Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform

Die Häufung der Cyberattacken zeigt, dass sich eine verlässliche IT-Sicherheit ständig weiterentwickeln muss, um neue Gefahren abzuwehren. Dreh- und Angelpunkt ist jedoch nicht die Technik, sondern der Mensch.

 

© Bindig Media

Ende letzten Jahres wurde der Maschinenbaukonzern Krauss Maffei von einem schweren Cyberangriff durch Ransomware getroffen. Sicherheitsexperten haben eine Variante des Trojaners Emotet im Verdacht, der bereits bei zahlreichen Firmen Millionenschäden verursacht hat.

Der Trojaner verschlüsselte Dateien und machte sie unbrauchbar. Auch Steuerungsanlagen in der Fertigung und der Montage versagten teilweise ihren Dienst. Wie üblich, folgte eine Lösegeldforderung.

Emotet ist kein Einzelfall und Kraus Maffei nicht das einzige Unternehmen, das durch Cyberkriminelle zu Schaden kommt. In seinem Lagebericht 2018 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) 800 Millionen Schadprogramme für Computersysteme identifiziert.

Gerade schwappt nach Informationen des IT-Security-Herstellers ESET wieder eine Welle gefährlicher Spam-Mails mit Javascript-Anhängen von Russland aus in Richtung Deutschland. Diese haben die Ransomware namens „Shade“ oder auch „Troldesh“ im Gepäck.

Wer den Anhang anklickt, aktiviert ihn und lädt sich die Erpressersoftware auf den Rechner. Unternehmen stehen ganz gezielt im Fokus der Angreifer.

 

Nachholbedarf bei KMU

„Das Nachsehen haben vermutlich genau diejenigen, die einen unterdurchschnittlichen bis mittelmäßigen Digitalisierungs- und IT-Sicherheitsgrad aufweisen“, erklärt Jan Bindig, CEO des Leipziger Unternehmens Datarecovery, das auf IT-Forensik, Datenwiederherstellung und Datenvernichtung spezialisiert ist.

Der IT-Sicherheitsexperte hat gerade einen Ratgeber in Sachen Digitalisierung und Sicherheit verfasst, das Buch heißt „Das IT-Security-Mindset. Der Mittelstand auf dem digitalen Prüfstand“. Bindig stellt fest: „Vor allem kleine und mittelständische Unternehmen haben noch einen deutlichen Nachholbedarf.

Allein 2017 verloren 37 Prozent der mittelständischen deutschen Unternehmen Geschäftsdaten durch Cyberkriminalität, menschliches Versagen oder Hardware-Ausfälle. Der wirtschaftliche Schaden belief sich pro Fall auf rund 560.000 Euro.“ Als Ursachen macht der Experte fehlendes Know-how, unzureichende personelle Ressourcen und knappe Budgets aus. Doch ein hohes Sicherheitsniveau muss nicht unbedingt mit hohen Investitionen einhergehen: „Die Basis bilden vor allem der gesunde Menschenverstand sowie zuverlässige und gut geschulte Mitarbeiter“, erklärt Bindig.

 

Mitarbeiter unzureichend geschult

Es geht also beim wirksamen IT-Schutz nicht allein um die Technik. „Die Prioritäten bei der Bekämpfung von Cyberrisiken haben sich verschoben“, sagt Jörg Asma, Leiter des Bereichs Cybersicherheit bei der Wirtschaftsprüfung, Steuer- und Unternehmensberatung PwC Deutschland. „Heute ist ein ganzheitlicher Ansatz gefragt, der den Umgang mit allen Risiken umfasst.“ Eine Befragung von 3.000 Führungskräften in 81 Ländern im Auftrag von PwC machte wie schon im Vorjahr den Menschen als größtes Sicherheitsrisiko aus.

Als Ursache sehen 76 Prozent der Unternehmen die ungenügende Schulung und Ausbildung der Mitarbeiter. Den Menschen als effektivste Komponente im Kampf gegen Datenverluste sieht auch Frank Limberger, Data-Security-Spezialist bei Forcepoint. „Der beste Schutz ist es, den Mitarbeitern Verhaltensrichtlinien an die Hand zu geben, die nicht unnötig einschränken. Denn Sicherheit funktioniert nur, wenn Mitarbeiter das Gefühl haben, einen Beitrag zur ganzheitlichen Sicherheit des Unternehmens zu leisten“, sagt er.

Gemäß einer Umfrage der IT-Sicherheitsfirma Kaspersky Lab sind die Mitarbeiter bei jedem zweiten Unternehmen die größte Schwachstelle – zum Beispiel, indem sie auf einen zweifelhaften Link in einer E-Mail klicken oder sensible Informationen über Social Media posten.

