„Ich war schon immer ein Exot“, sagt Niklas Hellemann und lehnt sich in seinem Drehstuhl im verglasten, vierstöckigen Hauptquartier der Sosafe GmbH in Köln-Ehrenfeld zurück. Als promovierter Psychologe sei er früher schon als Unternehmensberater bei der Boston Consulting Group aufgefallen. Nun tut er es erneut in der IT-Welt, indem er Netz-Kriminelle bekämpft.

Hellemann hat vor viereinhalb Jahren zusammen mit dem Programmier-Talent Felix Schürholz und BWLer Lukas Schaefer, ebenfalls ehemaliger Berater, ein Cybersecurity-Startup gegründet. Heute bedient Sosafe über 4.000 Kunden, darunter Aldi Nord, Energieversorger Vattenfall, die Mediamarkt-Mutter Ceconomy, den Fußballverein Schalke 04 sowie die Drogeriemarkt-Kette Rossmann.

Im Gegensatz zu anderen Startups wie VMRay, die mittels Röntgen-KI Hackerangriffe abwehren, oder Edgeless Systems, die Daten sicher in der Cloud verschlüsseln, konzentriert sich Sosafe nicht darauf, einen technischen Schutzwall zu errichten. Die Kölner legen ihren Fokus bewusst auf den Menschen. Sosafe will Mitarbeiter trainieren, damit sie gefälschte E-Mails zum Abgreifen von Zugangsdaten, sogenanntes „Phishing“, schneller erkennen. Der Ansatz ist psychologisch: Hacker nutzen menschliche Verhaltensmuster und Emotionen wie Hilfsbereitschaft und Ungeduld aus. Sie gehen dabei organisiert und wirtschaftlich vor wie Unternehmen. Um sie zu bekämpfen, müssen Endnutzer also zu besseren Psychologen werden.

Startup täuscht Cyber-Angriffe vor

Eine goldene Regel, anhand derer sich E-Mails von Cyber-Kriminellen enttarnen lassen, gibt es laut Hellemann nicht. Vielmehr gehe es um Erfahrung. Sosafe setzt bei seinen Trainings daher auf eine Kombination: Theoretische Inhalte sollen zunächst spielerisch „in kleinen Häppchen“ durch dreiminütige Lern-Nuggets und kurze Quizfragen vermittelt werden. Die Lernplattform können Unternehmen in ihr eigenes Cloud-System integrieren. Praktische Übungen sollen die Learnings dann vertiefen. Dazu simuliert das Startup Cyber-Attacken: Über das Jahr verteilt verschickt Sosafe zufällig Phishing-E-Mals an Beschäftigte im Unternehmen. Fällt ein Mitarbeiter darauf rein, folgt statt einer Bestrafung eine Lerneinheit. Die User bekommen etwa aufgezeigt, an welchen Anzeichen sie die gefälschte E-Mail hätten erkennen können. „Endnutzer sind dann besonders aufmerksam“, sagt der Verhaltenspsychologe.

Um „echte“ Angriffe tatsächlich zu verhindern, hat Sosafe zudem ein Melde-Tool eingeführt. Haben Beschäftigten ein komisches Gefühl, können sie E-Mails mit dem sogenannten „Phish-Assist“ scannen. Das System zeigt an, ob Sprache oder angehängte Dateien auffällig sind. Im Anschluss überprüft das Security-Team den Verdacht. Hellemann zufolge liege die Melderate bei ihren Kunden zwischen 80 und 90 Prozent. Neuerdings unterstützt User auch der Chat-Bot „Sofie“, indem er nützliche Tipps gibt. Sicherheits-Beauftragte nutzen das Tool derweil, um Beschäftigte bei Cyberbedrohungen schnell zu informieren. Seine Software bietet das Startup in drei verschiedenen Service-Paketen an, die Preise richten sich dabei nach der Anzahl der Mitarbeiter.

„Das Paradigma in der Cybersecurity war anfangs, Attacken vorherzusehen und diese Tür technisch zu schließen“, sagt Hellemann. „Die Angreifer sehen das aber gelassen. Sie nehmen einfach eine andere Tür.“ Ihre Taktiken ändern sich somit stetig. Während früher vor allem über E-Mail-Anhänge Schadsoftware verschickt worden sei, würden Angreifer heute auch gefakte Landing-Pages erstellen, durch wiederholte SMS-Nachrichten Authentifizierungs-Token ergaunern und sich in E-Mails als CEOs ausgeben. So wollen sie Mitarbeiter schnell dazu bewegen, hohe Geldbeträge ins Ausland zu überweisen. Um Informationen zu sammeln, riefen Betrüger vorab oftmals bei Beschäftigten an.

Zudem vermische sich das Berufliche verstärkt mit dem Privatem, etwa durch Fake-Profile bei Linkedin. Mittendrin steht immer der Mensch. „Nur technisch lassen sich die Angriffsflächen nicht herausfiltern“, betont der Gründer. So konnte etwa ein Mitarbeiter der Plattform Reddit im Februar 2023 größere Schäden verhindern, als er zwar auf eine Phishing-Mail klickte und seine Anmeldedaten preisgab, den Hack-Vorfall aber bemerkte und dem Sicherheitsteam sofort meldete.

Cyber-Kriminalität kostet deutsche Wirtschaft über 200 Milliarden Euro

Bei anderen Unternehmen wie Uber, Reifenhersteller Continental, dem Dortmunder IT-Dienstleister Adesso, der mitunter das Innen- und Verkehrsministerium des Bundes betreut, oder dem Vergleichsportal Verivox wurde der Datenklau erst dann entdeckt, als Netzangreifer längst in die Systeme eingedrungen waren. Neben dem Reputationsverlust gehen die Kosten, die den betroffenen Firmen entstehen, in Millionenhöhe.

