Sicherheitslücke Mensch

Die Gefahr durch Hackerangriffe, Sabotage und Industriespionage steigt stetig an. Besonders kleine und mittelständische Unternehmen müssen sich die Frage stellen: Wie sensibilisiert man Mitarbeiterinnen und Mitarbeiter für mögliche Angriffe und Risiken?

Es passierte alles ganz schnell: Während eines Geschäftsgesprächs reichte die Mitarbeiterin eines Lieferanten ihrem Gesprächspartner einen USB-Stick mit einer Präsentation. Ohne lang nachzudenken, klickte der Mitarbeiter auf die Präsentation. Beim Öffnen der Datei wurde im Hintergrund eine Schadsoftware installiert (eine sogenannte Ransomware), die alle Daten auf dem Firmennetzwerk verschlüsselte und unbrauchbar machte. Kurze Zeit später traf eine Lösegeldforderung ein, gegen deren Zahlung die Daten wieder entschlüsselt würden. So oder so ähnlich ereignen sich Zwischenfälle täglich in deutschen Unternehmen. Auch wenn die meisten dieser Fälle vermeidbar wären, stellen sie seit vielen Jahren das größte Risiko dar, wenn es um Daten- und Informationssicherheit geht. Security Awareness, also das Bewusstsein für Sicherheit sowie für Gefahren, wird darum in einer vernetzten Arbeitswelt zu einer Schlüsselfähigkeit für Mitarbeiterinnen und Mitarbeiter. Im konkreten Beispiel hätte dieses Wissen um die konkrete Gefahr, die etwa von externen Speichermedien ausgehen kann, zum entsprechend richtigen Verhalten geführt: der Weigerung, den USB-Stick zu nutzen.

Der Mensch als Sicherheitsschwachstelle Nummer eins

Wenn es um die Sicherheit von IT-Systemen geht, reichen technische Maßnahmen wie Firewalls längst nicht mehr aus. Mitarbeiterinnen und Mitarbeiter gelten als die entscheidende Verteidigungslinie von Unternehmen und zugleich als größte Schwachstelle für die IT- und Informationssicherheit. Angefangen beim versehentlichen Weiterleiten vertraulicher E-Mails, über Passwörter, die für die Urlaubsvertretung unter der Tastatur hinterlegt werden, bis hin zum unabsichtlichen Überschreiben von Datenbankeinträgen: Derartige Fehler passieren täglich und können große Auswirkungen haben. Im Data Breach Investigations Report von Verizon wird jährlich untersucht, wie es um die Daten- und Informationssicherheit in Unternehmen steht. Laut der jüngsten Erhebung ist der Mensch in 85 Prozent der Fälle für Datenlecks verantwortlich und damit Sicherheitsrisiko Nummer eins.

Auch die regelmäßig durchgeführten Studien des Digitalverbandes Bitkom zum Wirtschaftsschutz zeigen, dass in diesem Bereich Handlungs- und Aufklärungsbedarf herrscht. Insbesondere was das Bild der „Täter“ betrifft, klaffen Wahrnehmung und Realität auseinander. So geht von organisierten Hackergruppen weit weniger Gefahr aus, als landläufig angenommen wird. Die Studie zeigt, dass neben Hobby-Hackern vor allem ehemalige Mitarbeiter für Vergehen wie Datendiebstahl, Industriespionage oder Sabotage verantwortlich sind.

Gefahren werden oft falsch eingeschätzt

In der Realität sehen Cyberangriffe oft anders aus, als dies in Filmen vermittelt wird: Was wäre, wenn jemand aus der IT-Abteilung anruft und von einem akuten Softwareproblem auf dem Server erzählt, das er mit einem Update beheben muss? Damit das System später auch wieder auf allen Arbeitsplätzen läuft, benötigt er dringend das Passwort. Manche würden in so einem Notfall dem angeblichen Administrator das Passwort verraten.

Selbst ganz harmlos erscheinende E-Mails von Kolleginnen und Kollegen mit lustigen Bildern oder Videos im Anhang können dazu genutzt werden, um Schadsoftware zu verbreiten. Im schlimmsten Fall erhalten Angreifer dadurch Zugriff auf das gesamte Firmennetzwerk. Sicherheitsrisiken werden aus unterschiedlichsten Gründen falsch eingeschätzt. Aufklärung über die realen Gefahren und die vielfältigen Sicherheitsrisiken ist darum zentral.