 

E-Learning schützt vor Cybercrime

„Gerade im Mittelstand fehlen oftmals die nötige Erfahrung sowie spezielle Ressourcen, um entsprechende Schulungsprogramme für die eigene Belegschaft aufzusetzen“, erklärt Maxim Frolov, Vice President Global Sales bei Kaspersky Lab. „Diese Herausforderung können sie meistern, indem sie Lösungen wie automatisierte Schulungsplattformen nutzen.“

So ging beispielsweise die Donau Chemie Gruppe mit 500 Mitarbeitern in Österreich und Deutschland vor. 2016 war die Gruppe zunehmend Bedrohungen durch Ransomware-Angriffe ausgesetzt. „Fehler sind menschlich und Mitarbeiter potenziell anfällig dafür, sich von harmlos aussehenden E-Mails oder Webseiten täuschen zu lassen“, erklärt IT-Manager Christian Lang.

„Ich wollte sicherstellen, dass meinen Kollegen die besten Tipps und Anleitungen zur Verfügung stehen und sie auf diese Weise in die Lage versetzt werden, Online-Gefahren zu vermeiden und im IT-Bereich sorgfältig, sicher und routiniert zu arbeiten. Für mich beginnt schon hier adäquate IT-Sicherheit.“

 

Weiterbildung mit Erfolgskontrolle

Seither schult er seine Mitarbeiter über eine Online-Schulungsplattform für Cybersicherheit von Kaspersky Lab. „Auch der Erfolg unserer Trainingsaktivitäten kann darüber genau gemessen und analysiert werden. Alle Mitarbeiter sind jetzt auf der Plattform aktiv und arbeiten sich durch die Module“, beschreibt er die Vorgehensweise. Ihre erworbenen Fähigkeiten können sie im Rahmen eines realistischen Bedrohungsszenarios anwenden. Dafür generiert die Plattform Phishing-Kampagnen mit gefälschten, an zugewiesene Gruppen gesendeten E-Mails.

So wird deutlich sichtbar, wie viele Nutzer weiterhin unüberlegt Anhänge öffnen, auf Links klicken oder potenziell risikoreiche Webseiten aufrufen, um dort ihren Nutzernamen oder geforderte Passwörter einzugeben. „Wir verzeichnen nun eine Klickrate von weniger als zwei Prozent“, beschreibt Lang den Schulungsfortschritt.

Die Plattform identifiziert die betroffenen Mitarbeiter und weist ihnen automatisch zusätzliche Trainingseinheiten zu, um ihnen zu helfen, unüberlegtes und potenziell gefährdendes Nutzerverhalten zukünftig ganz zu vermeiden. Damit bleiben der Donau Chemie Schäden durch Ransomware wie bei Kraus Maffei erspart.

Fünf Tipps für bessere IT-Sicherheit im Unternehmen

Hundertprozentige Sicherheit kann es nie geben. Doch wer sich entsprechend vorbereitet, kann die Risiken, Opfer einer Cyberattacke zu werden, durchaus eindämmen:

  1. Notfallplan aufstellen: Dieser sollte sowohl vorbeugende Maßnahmen enthalten als auch Maßnahmen, mit denen das Unternehmen seine Geschäfte im Ernstfall wie gewohnt weiterführen kann.
  2. Verantwortlichkeiten regeln: Mitarbeiter-Team benennen, das im Notfall Ansprechpartner ist und die Vorgehensweise koordiniert. Für die Betreffenden Bereitschaftspläne aufstellen.
  3. Mitarbeiter schulen: Mitarbeiter für die Gefahren sensibilisieren, sie auf dem Laufenden über aktuelle Bedrohungen halten und regelmäßig schulen. Hierbei helfen automatisierte Schulungsplattformen, die in kurzen und interaktiv gestalteten Lerneinheiten grundlegende Cybersicherheitsregeln für den Berufsalltag vermitteln.
  4. Gefahren auf dem Schirm haben: Sicherheitsunternehmen wie Kaspersky, Forcepoint oder Sophos sowie Verbände und Institutionen wie der Bitkom oder das BSI warnen regelmäßig vor neuen Gefahren, sodass potenzielle Angreifer rechtzeitig identifiziert werden können.
  5. Neueste Sicherheitstechnik nutzen: Sogenannte UTM-Firewalls (Unified Threat Management) scannen den E-Mail- und Webtraffic. KI-Technologien und Verhaltensanalysen decken Zero Day Exploits (Schwachstellen, die noch nicht durch ein Sicherheitspad geschlossen wurden) auf. In kritischen Bereichen lassen sich Informationen wie Zugriff auf Daten mit Technologien wie CASB- (Cloud Access Security Broker) und DLP-Lösungen (Data Leakage Prevention) erfassen.