Laut einer Studie des Digitalverbands Bitkom hat die deutsche Wirtschaft durch Cyber-Kriminalität im Jahr 2022 einen finanziellen Schaden von mehr als 200 Milliarden Euro eingebüßt. Fast jedes Unternehmen sei betroffen. Insgesamt wurden der Polizei im vergangenen Jahr nach Zahlen des Bundeskriminalamts rund 137.000 Fälle von Cybercrime gemeldet – damit 6,5 Prozent weniger als 2021. Die Behörde geht allerdings von einer hohen Dunkelziffer aus. Neben Phishing gehören Angriffe mit Ransomware zu den häufigsten Vergehen. Dabei dringen Hacker in IT-Systeme ein und verschlüsseln Daten. Für die Entschlüsselung fordern die Erpresser Lösegeld.  

Zudem steigen die aus dem Ausland verübten Cyber-Angriffe, etwa aus Russland – verstärkt durch den Ukraine-Krieg – sowie aus China und Nordkorea. Bitkom-Präsident Achim Berg weist darauf hin, dass die Abgrenzung zwischen kriminellen Banden und staatlich gesteuerten Gruppen zunehmend schwerfalle. Letztere nutzen Datendiebstahl sowohl für ihre politische Agenda als auch für wirtschaftliche Interessen.

Sosafe-Gründer Hellemann stimmt zu. Ihm zufolge hielten sich staatliche Akteure und organisierte Gangs die Waage. Geopolitische Konflikte und globale Unterschiede würden dazu beitragen, dass sich das Problem verschärfe und die Skrupellosigkeit zunehme. „Das ist nicht immer nur Spionage, die Länder über Cyberattacken betreiben“, sagt der Psychologe. „Viele holen sich über Lösegeld in Form von Kryptowährung harte Währung ins Land, weil sie keine funktionierende Wirtschaft haben.“

ChatGPT für Hacker: Phishing-Mails werden besser und leichter skalierbar

Die offiziell registrierten Cyberstraftaten nennt Hellemann „nur die Spitze des Eisbergs.“ Er beobachtet, dass sowohl die Anzahl der Angriffe als auch die Varianten von Malware insgesamt zunehmen. Das hat auch mit dem Aufkommen von künstlicher Intelligenz zu tun. Analog zum Sprachassistenten ChatGPT hat das Darknet zwei KI-Modelle für Hacker hervorgebracht: Sie heißen WormGPT und FraudGPT. Für kriminelle Gruppen haben die Tools vor allem den Vorteil, ihr Betrugsgeschäft zu skalieren: So können Hacker in kürzerer Zeit eine größere Menge an Phishing-Mails erstellen und ebenso die sprachliche Qualität durch bessere Übersetzungen erhöhen. „Die Geschichten werden überzeugender und für technische Abwehrsysteme schwieriger zu durchschauen“, sagt Hellemann. Auch Beschäftigte könnten nun vermehrt auf Angriffe hereinfallen.

Der Gründer ist sicher, dass der Bedarf für Cyber-Trainings daher weiter zunehmen wird. Die Nachfrage nach der Sosafe-Lösung wachse stetig, so Hellemann. Gerade die Pandemie, der Übergang zu Remote Work und die Einführung neuer Kommunikationstools habe zu einem starken Kundenanstieg geführt. Inzwischen beschäftigt das Startup rund 370 Mitarbeiter und betreibt neben dem Kölner Standort Büros in Berlin, Amsterdam, London und Paris. In den kommenden Monaten will Sosafe seine Expansion in Europa weiter vorantreiben.

Rocket Internet und SAP beteiligen sich an Sosafe

Zuletzt sammelten die Gründer im Januar 2022 rund 73 Millionen US-Dollar bei Investoren ein, umgerechnet rund 68 Millionen Euro,. An dem Startup beteiligen sich unter anderem Oliver Samwers Fonds Rocket Internet, die SAP-Tochter Hybris, Acton Capital und der Berliner VC La Famiglia. Über Umsatzzahlen spricht Hellemann generell nicht. Trotz schnellen Wachstums in weniger als fünf Jahren schreibt das Kölner Unternehmen, das sich weltweit als Nummer zwei im Cybersecurity-Markt sieht, noch hohe Verluste. Laut dem jüngsten Geschäftsbericht fuhr das Startup 2021 ein Minus von 9,2 Millionen Euro ein.

Die Aussieht, dass zum einen komplexe Angriffe durch KI zunehmen werden und zum anderen einfache Attacken massenhaft auftreten werden, dürfte den Kölnern Rückenwind geben. Für Unternehmen wird die Gefahr durch Cybercrime immer realer: Erst kürzlich ergab eine Bitkom-Umfrage unter 380 deutschen Unternehmen, dass über die Mehrheit mit einem Cyberangriff in den nächsten zwölf Monaten rechnet. Weniger als die Hälfte sieht sich dafür gut gerüstet.

„Es passiert vor allem durch Schmerz“, sagt Hellemann. „Die Erfahrung, selbst gehackt zu werden oder dass ein Wettbewerber gehackt wird, lässt Unternehmen reagieren.“ Auch das habe eine psychologische Ursache: Das Präventionsparadox, sich erst dann zu kümmern, wenn es schon richtig weh tut.