Adäquate Sicherheitskonzepte sind eine schiere Notwendigkeit. Dennoch verfügt nur jedes zweite Unternehmen über einen Plan für den Fall eines Cyberangriffs. Warum wird das Risiko, selbst zum Opfer zu werden, offenbar nach wie vor unterschätzt?
Niclas Lahmer: Hacker haben entweder wirtschaftliche, kriminelle, politische oder terroristische Interessen. Dazu gehört beispielsweise das Lahmlegen von Infrastrukturen, um Angst und Panik zu verbreiten. Unternehmen sind meist die Opfer von Cyberkriminalität, weil es dort mehr zu holen gibt als bei Privatpersonen. Daneben gibt es auch Kriminelle, die aufgrund von persönlichen Interessen – seien es Liebschaften, Neid, Cyberstalking – nur Privatpersonen angreifen.
Das Risiko, zum Opfer zu werden, ist gegeben. Das kann man nicht anzweifeln. Und dass dieses Risiko oft unterschätzt wird, liegt in erster Linie an einer Sache: Als Privatperson können wir uns nicht vorstellen, was ein Cyberkrimineller alles für Möglichkeiten hat.
Und wie ist es in Unternehmen? Dort müsste es doch – vor allem aufgrund der Tragweite möglicher Schäden – ein stärkeres IT-Sicherheitsbedürfnis geben.
Lahmer: In Unternehmen ist es gang und gäbe, dass in Dinge investiert wird, die Geld bringen. Investments in die Sicherheit bringen allerdings keine monetären Renditen. Wenn es gilt, Wirtschaftlichkeit versus Sicherheit abzuwägen, entscheiden sich Unternehmerinnen und Unternehmer in erster Linie für die Wirtschaftlichkeit. Denn so gewährleisten sie das Fortbestehen des Betriebs. Sicherheit hingegen ist eigentlich ein sekundäres, fast schon tertiäres Thema. Nehmen Sie zum Beispiel die Datenschutzgrundverordnung und deren Umsetzung: Sie wird nach wie vor von vielen Unternehmen nur lapidar nebenbei behandelt.
Als größtes Cyberrisiko in Unternehmen gelten die eigenen Angestellten, die zum Beispiel unbedacht auf Mail-Anhänge klicken. Mit Social Engineering machen sich Cyberkriminelle diese Schwachstelle zunutze. Welche Tricks kommen dabei zum Einsatz?
Lahmer: Jeder Angestellte kann durch Social Engineering zum Innentäter werden. Innentäter sind Menschen, die innerhalb einer Organisation über sensible Informationen über die Infrastruktur oder das Business verfügen und durch deren Herausgabe dem Unternehmen massiven Schaden zufügen könnten.
Eine Methode von Cyberkriminellen ist zum Beispiel das Verteilen sogenannter Rubber-Ducky. Dabei handelt es sich um USB-Sticks oder andere Speichermedien, welche mit einem Skript versehen sind. Das ist sogar relativ leicht; man kann es sich aus dem Internet ziehen und entsprechend der eigenen Interessen bearbeiten. Dieses Skript kann beispielsweise ein Trojaner sein. Oder ein Key-Logger, der alle Eingaben auf der Tastatur mitschreibt. Oder das Skript lädt Schadsoftware aus dem Internet.
Rubber-Ducky wurden bei einer US-Behörde mal testweise auf dem Parkplatz verteilt. Man wollte herausfinden, wie viele Mitarbeitende diese herumliegenden USB-Sticks mitnehmen und in einen behördlichen Rechner stecken.
Und? Was ist passiert?
Lahmer: Ein Großteil der Mitarbeitenden, die auf dem Parkplatz diesen USB-Stick fanden, haben ihn tatsächlich in ihren Arbeitsrechner gesteckt und hätten damit die Infrastruktur der Behörde komplett lahmlegen können. Wäre es nicht nur ein Test gewesen, hätte das natürlich katastrophale Folgen haben können.
Und ähnliche Vorfälle hat es in der Vergangenheit tatsächlich bereits gegeben. So haben Cyberkriminelle Rubber-Ducky-USB-Sticks über die Zäune von Atomkraftwerken geschmissen. Hätten Mitarbeitende diese Sticks in einen Rechner im Kraftwerk gesteckt, hätten Kriminelle darüber Zugang zu den Systemen erhalten können. Das ist glücklicherweise nicht passiert.