Sicherheitsrisiken sind während der Pandemie gestiegen
Im Zuge der Pandemie hat sich die Gefahrenlage insgesamt verschärft. Einerseits, weil die Digitalisierung in Unternehmen vorangetrieben wurde, andererseits weil sich die Risiken durch das zunehmende Arbeiten im Homeoffice verstärkt haben. Dabei wird der Sicherheitsstandard der privaten Wohnung zu dem des Unternehmens: Wie sicher ist das WLAN-Passwort zu Hause? Werden Smarthome-Geräte verwendet? Sie stellen häufig ein zusätzliches Risiko dar. Auch die Nutzung von privaten Geräten für berufliche Zwecke erhöht die Gefahr, dass vertrauliche oder geheime Informationen versehentlich an Dritte gelangen.

Checkliste

So wird das Arbeiten im Homeoffice sicherer

• Regelmäßiges Aktualisieren des WLAN-Passworts
• Einrichten eines separaten WLANs für Arbeitsgeräte und ausschließlich privat genutzte Technik und Geräte
• Kritisches Überprüfen von Anhängen in E-Mails
• Log-in-Daten und Passwörter nicht notieren und herumliegen lassen
• Ausgedruckte Firmendokumente nicht als Schmierpapier für Kinder verwenden
• Unberechtigte Mithörer bei Videoanrufen und Telefongesprächen ausschließen

Besonders der Mittelstand ist betroffen

Das Thema Daten- und Informationssicherheit sollte für alle Unternehmen ein zentrales Anliegen sein. Schließlich steht für sie viel auf dem Spiel: Durch Industriespionage, Sabotage, Datenklau oder Identitätsdiebstahl kann im schlimmsten Fall die Existenz von Unternehmen bedroht sein. Der Schaden, der jedes Jahr durch Hackerangriffe und Cyberattacken verursacht wird, beträgt laut Bitkom Research mehr als 100 Milliarden Euro pro Jahr. Umso wichtiger ist es, Gefahren und Sicherheitsrisiken richtig einzuschätzen.

Mittelständische Betriebe sind ein besonders beliebtes Angriffsziel. Zum einen, weil der deutsche Mittelstand besonders innovativ ist, zum anderen, weil kleine und mittelständische Unternehmen häufig mit großen Konzernen kooperieren oder über ein Zuliefernetzwerk verbunden sind. Damit werden kleinere Betriebe zum schwächsten Glied in der Kette, über das möglicherweise der Zugang zu Systemen größerer Unternehmen möglich ist.

IT-Sicherheit ist Pflicht für Unternehmen und Mitarbeitende

Sicherheit und Schutz von Daten, Informationen und anderen Werten ist dabei weit mehr als nur eine empfehlenswerte Praxis für Unternehmen. Vielmehr gibt es gesetzliche Vorgaben wie die Datenschutz-Grundverordnung (DSGVO), das Telekommunikationsgesetz (TKG) und das Postgesetz (PostG) sowie die internationale Norm ISO/IEC 27001, in der unter anderem Anforderungen und Ziele zur Informationssicherheit sowie Maßnahmen zum Management von Sicherheitsrisiken definiert sind. Unternehmen sind verpflichtet, daraus entsprechende Vorgaben, Richtlinien und Anweisungen abzuleiten, an die sich die Belegschaft halten muss, sonst drohen arbeits- und strafrechtliche Folgen.

Security Awareness im Betrieb aufbauen

„Technische Systeme können nur eine bestimmte Grundsicherheit schaffen. Das schwächste Glied in der Kette sitzt immer vor dem Computer“, sagt Rolf Strehle. Strehle ist Geschäftsführer des Datenschutz- und Security-Dienstleisters ditis Systeme – The Security Company und Sprecher des Arbeitskreises für IT-Sicherheit beim Branchenverband VDMA. Er hat über 30 Jahre Erfahrung im Bereich IT- und Datensicherheit. Um das Bewusstsein für die Gefahren und Risiken bei seinen vorwiegend aus dem Mittelstand kommenden Kunden zu schaffen, setzt er auf wirkungsvolle Awareness-Aktionen. „Was immer funktioniert: Wir hacken tatsächlich die Firmen und halten dem Geschäftsführer dann seine Gehaltsabrechnung unter die Nase.“

Bei einer anderen Methode wird im Auftrag des Kunden eine Phishing-Aktion genau so durchgeführt, wie dies ein echter Angreifer machen würde. Das Ziel dabei: zu messen, wie die Mitarbeitenden auf die Phishing-Mails reagieren und zum Beispiel ihr Passwort verraten. „Nach solchen Aktionen wird das eigene Verhalten sowohl von der Belegschaft als auch von der Geschäftsführung ganz anders reflektiert.“ Zwar gehöre das Thema Security Awareness ins Management, betont Strehle, „aber klar ist auch, dass die Mitarbeiter mitgenommen werden müssen.“

