Lawpilots, Berliner Anbieter von E-Learning-Kursen zu Datenschutz, IT-Sicherheit und Compliance, hat sein Portfolio um Schulungen erweitert, die Beschäftigte für die Risiken von Ransomware sensibilisieren sollen. Die ebenso informativen wie unterhaltsamen Online-Kurse bieten neben Aufklärung zu Malware, Phishing und Co. mittels interaktiver Inhalte auch Anleitung zur Reaktion im Ernstfall.
Ein Boxring. Der Ansager stellt dramatisch ins Mikro brüllend die Kontrahenten vor: „In dieser Ecke haben wir Firewalls, Verschlüsselung, Antivirensoftware etc. Und in dieser Ecke haben wir Dave.“ Dave ist ein dümmlich grinsender korpulenter Mann, auf seinem Hemd prangt die Aufschrift „Human Error“ (menschlicher Fehler). John Klossners Cartoon von 2006 ist die wohl bekannteste humoristische Zeichnung zum Thema IT-Security – zurecht, arbeitet sie doch das Kernproblem der IT-Sicherheit heraus: Die schönste und teuerste Technik hilft nichts, wenn doch jemand den Anhang einer verdächtigen E-Mail öffnet und dann – weil Dave eben Dave ist – auf „Makros aktivieren“ klickt.
Allerdings muss man heute kein Dave sein, um plötzlich Dave-artig dumm dazustehen: Niemand ist im stressigen Arbeitstag immer gleich konzentriert und aufmerksam; zudem verfassen manche Angreifergruppen inzwischen durchaus glaubhaft wirkende Phishing-Mails. Das reicht bis zum Spearphishing, das aktuelle Informationen zur Belegschaft aus Social-Media-Recherchen nutzt und mitunter sogar – nach Kapern eines Nutzerkontos – in einen echten E-Mail-Austausch eingreift. Da hat man sich schnell Ransomware eingefangen und ein schwarzes Popup-Fenster informiert über eine Lösegeldforderung für die Entschlüsselung der Unternehmensinterna.
Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft laut aktuellen Bitkom-Angaben jährlich ein Schaden von 203 Milliarden Euro (im Vorjahr waren es 223 Milliarden). 84 Prozent der Unternehmen waren im vergangenen Jahr betroffen, weitere neun Prozent gehen davon aus. Das Spektrum der Angriffe reicht von Industriespionage über DDoS (koordinierte Überlastung der per Internet erreichbaren Unternehmens-Server) bis hin zu BEC (Business E-Mail Compromise, Betrug mittels gefälscher E-Mails) oder eben den teils spektakulären Erpressungsfällen mittels Ransomware. Ransomware-Angriffe haben in zwölf Prozent der Unternehmen Schäden verursacht (im Vorjahr: 18 Prozent). Zum Beispiel waren nach Recherchen von BR und Die Zeit allein dieses Jahr schon über 100 Behörden und öffentliche Einrichtungen Opfer digitaler Erpressung.
Aufklärung tut not
Somit ist es dringend geboten, Beschäftigte über solche Gefahren aufzuklären. Doch nur große Unternehmen können hauseigene Security-Awareness-Kampagnen auf die Beine stellen, nicht aber der mittelständische Automobilzulieferer oder das Krankenhaus. Hier kommen E-Learning-Anbieter ins Spiel: Ihre online verfügbaren und damit skalierbaren Schulungsangebote machen Awareness-Trainings auch der breiten Masse der Unternehmen und Organisationen zugänglich.
Ein Beispiel ist der Berliner Anbieter Lawpilots, gegründet 2017 zunächst mit Fokus auf Datenschutz – ein gutes Timing, stand doch 2018 die verpflichtende Umsetzung der DSGVO ins Haus. Das Unternehmen florierte: „Wir betreuen zirka 1.200 Unternehmen, vom KMU bis zum Konzern wie Siemens, Konica Minolta oder VW“, so CEO Philipp von Bülow im Gespräch mit LANline. „Im Bereich Online-Schulungen für rechtlich-regulatorische Themen sind wir in Europa der Anbieter Nummer eins.“ Lawpilots habe heute 70 Beschäftigte und wachse jährlich um über 100 Prozent.
