KnowBe4 wurde 2010 in den USA gegründet und beschäftigt mittlerweile fast 1000 Mitarbeiter weltweit. Seit 2018 ist das Unternehmen auch in Deutschland vertreten. Es bietet die weltweit umfangreichste Plattform für Security-Awareness-Trainings und Phishing-Tests an. Nicht zuletzt durch die verteilte Arbeitsweise aufgrund der Pandemie suchen Unternehmen neue Wege, ihre Nutzer vor den aktuellen Security-Gefahren zu schützen. Dabei geht es nicht nur um einmalige Weiterbildungen, sondern um einen permanenten Awareness-Prozess. KnowBe4 möchte hier das Risiko mit regelmäßigen Tests und Trainings reduzieren und mit einer sogenannten Human-Firewall die Angriffsoberfläche reduzieren.

Grundsätzlich steht das "KnowBe4 Security Awareness Training" in vier Levels zur Verfügung: Silver, Gold, Platinum, Diamond. Die Varianten unterscheiden sich im Umfang der enthaltenen Tests und Trainings, aber auch bei den zusätzlichen Tools und erweiterten Funktionen. Bei den Inhalten stehen zum Beispiel im Silver-Level zehn Module zur Verfügung, während es im Diamond-Status 147 gibt. Auch die Anzahl der Videos unterscheidet sich je nach Level sehr stark. Sie starten bei acht Videos bei Silver und reichen bis 466 bei Diamond. Insgesamt stehen über 1000 Trainingsinhalte in über 34 Sprachen zur Verfügung.

Eine kostenlose Testversion ist leider nicht verfügbar. KnowBe4 zeigt Interessenten stattdessen in einer Live-Demo die Möglichkeiten der Plattform auf. Einzig der "ModStore" bietet ein "ModStore Preview Portal", für das sich jeder registrieren kann, um sich die gesamte Library anzuschauen. Für unseren Test haben wir uns die Diamond-Version im Rahmen eines bezahlten Abonnements angeschaut. Eine Versionsnummer ist nicht ersichtlich. Die Plattform wird permanent weiterentwickelt und Änderungen zu Funktionen oder den Inhalten sind im Change-Log online dokumentiert.

Nach dem Start mit KnowBe4 durchliefen wir zunächst ein spezielles Webinar, um die Konfiguration und die Umgebung kennenzulernen. Darüber hinaus stehen verschiedene Guides, wie der "Quickstart Implementation Guide" oder der "Best Practices Guide" in der sehr umfangreichen Knowledge Base zur Verfügung. Diese Artikel erleichterten uns den Einstieg in die "Kevin Mitnick Security Awareness Training Plattform (KMSAT)". KMSAT ist eine Abkürzung für das Awareness-Programm, über das wir immer wieder stolperten, wobei der Namensgeber Kevin Mitnick nur selten persönlich in der Dokumentation auftritt. Kevin Mitnick war einer der meistgesuchten Hacker der Welt und ist mittlerweile als Chief Hacking Officer bei KnowBe4 im Einsatz.

Für eine geplante und dauerhafte Implementierung unterstützt das "Automated Security Awareness Program (ASAP)" bei der Einrichtung eines langfristigen Programmes für Unternehmen. Nach einem kurzen Fragenkatalog wurde uns eine Aufgabenliste in einem zeitlichen Verlauf erstellt, die alle Schritte zur Einführung enthält. Wie bereits erwähnt, steht das KnowBe4 in mehr als 34 Sprachen zur Verfügung, das heißt aber nicht, dass alle Trainings oder Anleitungen in allen Sprachen vorhanden sind. Dies zeigt sich auch in der Knowledge Base. Darin gibt es viele deutsche Artikel, aber es sind längst nicht alle Artikel übersetzt, weshalb es zu empfehlen ist, die Hilfe auch in der Hauptsprache Englisch zu erkunden, um keine wichtigen Artikel zu übersehen.

