Schwachstelle Mensch?

Schwachstelle Mensch
Das größte Risiko für die IT-Sicherheit in Unternehmen ist der Mensch. Deshalb versuchen Hacker bei fast allen Angriffen leichtgläubige Mitarbeiter einzuspannen. Doch diese können das Risiko mit einfachen Maßnahmen deutlich minimieren (Bild: gettyimages).

Hacker wissen: Das schwächste Glied in der Cybersicherheit von Unternehmen sind sehr häufig die Mitarbeiter. Diese Folge unserer Serie zur Cybersicherheit zeigt, mit welchen Tricks die Angreifer arbeiten und wie Betriebe ihre Mitarbeiter vor einem falschen Klick schützen können.

Newsletter abonnieren

Was tun, wenn Excel mal wieder nicht das macht, was es machen soll? Man sucht online eine Anleitung mit Tipps und schon läuft die Tabellenkalkulation wie geschmiert. Manchmal läuft dann aber auch gar nichts mehr. Wie beim letzten Arbeitgeber von Michael Rempfer, einem schwäbischen Maschinenbau-Unternehmen. Eine Kollegin hatte bei der Suche einer Hilfe für Excel auf eine Datei geklickt, die Schadsoftware enthielt. Eine halbe Stunde später gingen die Verknüpfungen am Bildschirm nicht mehr. Bald stellte sich heraus: Ein Virus verschlüsselte heimlich die Festplatten im ganzen Betrieb. „Wir haben es schnell bemerkt und alle Server heruntergefahren“, erinnert sich Rempfer. Zum Glück gab es eine aktuelle Sicherungskopie und am nächsten Tag war der Spuk vorbei.

Michael Rempfer Technischer Direktor bei Kallfass
Michael Rempfer Technischer Direktor bei Kallfass (Copyright: Kallfass)

Heute ist Rempfer Technischer Direktor bei Kallfass, einem Hersteller von Verpackungsmaschinen. Mit dem Schreck noch immer in den Knochen, achtet der Ingenieur besonders darauf, dass solche Vorfälle bei seinem neuen Arbeitgeber nicht passieren. Eine Firewall fange alles ab, verdächtige Seiten könnten die Mitarbeiter nicht aufrufen, außerdem könnten diese selbst keine Software installieren, denn: „Die Mitarbeiter haben keine Admin-Rechte.“ 

Die Vorsicht ist berechtigt. Laut einer Studie der Wirtschaftsprüfungs- und Steuerberatungs­gesellschaft RSM von 2019 waren fast 40 Prozent der europäischen Unternehmen in den letzten fünf Jahren Opfer eines Cyberangriffs. Und das sind nur die Unternehmen, die es bemerkt haben. 64 Prozent der 597 befragten Entscheidungsträger aus 33 europäischen Ländern gaben zu, dass sie möglicherweise schon einmal unwissentlich gehackt wurden. 

Erfolgreiche Attacken zielten laut Studie fast zur Hälfte auf unzureichend sensibilisierte Mitarbeiter. Kaspersky, Anbieter von Security-Software, glaubt, dass die Quote noch deutlich höher ist: Mehr als 80 Prozent aller Sicherheitsvorfälle sind auf menschliches Fehlverhalten zurückzuführen. Besonders im Fokus der Cyberabzocker: kleine und mittelständische Unternehmen, die sich selbst für kein lohnendes Opfer halten und sich deshalb in Sicherheit wiegen und die ihre Mitarbeiter nicht ausreichend informieren.

Erfolgreich mit billigen Tricks 

„Geld zieht immer“, sagt Markus Schließ, Fachanwalt für IT-Recht in Stuttgart. Bei einem Mandanten fiel eine Mitarbeiterin auf ein angebliches 5-Millionen-Gewinnspiel herein, mit dem sie unbemerkt Daten an Hacker übermittelte. Erschreckend auch, dass manche Unternehmen nicht einmal die einfachsten Sicherheitsmaßnahmen ergreifen. Bei einem anderen Mandanten, einem IT-Unternehmen, spazierten die Datendiebe einfach zur ungesicherten Tür herein und sammelten Informationen auf einem USB-Stick – „der billigste Trick, das darf einfach nicht passieren“.

 

Beide Fälle gingen glimpflich aus, weil der Jurist belegen konnte, dass die Mitarbeiter nicht vorsätzlich gehandelt hatten. Schließ warnt: „Die Behörden schauen mittlerweile sehr genau hin, ob die Datenschutzgrundverordnung eingehalten wird.“ Ziemlich häufig muss seine Kanzlei Fälle betreuen, wo unzufriedene (ehemalige) Mitarbeiter ihrem Arbeitgeber schaden wollen, indem sie Informationen abzapfen. Hier muss das geschädigte Unternehmen nachweisen, dass es angemessene technische Maßnahmen ergriffen hat, um dieses Risiko zu mindern.

