistehen, den Vorfall richtig einzuschätzen. Denn es kann leicht geschehen, wenn man einen Vorfall falsch beurteilt, dass man dadurch den Schaden noch vergrößert.

Zusammenfassung

Für kleine und mittelständische Unternehmen, die auf eine funktionierende IT angewiesen sind, bietet Perseus einen bezahlbaren Security-Basisservice. In Kombination mit einem zusätzlich zu beauftragenden Datenschutzbeauftragten kann man einigen aktuellen Herausforderungen gut gewappnet begegnen.

(ID:45678734)