Nach der Anmeldung in die Trainingsplattform empfing uns zunächst ein Dashboard mit einem Topmenü und den Einträgen "Dashboard", "Phishing", "Training", "Vishing", "USB", "Users", "ASAP", "Second Chance", "ModStore" und "Reports". Der Administrationsbereich war zum Testzeitpunkt in den Sprachen Englisch, Portugiesisch und Japanisch verfügbar und wir haben uns für Ersteres entschieden. Im Dashboard bekamen wir zunächst alle wichtigen Informationen grafisch angezeigt. Prominent platziert ist hier der "Risk Score" des Unternehmens im zeitlichen Verlauf. Dieser setzt sich aus den Risikobewertungen der einzelnen Nutzer und des Unternehmens zusammen. Dabei erhält jeder Benutzer einen eigenen Score. Dieser persönliche Wert basiert auf verschiedenen Faktoren. Dazu gehören die Fragen, wie wahrscheinlich es ist, dass der Benutzer Ziel eines Phishing- oder Social-Engineering-Angriffs wird, wie er auf diese Art von Ereignissen reagiert und wie schwerwiegend die Folgen wären.

Darüber hinaus erhielten wir den Status und das Ergebnis der Phishing-Kampag-nen der letzten sechs Monate angezeigt. Das Ergebnis wird dabei auch mit einem Industrie-Benchmark verglichen, wodurch IT-Verantwortliche das Ergebnis besser in ein Verhältnis setzen können. Über die Einträge "Phishing", "Vishing" und "USB" lassen sich die entsprechenden Tests in den verschiedenen Bereichen erstellen. Die Konfigurationsmöglichkeiten darin sind sehr überschaubar und wir haben uns hier sehr schnell zurechtgefunden. Beim Eintrag "Second Chance" handelt es sich um ein Tool für Outlook and Microsoft 365, das Nutzer warnt, bevor sie eine potenziell unsichere oder unbekannte Website besuchen. Der bereits angesprochene "ModStore" enthält die Inhaltsbibliothek für die Trainings und die Nutzer werden im Bereich "User" konfiguriert.

Eine der ersten Aufgaben ist das Anlegen der Benutzer in KnowBe4. Hierfür wechselten wir zunächst in den Bereich "User". Neue Anwender konnten wir dann über den Reiter "Import User" schnell erfassen. Dabei lassen sich mehrere Nutzer über ein Textfeld oder eine CSV-Datei einrichten. Da die Benutzer einen eigenen Login benötigen, konnten wir hier auch ein Startkennwort festlegen, was aber nicht empfohlen ist. Die Einrichtung des Kontos erfolgt im Rahmen der ersten Kampagne mit einer eigenen Willkommens-E-Mail. In den Einstellungen eines Nutzers sind nur wenige Anpassungen möglich. Es lassen sich unter anderem die Sprache und Arbeitszeiten festlegen. Letzteres dient als Rahmen für den Versand von Nachrichten. Darüber hinaus können Administratoren mit einem "Risk Booster" die Risikobewertung eines Benutzers erhöhen oder verringern.

Alternativ zum manuellen Anlegen lässt sich auch ein Active Directory anzapfen, sowohl lokal als auch in der Cloud in Form eines Azure AD. Eine ausführliche Beschreibung unterstützt bei der Einrichtung. Damit sich Benutzer auch keine weiteren Kennwörter merken müssen, unterstützt die Plattform verschiedene Single-Sign-on-Anbieter. Dies lässt sich ebenfalls in den "Account Settings" unter dem Menüeintrag "Account Integration" konfigurieren.

Bevor nun die ersten Phishing-Tests starten, gilt es noch, den eigenen Anti-Spam-Filter zu konfigurieren. Andernfalls würden die Testnachrichten gegebenenfalls in der Quarantäne hängen bleiben. Um dieses Problem zu umgehen, bietet KnowBe4 in Richtung Microsoft 365 die "Direct Message Injection" an, kurz DMI. Die Funktion umgeht E-Mail-Filterregeln und legt Nachrichten direkt in den Posteingängen der Nutzer ab. Die DMI-Applikation wird dabei in Azure autorisiert und als Unternehmensanwendung mit dem Microsoft-365-Konto verknüpft. In Folge kann DMI über die API von Exchange Web Services (EWS) simulierte Phishing-E-Mails direkt in die Postfächer der Nutzer einspielen. Die Einrichtung hat in unserer Testumgebung ohne Problem funktioniert. Eine neue Phishing-Kampagne lässt sich dann über den Button "Create Phishing Campaign" unter dem Menüpunkt "Phishing" schnell einrichten.

