Der Mensch wird im Zusammenhang mit IT-Sicherheit vor allem als Schwachstelle gesehen. Falsch, sagten die Experten beim Cybersicherheits-Kongress in Regensburg: Unternehmen sollten vor allem die Aufmerksamkeit der Beschäftigten steigern.
Der Fehler befindet sich nicht im Computer, sondern er sitzt davor. So lautet eine in Jahrzehnten verfestigte „Wahrheit“ in IT-Abteilungen – aber sie ist falsch. So lautete die Erkenntnis, die gestern alle Experten beim Regensburger Cybersecurity-Kongress verbreiteten. Wenn ein Unternehmen digital angegriffen wird, dann kommt es entscheidend auf die Menschen an, mahnte Kristin Weber. Die Professorin für Informatik und Wirtschaftsinformatik an der TH Würzburg sagte: „Wir müssen weg von der Betrachtung des Menschen als Risikofaktor hin zu einer aktiven Rolle als Firewall.“
Professor Christoph Skornia (OTH Regensburg, Digitalisierung und Nachhaltigkeit) empfahl eine Unternehmenskultur, in der jener gelobt wird, der sogleich meldet, dass er einen verdächtigen E-Mail-Anhang geklickt hat. Dann könne die IT-Abteilung noch handeln. Viel schlechter dran seien Unternehmen, in denen die Mitarbeiter nach dem Motto „hoffentlich merkt es keiner“ verfahren. Es könnten wenige Minuten entscheidend sein, um den Schaden zu begrenzen.
„Da hilft auch kein Virenscanner“
Technik allein schützt nicht, sagte auch Thomas Michalski, Geschäftsführer der Inmodis (Hemau). Er attackiert im Auftrag von Unternehmen deren Systeme, um Schwachstellen zu identifizieren. Michalski erklärte mit Blick auf Ransomware-Angriffe (Schadprogramme, die den Zugriff auf Daten und Systeme einschränken oder unterbinden, oft in Anhängen versteckt): „Da bietet auch ein Virenscanner keinen Schutz. Die Menschen müssen sensibel dafür sein.“ Manche Angriffe seien so geschickt getarnt, dass auch Experten darauf hereinfallen können.
Das könnte Sie auch interessieren:Digitale Sicherheit made in Regensburg
Er selbst hat das bei der Firma Wisa Formenbau (Denkendorf, nördlich von Ingolstadt) in deren Auftrag exerziert. Die entscheidende Eintrittskarte: ein im Papiermüll entdeckter Lieferschein, der entscheidende Informationen enthielt. Michalski schickte als Kunde getarnt der Sachbearbeiterin eine emotional aufgeladene Mail („Sie liefern miserable Qualität“) mit dem Hinweis, sie müsse sich nur die angefügten Fotos ansehen. Sie klickte auf die Datei – zack, war die Falle zugeschnappt. Die Methode „Begreifen durch Entsetzen“ habe nachhaltigen Eindruck hinterlassen. Bei Wisa gingen die Mitarbeiter seither sehr sensibel mit Daten um, sagt Geschäftsleiter Torsten Decker.
Wissen allein reicht nicht
Entscheidend, so Kirstin Weber, sei das Bewusstsein der Mitarbeiter. Firmen geizten oft nicht mit E-Lernprogrammen, simulierten Phising-Attacken, nutzten Videos, Mails und mehr, um die Beschäftigten aufzuklären. „Ich habe Zweifel, dass das funktioniert.“ Schulungen zielten wiederholt auf das Wissen ab: Standards wie sichere Passwörter oder die Aktivierung der Bildschirmsperre, sobald man den Arbeitsplatz verlässt etc. Aber man wisse auch, dass Rauchen schadet und tue es trotzdem. Entscheidend seien weitere Verhaltensfaktoren: Die Beschäftigten müssten die Maßnahmen ausführen wollen. Dazu müssten sie diese als relevant empfinden. Auch die Aufmerksamkeit (im passenden Moment daran denken) und die Gewohnheit könne man fördern. Dazu müsse man die Menschen gut kennen, individuell angepasste Maßnahmen ergreifen. Und, ganz wichtig: den Menschen Wertschätzung entgegenbringen. Skornia empfahl: Die Sicherheitsmaßnahmen müssten so gestaltet sein, dass der einfachste Weg der sicherste sei. Menschen gingen stets den einfachsten Weg, um ihre Arbeit zu machen. „Also brauche ich bequeme Tools.“
Spezialisten befinden sich auch bei der Polizei, etwa Eva-Maria Ellert. Die Informatikerin erklärte, die Kripo Regensburg habe gut zu tun, was Cyberkriminalität betrifft. Unternehmen seien oft unsicher, ob sie die Polizei informieren sollen. Bei Attacken verfüge die Kripo über einen Leitfaden und könne Empfehlungen geben, was sie in dem Moment noch tun bzw. wie sie weiterarbeiten können. Besonders viele kleine und mittlere Unternehmen seien überrascht, dass sie Ziel von Attacken sein könnten.
Spektakulär war dieAttacke auf die deutschen Industrie- und Handelskammernim vergangenen Jahr. Ein halbes Jahr dauerte es, bis die Systeme wiederhergestellt waren, berichtete Christian Götz, zuständig für IT-Sicherheit. Es sei ein gezielter Angriff mit hohem Aufwand an Geld und Köpfen gewesen. Es ging um Sabotage oder Spionage, so Götz. Trotzdem waren die Schwachstellen, das wisse man heute, fast banal. „Hätten wir eine Zwei-Faktor-Authentifizierung und sichere Passwörter gehabt, die nicht für mehrere Accounts verwendet worden wären, dann hätte der Angreifer keine Chance gehabt.“
Professor Christoph Skornia von der OTH Regensburg