Wie ließe sich der Risikofaktor Mensch minimieren, um die IT-Sicherheit erhöhen?
Lahmer: Das Erste, was definitiv passieren muss: das Personal für die Möglichkeiten von Cyberkriminellen, etwa das Social Engineering, sensibilisieren. Dies kann nur durch adäquate Sicherheitsschulungen geschehen – nicht nur von IT-Mitarbeitenden, sondern auch in allen anderen Abteilungen.
Sofern sie Luftverkehrssendungen verschicken, unterliegt beispielsweise die Logistik von Unternehmen den Bestimmungen der Europäischen Union. Laut der Verordnung DVO 2015/1998 sind seit 2022 Awareness-Trainings zur IT-Sicherheit verpflichtend. Denn Mitarbeitende im Bereich Fracht & Versand haben schließlich Zugriff auf sensible Informationen zu Dingen, die in Passagier- oder Frachtflugzeuge verladen werden sollen. Das könnten sich Cyberkriminelle oder Terroristen zunutze machen, indem sie über diese Daten herausfinden, welches Flugzeug welche Fracht laden soll, um verbotene Gegenstände – etwa unkonventionelle Spreng- und Brandvorrichtungen – an Bord zu schmuggeln.
Sicherheitsschulungen sind wirklich für alle Abteilungen wichtig. Nur dadurch lässt sich die Sicherheit erhöhen und den Mitarbeitenden der „Risikofaktor Mensch“ nahebringen.
Wie sollten IT-Sicherheitsschulungen gestaltet sein, damit sie tatsächlich einen nachhaltigen Effekt haben?
Lahmer: Zunächst einmal muss eine solche Sicherheitsschulung durch den Gesetzgeber verpflichtend werden. Denn Unternehmen fangen nicht an in Schulungen zu investieren, wenn sie dazu nicht gezwungen werden.
Zudem muss eine solche Schulung natürlich von einem Ausbilder durchgeführt werden, der über ausgereifte Kenntnisse verfügt, der aber das Thema auch lebt. Das heißt, diese Person muss konkrete Beispiele in petto haben, um Mitarbeitende für IT-Sicherheit, Cyberangriffe, Social Engineering sensibilisieren zu können.
Welche Maßnahmen sollten in Unternehmen darüber hinaus ergriffen werden, um zumindest einen Basisschutz vor Cyberangriffen zu gewährleisten?
Lahmer: Ich gebe Ihnen ein Beispiel: Viele Unternehmen erlauben ihren Mitarbeitenden nach wie vor „bring your own device“. Das heißt, private Rechner können mitgebracht und im Firmennetzwerk angemeldet werden. Das ist der absolute Wahnsinn, weil hier die Verschlüsselung nicht gewährleistet wird. Die privaten Daten verschmelzen sozusagen mit den Firmendaten. Das birgt natürlich ein großes Sicherheitsrisiko.
Wir müssen also zunächst erst einmal anfangen solche sehr naiven Dinge zu verhindern. Darüber hinaus muss es verboten werden, im Betrieb Dienste zu nutzen, von denen bekannt ist, dass sie nicht DSGVO-konform sind.
Wo sollte Cybersicherheit in Unternehmen angedockt sein, damit dem Thema tatsächlich die nötige Aufmerksamkeit zuteil wird? Braucht es zum Beispiel zwingend einen Chief Information Security Officer?
Lahmer: Ich halte es für richtig und zielführend, den Datenschutzbeauftragten im Betrieb einen höheren Stellenwert und mehr Kompetenz zu geben und ihnen mehr Aufgaben zuzutrauen. Das Thema Cybersicherheit sollte meiner Meinung nach dort verortet werden. Schulungen für Datenschutzbeauftragte sind bereits sehr umfassend, sollten aber zudem noch IT- und Cybersecurity inkludieren.
Wenn ein Betrieb dafür extra einen Chief Information Security Officer einstellt, ist das eine hervorragende Sache. Jedoch können sich viele mittelständische oder kleine Bertriebe so etwas nicht leisten. Das bedeutet im Klartext: Das Thema wird dann direkt bei der Unternehmerin oder dem Unternehmer liegen müssen. Hier sollten entsprechende Unterweisungen und Schulungen – zum Beispiel durch die Industrie- und Handelskammern oder vergleichbare Einrichtungen oder auch durch private Dienstleister – verpflichtend werden, damit die Unternehmerschaft sich des Themas bewusster wird.