Die Kampagne kann einer Gruppe oder allen Usern zugewiesen werden. Gefallen hat uns, dass dies nicht nur als einmalige Aktion, sondern als sich wiederholende Aufgabe planbar ist. So lassen sich Phishing-Tests auch wöchentlich, monatlich oder quartalsweise durchführen. Weiter ist genau bestimmbar, wann die Nachrichten rausgehen – entweder alle zur gleichen Zeit oder individuell in einem Zeitraum. Letzteres erschwert den internen Buschfunk, der vor einer aktuellen Phishing-Kampagne warnt.

Die spannendste Konfiguration ist die Auswahl der E-Mail-Vorlage. Hier lassen sich interessante Vorlagen für sehr prominente Firmen, wie Zoom, Teams oder DHL, nutzen. Bei sich wiederholenden Tests unterstützt "AIDA" im Diamond-Level. Der "Artificial Intelligence Driven Agent" wählt dabei automatisch passende Phishing-Sicherheitsvorlagen für die Benutzer aus. Hierfür analysiert er die individuellen Benutzerdaten und sendet dann personalisierte Phishing-Tests raus.

Einzelne Vorlagen lassen sich über den "Preview"-Button prüfen und nachvollziehen. Zur Wahl standen über 10.000 Templates, wobei sich auch eigene erstellen lassen. Klickt ein User auf einen Link, landet er auf einer zuvor konfigurierten Landing-Page. Angefangen von einfachen 404-Meldungen "Seite nicht erreichbar" bis hin zu Hinweisen, dass der Empfänger auf einen Phishing-Test hereingefallen ist. Insgesamt standen uns hier allein 189 Landing-Pages zur Verfügung. Sollte das nicht ausreichen, können Admins aus den vorhandenen Vorlagen personalisierte Seiten entwerfen.

Nach dem Speichern der Kampagne ist diese in den aktiven Campaigns zu sehen. In dem Bereich "Phishing" unter "Reports" erhielten wir ausführliche Information, wieviele Tests versendet wurden und wer auf eine Test-E-Mail geklickt hat. Auch per E-Mail fühlten wir uns als Administrator mit Statistiken gut versorgt. Die Ergebnisse des ersten Phishing-Tests bilden den Ausgangspunkt und ermöglichen es, den Erfolg eines Awareness-Programms im Laufe der Zeit zu messen. Das Ziel ist es, den Prozentsatz an Klicks durch Trainings so weit wie möglich zu senken.

Neben den ausführlichen Phishing-Tests haben wir uns im nächsten Schritt mit dem Know-how-Transfer beschäftigt. Die Verwaltung der Mitarbeitertrainings findet ebenfalls in Campaigns statt. Um eine neue Kampagne zu starten, wechselten wir in den Eintrag "Training" und über "Create Training Campaign" begannen wir mit der Einrichtung. In der Campaign waren wieder Informationen zu den Empfängern und zum Zeitraum zu definieren. Nutzer, die ein Training erfolgreich abgeschlossen haben, lassen sich in Gruppen aufnehmen beziehungsweise entfernen. Auf diese Weise können Admins Kampagnen zu Phishing-Tests und anderen Trainings flexibel verknüpfen.

Der wichtigste Aspekt des Trainings ist der Content. Dieser muss zunächst im Bereich "ModStore" ausgewählt und der eigenen Library hinzugefügt werden, um diese in einer Trainingskampagne nutzen zu können. Bei der Fülle an Inhalten bedarf es einer guten Planung, welche Trainings zur Anwendung kommen, und vor allem Zeit, um sich einen Überblick über diese zu verschaffen. Hier unterstützt KnowBe4 unter anderem mit einem "ModStore and Library Guide" und versucht, dem Administrator mit empfohlenen Trainings die Suche zu erleichtern. Trotzdem fühlten wir uns bei der Masse an Einträgen zunächst etwas überfordert. Grundsätzlich stehen im "ModStore" verschiedene Inhaltstypen zur Verfügung. Angefangen mit "Postern" über "Newsletter and Documents", "Assessments", deren Ergebnisse wiederum Aufschluss über den Trainingsbedarf liefern, "Games", "Videos" bis hin zu interaktiven "Training Modules" und "Mobile-First Modules", die für mobile Geräte ausgelegt sind.