Zwar seien solche Einzelaktionen ein gutes Mittel, um Awareness zu schaffen und das Verhalten der Mitarbeiter zu ändern, in der Folge müssten aber Programme aufgesetzt werden, die nachhaltig wirken. Als Beispiel nennt Strehle ein E-Learning-Tool. Er berichtet, dass insbesondere bei vielen größeren Maschinenbau-Unternehmen das Bewusstsein für Security-Themen wächst und Security Awareness inzwischen verstärkt im HR-Bereich verankert wird. Die Themen IT-Sicherheit und Datenschutz sind sowohl Teil der Ausbildung als auch in Traineeprogramme integriert. „Ich kenne auch viele Firmen, die für ihre Mitarbeiter einmal im Jahr verpflichtende Veranstaltungen zum Thema Security und Datenschutz durchführen.“ Daneben sind Vorgaben und Richtlinien notwendig, die festlegen, wie man sich auf Reisen, im Homeoffice, am Arbeitsplatz, beim Treffen mit Kundinnen und Kunden sowie Geschäftspartnerinnen und Geschäftspartnern verhält.

Checkliste

Maßnahmen für mehr Security Awareness bei Mitarbeitern

• Awareness-Aktionen zum Bewusstmachen von Sicherheitsrisiken
• Verankerung von Daten- und Informationssicherheit im Bereich Geschäftsführung und Management
• Achtsamer Umgang mit Speichermedien und E-Mail-Anhängen
• Regelmäßige Schulungen und Trainings für alle Mitarbeiter
• Verbindliche E-Learning-Tools zur Auffrischung
• Verankerung von Security Awareness in Ausbildung und Onboarding-Prozessen
• Guidelines und Richtlinien in Form von Broschüren und Aushängen

Handlungsempfehlungen für Unternehmen

Der Schaden für Unternehmen, die Opfer von Cyberangriffen werden, ist immens. Lösegeldforderungen für das Entschlüsseln von Daten nach einem Ransomware-Angriff sind nicht selten sechs- oder siebenstellig. Entwendete Geschäftsgeheimnisse können gar die gesamte Existenz von Unternehmen bedrohen. Schon bei der Einstellung und Einarbeitung von Mitarbeitenden sollte daher Sicherheit im Umgang mit Daten und Informationen thematisiert werden. Aushänge und Broschüren, in denen die wichtigsten Regeln erklärt werden, helfen dabei.

Daneben gibt es die Möglichkeit, durch externe Beraterfirmen Schulungen und Informationsveranstaltungen durchführen zu lassen. Zu typischen Inhalten, die dabei vermittelt werden, zählen beispielsweise die Sensibilisierung für

• den kritischen Umgang mit Speichermedien wie USB-Sticks
• den achtsamen Umgang mit E-Mails und E-Mail-Anhängen (inklusive Durchführung von Phishing-Tests)
• den Umgang mit internen Dokumenten und anderen Daten
• den Umgang mit Geräten, die sowohl privat als auch beruflich genutzt werden, beispielsweise Smartphones
• Zugriffsrechte sowie die Nutzung von Benutzersperren des Arbeitsrechners bei Abwesenheit
• den Umgang mit Log-in-Daten und Passwörtern
• den Umgang mit Geschäftspartnern, Lieferanten und Externen

Daten- und Informationssicherheit in Unternehmen hat zahlreiche Aspekte. Neben der Security Awareness, die eine zentrale Voraussetzung für den sicheren Umgang mit Daten und Informationen ist, sind technische Maßnahmen nötig. Virenscanner, verschlüsselte Kommunikation, Firewalls oder die Einrichtung eines VPN-Servers erhöhen die IT-Sicherheit.

Security Awareness als kontinuierliche Aufgabe

Wenn es um Cyber Security geht, handelt es sich stets um einen Wettlauf mit der Zeit. Angesichts der Entwicklungen im Bereich der Künstlichen Intelligenz (KI) werden Angriffsmethoden immer ausgefeilter. Beispielsweise können mithilfe von KI sogenannte Deep Fakes erstellt werden. Dabei handelt es sich um eine Form des Identitätsdiebstahls, bei der die Stimme oder das Gesicht einer Person in einem Video täuschend echt nachgeahmt werden kann. Je stärker sich die Arbeitswelt digitalisiert und sich virtuelle Formen der Zusammenarbeit durchsetzen, desto mehr müssen Unternehmen sicherstellen, dass ihre Mitarbeitenden auch für neue Formen von Sicherheitsrisiken sensibilisiert sind. Das Wissen über die Gefahren sowie die Verteilung dieses Wissens an alle Mitarbeitenden ist der Kern von Security Awareness.