Letzthin profitierten die Berliner von der Corona-Pandemie mit ihren Lockdowns und dem Home-Office-Trend: „Vor fünf Jahren musste man den Unternehmen noch erklären, was E-Learning ist“, sagt der Lawpilots-Chefpilot. Diese Zeiten seien vorbei: „Während der Pandemie haben die Unternehmen gemerkt, dass sie auf E-Learning umstellen müssen, um ihre Beschäftigten zu schulen – Präsenzschulungen vor Ort waren ja nicht mehr möglich.“ Pandemie hin oder her, der Bedarf wächst: „Die Entwicklung der Regulatorik reißt nicht ab, doch die meisten Unternehmen sind damit überfordert“, so von Bülow.
Datenschutz, IT-Security, Compliance, Arbeitschutz
Inzwischen decken die Berliner neben dem Datenschutz auch Informationssicherheit, Compliance sowie Arbeitsschutz ab. „Einen Großteil des Umsatzes machen wir nach wie vor mit Online-Schulungen zum Thema Datenschutz“, so von Bülow. „Dann kommen IT-Sicherheit und Compliance, Arbeitsschutz ist ein eher kleiner Bereich. Das Segment IT-Sicherheit und vor allem Phishing wächst derzeit deutlich.“ Man führe mittlerweile über 40 Schulungen in 35 Sprachen, da die Kundschaft ihre Beschäftigten in der jeweiligen Muttersprache schulen wolle.
Das Portfolio zur Informationssicherheit umfasst Module wie mobile Sicherheit, sicherer Umgang mit Passwörtern, Abwehr von Phishing, Social Engineering, sicherer Umgang mit Social Media, Nutzung von Cloud-Diensten und neuerdings auch ein Modul zu Ransomware. „Außerdem bieten wir mittlerweile eine Phishing-Simulation“, sagt von Bülow. „Vielen Unternehmen reicht hier eine reine Schulung nicht mehr, deshalb bieten wir das in Kombination mit unseren Online-Schulungen an.“
Die Online-Kurse von Lawpilots sind übersichtlich aufgebaut und unterhaltsam gestaltet – nicht zuletzt dank Fokus auf Storytelling, Gamification sowie Grafiken und Animationen von Cartoon-hafter Klarheit. „Ich bin dafür verantwortlich, dass Datenschutz Spaß macht“, betont von Bülow. „Wichtig ist mir, dass das Top-Management ebenso wie jemand in der Verwaltung eine tolle Zeit hat und sagt: Das würde ich jederzeit meinen Kollegen empfehlen!“ Zu diesem Zweck umfassen die Kurse zahlreiche interaktive Elemente bis hin zu Rollenspielen. Die IT-Security-Schulung zum Beispiel versetzt den Nutzer in die Rolle eines Angreifers, der mittels Social Engineering (Ausnutzen menschlicher Schwächen) ans Ziel kommen will.
