Hallo Johannes! Du hast deine Ausbildung bei 8com absolviert und bist jetzt festes Team-Mitglied. Warum hast du dich damals für 8com als Ausbildungsbetrieb entschieden?
Der Auslöser war eigentlich ein Schülerpraktikum, das ich mal bei 8com gemacht hab. Das fand ich so cool, dass ich mich nach meinem Abitur für eine Ausbildung hier beworben hab. Der Einstieg war dann auch sehr angenehm. Ich mag die Atmosphäre hier, außerdem übernimmt man von Anfang an Verantwortung, was ich als sehr motivierend empfunden habe. Es gab aber auch immer jemanden, der mich an die Hand genommen hat, wenn mal was unklar war.
Du arbeitest als Event & Awareness Audit Manager. Was sind deine täglichen Aufgaben?
Zum einen mache ich das Tagesgeschäft im Event Management. Ich plane also mit den Kollegen und den Kunden unsere Live-Hacking-Vorträge und bereite alles so weit vor, dass unsere Referenten am Tag X direkt loslegen können. Dazu stimmen wir im Vorfeld Themen, Location, Technik und so weiter ab. Zum anderen betreue ich unsere Phishing Tests, mit denen wir das Awareness-Level unserer Kunden prüfen.
Wie genau funktioniert so ein Phishing Test?
Bei einem Phishing Test verschicken wir in der Regel über einen längeren Zeitraum drei manipulierte E-Mails an die Mitarbeiter unserer Kunden und messen anonym, wie viele Empfänger darauf reagieren. So gehen ja auch Cyberkriminelle vor, nur dass sie im Gegensatz zu uns echten Schaden damit anrichten. In der ersten Mail locken wir mit einem Geschenkgutschein und prüfen, wer auf einen unbekannten Hyperlink klickt. Die zweite Mail stammt angeblich von einem Unternehmen, das mit dem Kunden zusammenarbeitet und bietet eine Datei zum Download an. Die dritte Mail ist dann die schwierigste, sie stammt nämlich scheinbar von einem internen Absender mit echter Signatur und fordert z. B. dazu auf, das Windows-Passwort wegen einer Sicherheitsprüfung in ein Web-Formular einzugeben.
Das klingt spannend! Wie schneiden die Kunden denn so ab?
Meistens leider schlechter, als sie selbst im Vorfeld erwarten. Je nach Schwierigkeitsstufe gehen uns etwa fünf bis 15 Prozent der Empfänger auf den Leim, es gibt aber auch Ausreißer von bis zu 60 Prozent. Das ist dann schon sehr erschreckend, wenn man bedenkt, dass unter realen Bedingungen eigentlich schon eine Person ausreicht, damit es gefährlich wird.
Solche Ergebnisse zu überbringen, ist bestimmt nicht angenehm. Wie reagieren die Kunden darauf?
Meistens schockiert, es gibt aber auch Kunden, die damit rechnen. Aber bis auf zwei Ausnahmefälle, die wirklich richtig gut abgeschnitten haben, hat sich noch keiner gefreut (lacht). Der Phishing Test soll ja prüfen, wie sicher ein Unternehmen auf menschlicher Ebene aufgestellt ist. Wenn man es richtig anstellt, reagiert man auf schlechte Ergebnisse mit Awareness-Maßnahmen, um gegenzulenken. Da stehen wir dann beratend zur Seite und können ja auch einiges anbieten, von Live-Hacking-Vorträgen über Trainings bis zu unserem Awareness-Portal. Am Ende liegt die Entscheidung, wie es weitergeht, aber natürlich beim Kunden.
Was macht dir an deinem Job am meisten Spaß?
Tatsächlich die Phishing Tests. Ich bin generell ein Fan von Statistiken und mir macht es super viel Spaß zu sehen, wie die Empfänger bei unseren Tests auf unterschiedliche Bedingungen reagieren und die Unternehmen dann auch miteinander zu vergleichen. Man fiebert natürlich auch ein bisschen mit, dass möglichst wenig Leute reagieren (lacht). Und am Ende weiß man, dass man den Kunden mit diesem Test etwas Gutes tut, auch wenn die Ergebnisse vielleicht erst mal nicht so erfreulich sind. Man hilft den Leuten, sich zu verbessern.
Wie verbringst du deine Feierabende?
Mein größtes Hobby ist Gitarre spielen, ich spiele in einer Metal-Band (lacht). Ansonsten unternehme ich gern was mit Freunden und wenn ich zu Hause bin, zocke ich auch gerne oder schau mir Serien an.