Über die Suche im "ModStore" lässt sich der Inhalt sehr gut filtern. Nachdem wir einen Content gefunden haben, ließ sich dieser über eine Vorschau anzeigen und zur eigenen Library hinzufügen. Im Anschluss haben wir den Inhalt dem Training hinzugefügt. Anders als bei einer Phishing-Campaign bietet die Trainingskampagne umfangreiche Benachrichtigungsmöglichkeiten. Hier konnten wir vor, während und nach einer Campaign automatisch Nachrichten an Nutzer, Manager und Admins senden. KnowBe4 bietet wieder einen Fundus an Vorlagen für die Benachrichtigungen, damit sich Administratoren hier nicht zu viele Gedanken machen müssen. Die Vorlagen selbst lassen sich wieder individualisieren und an das Unternehmen anpassen.

Sind Nutzer einer Kampagne zugeordnet, bekommen sie je nach Konfiguration einen Link zur KnowBe4-Plattform zugesendet. Nach einer Anmeldung auf der Website lassen sich die zugewiesenen Trainings abarbeiten. Die Seite ist dabei über die Farbe und ein Logo leicht an das Unternehmen anpassbar. Je nach Konfiguration der Sprache im Nutzerprofil lässt sich die Seite entsprechend lesen. Nach Abschluss eines Trainings kann sich der Nutzer über das Portal auch ein Teilnahmezertifikat erstellen. Bei der Vielzahl an Inhalten, an denen ein User im Laufe der Zeit teilnimmt, können so einige Zertifikate zusammenkommen. Gefehlt hat uns die Möglichkeit, Zertifikate an eine Kampagne zu knüpfen und nicht nur an deren einzelne Inhalte.

Zu einem Awareness-Programm gehören neben Trainings und Tests auch regelmäßige Informationen und Newsletter. Hier bietet KnowBe4 einen eigenen Inhalt, der ständig aktualisiert wird. Dieser "Scam of the Week"-Newsletter lässt sich in eine Phishing-Kampagne einbinden, sodass Mitarbeiter regelmäßig etwas zum Lesen erhalten.

Um die User etwas mehr zur Mitarbeit zu begeistern, kommt KnowBe4 um eine Gamification nicht herum. In den "Accounts Setting" lässt sich unter anderem die Nutzung von Batches aktivieren. Die ersten Abzeichen "Cyber-Held", "Blitzschnell" und "Neuer Rekrut" haben wir schnell erhalten. Weiter lassen sich über "Leaderboards" auch Team-Challenges einrichten und kleine Wettbewerbe erstellen, welches Team als Erstes beziehungsweise die meisten Trainings abgeschlossen hat.

Wir haben uns im Rahmen des Tests die wichtigsten Funktionen von KnowBe4 angeschaut, doch die Plattform bietet noch einiges mehr. So lassen sich über "Vishing Campaigns" – abgeleitet von Voice Phishing – Nutzer anrufen und vertrauliche Daten erfragen. Weiter lassen sich präparierte USB-Sticks erstellen und verteilen, um nachzuvollziehen, wie Mitarbeiter mit gefundenen USB-Sticks umgehen. Insgesamt hat uns das Awareness-Training von KnowBe4 sehr gut gefallen. Es bietet durch sehr umfangreiche Inhalte die Möglichkeit für eine dauerhafte Schärfung des Sicherheitsbewusstseins der Mitarbeiter einer Organisation. Sicherheitsprobleme in Form von Social Engineering, Spear Phishing und Ransomware-Angriffen lassen sich dadurch besser bewältigen.