Aufklärung allein ist dabei nicht das Ziel: Lawpilots will zudem die besten Handlungsoptionen aufzeigen, zum Beispiel beim neuen Ransomware-Modul: „Das Modul vermittelt, wie man Phishing erkennt, Ransomware identifiziert und vor allem im Ernstfall richtig handelt, zum Beispiel indem man verdächtige E-Mails auf einem anderen Kanal verifiziert“, sagt von Bülow. „Gerade im letzten Punkt unterscheiden wir uns von anderen Security-Awareness-Anbietern.“
Security-Fachleute warnen in letzter Zeit vermehrt vor dem Einsatz künstlicher Intelligenz (KI) zu bösartigen Zwecken, etwa für Fake News – oder um BEC mit manipuliertem Audio- oder Videomaterial auf eine neue Ebene zu heben. Diese Neuerungen haben noch keinen Eingang in die Lawpilots-Kurse gefunden, doch der Anbieter will sie bald aufgreifen: „Das Thema Fake News ist im Zuge des Ukraine-Kriegs in den Fokus gerückt“, so von Bülow. „Dies wird sicher demnächst in unsere Security-Schulungen mit einfließen.“
Mit Wiederholung und Übung zum Erfolg
Von Bülow rät zu jährlichen Auffrischungsschulungen. Lawpilots aktualisiere die Kurse regelmäßig, damit sie der Teilnehmerschaft nicht bekannt vorkommen. Beim Thema Datenschutz gebe es zudem Refresher-Kurse, um die Grundlagen nicht immer wieder neu zu erklären.
Für seine Schulungen nutzt Lawpilots zwar ein eigenes LMS (Lern-Management-System), der Fokus liegt aber eindeutig auf den Inhalten: „Wir sehen uns nicht als LMS-Anbieter“, sagt von Bülow. „Es gibt unsere Lernplattform immer nur in Kombination mit Online-Schulungen.“ Die Hälfte der Kunden schule auf der Lawpilots-Plattform. „Die großen Unternehmen wie Siemens und Co. haben natürlich ihr eigenes System“, ergänzt er.
Wie nicht anders zu erwarten, legt auch Lawpilots selbst beim Betrieb seiner Plattform großen Wert auf Datenschutz: „Wichtig war uns von Anfang an ‚Privacy by Design‘: Die Plattform ist in Deutschland gehostet, wir nutzen auch nur deutsche Anbieter oder europäische, die ebenfalls DSGVO-konform sind“, betont der Lawpilots-CEO. „Wir arbeiten also nicht mit amerikanischen Unternehmen zusammen.“
Laut von Bülow kommen immer neue Themen dazu: Datenschutz in China, Brasilien, den USA, neue Compliance-Themen vom Insider-Handel bis zum Whistleblowing. Er berichtet von vermehrten Anfrage zur IT-Sicherheit im öffentlichen Sektor, weitere wichtige Themen seien ESG (Environmental, Social, and Corporate Governance) vor allem wegen des kommenden Lieferkettengesetzes sowie Sicherheitsrichtlinien im Gesundheitssektor. Als Gestaltungstrend beim E-Learning sieht er die Aufteilung der Inhalte in kleinere Einheiten, dafür aber mit kürzeren Intervallen: „Der Trend geht zu modularem Microlearning, also nicht mehr der eine Kurs pro Jahr mit 60 Minuten, sondern zum Beispiel einmal pro Quartal eine Schulung mit 15 oder 20 Minuten.“
Zum Bestehen der Lawpilots-Schulungen reicht es nicht, sich einfach nur durchzuklicken, wie bei manchen Compliance-Pflichtveranstaltungen. Vielmehr müssen die Teilnehmer am Ende einige Fragen richtig beantworten, um das Zertifikat zu erhalten. Der Arbeitgeber sieht dabei nur, wer Zertifikate erhalten hat, nicht die Zahl der Fehlversuche. Die Angestellten können also mehrere Anläufe nehmen. Wer weiß: Wenn er sich etwas bemüht, erhält diesen Schulungsnachweis eines Tages vielleicht sogar Dave.
Lust auf mehr Artikel dieser Art? Nichts leichter als das! Einfach hier den IT Info 2 Go Newsletter abonnieren! (Achtung: Double-Opt-in wg. DSGVO! Es kommt also eine E-Mail mit Link zur Bestätigung, deshalb bitte ggf. Spam-Ordner checken!)
(Dieser Beitrag erschien erstmals in LANline 10/2022.)
Bild: Lawpilots
IT Info 2 Go 