Es ist wichtig, regelmäßig an Schulungen teilzunehmen.

Vorbild Charter of Trust

Damit das Kind gar nicht erst in den Brunnen fällt, empfiehlt Markus Schließ Unternehmen, ihren Mitarbeitern Verhaltensregeln an die Hand zu geben und regelmäßig Schulungen durchzuführen. Das deckt sich mit den Empfehlungen der Charter of Trust, die Siemens mit IBM, Airbus, TÜV Süd und weiteren Unternehmen und Forschungspartnern 2018 gestartet hat. In diversen Arbeitsgruppen treiben die Mitglieder einzelne Aspekte voran, eine beschäftigt sich mit der Frage, wie Mitarbeiter so geschult werden können, dass Cyberkriminelle nicht mehr so leichtes Spiel haben. Keine Dateianhänge von unbekannten Mailabsendern öffnen, sichere Passwörter verwenden und misstrauisch sein, wenn Unbekannte durch die Büros laufen – eigentlich ist das alles bekannt, es wird aber gerne im Arbeitstrubel vergessen.

Was soll mir schon passieren? Das denken sich viele von uns. Doch die Gefahren lauern nicht sichtbar in unserem Umfeld, sondern versteckt in der uns mittlerweile so vertraut gewordenen digitalen Welt (Bild: gettyimages).

Deshalb ist es wichtig, regelmäßig an solchen Schulungen teilzunehmen. Ein Vorbild ist hier Siemens, das vor einigen Jahren etwa ein Web-based Training eingeführt hat, das für alle Mitarbeiter mit PC-Arbeitsplatz einmal im Jahr verpflichtend ist. Das Training behandelt nicht nur die Klassiker – die Gefahren von Phishing-Mails oder öffentlichen WLAN-Hotspots –, sondern geht auch auf neue Themen ein wie den Informationsklau in sozialen Netzwerken oder Anforderungen an sichere Produkte und Dienstleistungen von Siemens oder von seinen Partnern und Lieferanten. Es gibt darüber hinaus einen speziellen Schulungsplan, damit die Mitarbeiter sich eingehender mit dem Thema Cybersicherheit beschäftigen können, dabei geht es neben der „klassischen“ IT-Cybersicherheit auch um Cybersicherheit in Fabriken und in der Produktentwicklung.

 

Dennoch sind Fehler menschlich. Deshalb sichert Siemens seine IT zusätzlich mit technischen Vorkehrungen wie Phishing-Schutz für E-Mails oder Webseitenfilter ab – und empfiehlt dies auch seinen Partnern. 

Erfolgreiche Schulungen

Auch kleine und mittelständische Unternehmen kümmerten sich zunehmend um das Thema Cybersicherheit, hat Markus Schließ festgestellt. Der Anwalt bietet dazu Schulungen an und die würden vermehrt nachgefragt. Dass dies tatsächlich etwas bringe, belegten die Rückmeldungen seiner Mandanten: „Es gibt danach deutlich weniger Sicherheitsvorfälle.“

Wenn Sie wissen möchten, für welche Cyberrisiken kleine und mittelständische Unternehmen anfällig sind und was Sie dagegen tun können – auch mit Hilfe von Siemens –, klicken Sie hier.

Was kleine und mittlere Unternehmen machen können, um sich vor Cyberrisiken zu schützen, erklärt unsere Reihe mit fünf Beiträgen. Dies ist der dritte Beitrag, hier geht es zum ersten und zum zweiten. Die Reihe geht der Frage nach, warum kleinere Unternehmen häufiger von Angriffen betroffen sind und welche Rolle die Mitarbeiter spielen. Und die Beiträge geben Tipps, wie sich Betriebe mit überschaubarem Aufwand vor Angriffen schützen und dies als Teil ihrer Geschäftsstrategie nutzen können – etwa mit konkreter Hilfe von Siemens. Sobald ein neuer Artikel erscheint, wird er hier verlinkt:

Teil 1: Luft nach oben

Teil 2: Die Früchte hängen zu tief

Teil 3: Schwachstelle Mensch?

Bernd Müller

Abonnieren Sie unseren Newsletter

Bleiben Sie auf dem Laufenden: Alles was Sie über Elektrifizierung, Automatisierung und Digitalisierung wissen müssen.

Jetzt abonnieren!

Verwandte Themen

Cybersecurity bei Siemens

Cybersecurity bei Siemens

Schützen Sie, was Ihnen wichtig ist – mit unserem holistischen Ansatz.
Charter of Trust

Charter of Trust

Charter of Trust

Cybersecurity for Industry – Protected in every aspect

Cybersecurity for Industry

Cybersecurity for Industry

Kontinuierlich überwachte und integrierte Sicherheit ist eine wichtige Grundlage für die industrielle Automatisierung.