Der deutschen Wirtschaft entstehen durch Viren, Schadsoftware und Hacker jährlich Schäden in dreistelliger Milliardenhöhe, zeigt eine aktuelle Bitkom-Studie. Um bei kleinen und großen Unternehmen die IT-Sicherheit zu erhöhen, sind nicht nur technische Maßnahmen erforderlich.
Wegen eines Hacker-Angriffs musste der weltgrößte Fleischverarbeiter JBS mit Sitz in Brasilien vor etwa eineinhalb Jahren fünf seiner größten Fabriken in den USA vorerst stilllegen. Das berichteten US-Medien sowie das Handelsblatt unter Berufung auf Gewerkschaften und Mitarbeiter. Vom Milliardenunternehmen selbst gab es nur wenige Details zu dem Angriff auf die IT. Eine Sprecherin des Weißen Hauses sagte damals aber, JBS habe die US-Regierung über eine Attacke mit Erpressungssoftware informiert. Bei solchen Angriffen verschlüsseln die Täter die Computer des Konzerns und erpressen Geld für die Freigabe.
Für die deutsche Wirtschaft hat der Digitalverband Bitkom den Gesamtschaden durch Datendiebstahl, Spionage oder Sabotage laut einer im vergangenen Sommer veröffentlichten Studie mit 223 Milliarden Euro jährlich beziffert. Zum Vergleich: Im Jahr 2019 betrug die berechnete jährliche Schadenssumme noch 103 Milliarden Euro. Laut des Digitalverbands sind mittlerweile nicht nur große, global agierende Firmen im Fokus der Angreifer, sondern auch kleinere Mittelständler, deren IT-Infrastruktur häufig angreifbarer ist.
Mitarbeiter sind oft die Schwachstelle
„IT-Sicherheit betrifft jede Abteilung und alle Beschäftigten in einer Firma – ob Lagerist, Werkstudent oder Geschäftsführer“, sagt Robert Lohmann, der bei der imc AG, einem Anbieter digitaler Trainingslösungen, sogenannte Security Awareness Trainings mitentwickelt. Neben einem nicht ausreichend geschützten Netzwerk sei vor allem der Faktor Mensch ein großes Risiko für Cyberattacken.
Deshalb ist es wichtig, so Lohmann, Fachangestellte, Meister und Hilfskräfte gleichermaßen zu sensibilisieren und aufzuklären. Ein gelungenes Beispiel ist das mehrfach ausgezeichnete E-Learning-Spiel „Cyber Crime Time“, das Nutzer sensibilisieren will, Cyberbedrohungen am Arbeitsplatz besser zu erkennen. In dem Training schlüpfen Lernende in die Rolle eines Hackers und lernen nicht nur die gängigsten Angriffstechniken kennen, sondern auch, wie sich diese vermeiden lassen. Spaß am Spielen und die aktive Beschäftigung mit IT-Sicherheit sollen dazu führen, dass sich das neue Wissen dauerhaft einprägt.
Ob die Lerninhalte verstanden wurden, lässt sich mit Testfragen feststellen, die nach Abschluss der unterschiedlichen Kapitel zu beantworten sind. Privatnutzer können das Spiel online kostenlos testen. Lohmann betont: „Wichtig ist, auch das Sicherheitsbewusstsein von Personen zu schulen, die nicht am PC arbeiten.“ Denn Betrüger könnten nicht nur digital, sondern auch analog – über persönlichen Kontakt – versuchen, vertrauliche Daten abzugreifen. „Durch eine entsprechende Sensibilisierung von Beschäftigten in der Produktion kann zum Beispiel verhindert werden, dass Unberechtigte Zugang zu Fertigungshallen erhalten oder sensible Produktinformationen nach außen gelangen“, erklärt der promovierte Lernexperte.
Über Angriffsrisiken aufklären
Und das Risiko ist nicht von der Hand zu weisen: Fast täglich gehen in digitalen Postfächern E-Mails von unseriösen Absendern ein. Empfänger müssen in der Lage sein, schnell und sicher zu entscheiden, ob es sich um Betrug handelt oder nicht. Gelingt es Hackern einen Firmenserver lahmzulegen, funktioniert in den Betrieben meist nichts mehr: Der Zugriff auf Dateien ist genauso wenig möglich, wie das systemgesteuerte Öffnen von Fabriktoren oder das Hochfahren von Maschinen; Festnetztelefonie und E-Mail-Kommunikation sind lahmgelegt.
Um den „Sicherheits-Faktor Mensch“ zu stärken, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Firmen aller Größen „den Aufbau eines Problem- und Sicherheitsbewusstseins sowie regelmäßige Schulungen“. Denn je mehr jeder Einzelne darüber weiß, wo Gefahren für Cyberangriffe lauern, desto leichter lässt sich verhindern, dass sensible Daten und Informationen in die falschen Hände geraten, ist in einer Pressemitteilung des BSI zu lesen.
Denn Cyberkriminelle nutzen oft menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten aus, um sensible Daten abzugreifen. „Social Engineering“ nennt sich diese Angriffsmethode. Anrufer geben sich etwa als Systemadministrator aus und erklären, dass sie zur Fehlerbehebung das aktuelle Passwort des internen IT-Systems benötigen. Arglose Angestellte möchten oft helfen und nennen die Zugangsdaten.
Beim sogenannten Phishing wollen Betrüger mit gefälschten E-Mail-Adressen vertrauenswürdig erscheinen, beispielsweise als Mitarbeiter der Hausbank. So veranlassen sie ungerechtfertigt Überweisungen, stehlen Kreditkartendaten oder erhalten Zugriff aufs Firmennetzwerk. Mithilfe von sich selbst installierender Schadsoftware gelingt es Hackern dann, Daten zu kidnappen und zu verschlüsseln, um anschließend Lösegeld für die Freigabe zu fordern. Träger schädlicher Software können neben E-Mail-Anhängen und Links aber auch gezielt in Firmen eingeschleuste USB-Sticks sein.