Interview zum Thema IT-Sicherheit: Hohe Gefährdung und dringende Aufgabe für viele Unternehmen

In vielen Unternehmen ist die IT-Sicherheit eine Schwachstelle, besonders bei der Arbeit außerhalb des Büros. Eine reale Gefahr für alle Unternehmen – und dennoch ein Thema, das bei vielen nicht auf der Agenda steht, kritisiert der IT-Experte Stefan Hörhammer. Hier sagt er, worum es ihnen jetzt gehen sollte.

Was sind die Gefahren, die in Sachen IT für die Unternehmen lauern?
Ich sehe unterschiedliche Gefahren, die die IT-Systeme von Unternehmen kompromittieren können: Die Gefahr des Datenverlustes durch Beschädigung und Diebstahl oder auch das Ausspähen von Daten. Das bedeutet, dass vertrauliche Informationen irgendwo landen, wo sie nicht hingehören. Erpressung ist ebenfalls ein großes Thema.

Welche dieser Gefahren am häufigsten auftritt, kommt auf die Branche an und in welchen Bereichen die Unternehmen aktiv sind. Ein Unternehmen, das sehr präsent im Online-Handel ist und 90 Prozent seines Umsatzes online generiert, hat eine höhere Gefährdung als ein Unternehmen, das versucht online möglichst unauffällig aufzutreten. Biotech-Unternehmen sind beispielsweise nach außen nicht sehr aktiv, aber für Hacker ein interessantes Ziel, denn sie besitzen hochwertige Technologien, die gestohlen werden könnten. Ein solches Unternehmen ist aber nicht sehr abhängig von seinem Online-Umsatz. Würde jedoch aus dem Nichts die Website eines Online-Lieferservice abgeschaltet werden, hätte dies einen einschneidenden Effekt.

Was sind die Ziele von Hackern?
Der allergrößte Teil der Hacker, die für Unternehmen gefährlich sind, haben ein wirtschaftliches Ziel: Geld. Und der häufigste Weg, um dies zu erreichen, ist Erpressung. Ein mögliches Szenario wäre folgendes: Die Hacker verschlüsseln die Daten des Opfers und dieses muss Geld bezahlen, damit die Daten wieder entschlüsselt werden. Oder auch: Die Daten werden geklaut und, wenn die Zahlung per Kryptowährung ausbleibt, in Internetportalen veröffentlicht. Das sind die üblichen Ziele, es gibt aber auch andere Möglichkeiten, wie etwa das gezielte Ausspähen von Daten – da sind wir dann schon im Bereich der Industriespionage.

Wie gehen Hacker vor?
Ganz klassisch ist zum Beispiel der Lebenslauf. Arbeitet ein/e Mitarbeiter/in in der Personalabteilung, bekommt diese/r in der Regel viele Unterlagen per Mail geschickt. Es könnte also passieren, dass ein Anhang mit einem Link im Postfach landet. Wird dann unachtsam draufgeklickt, ist man dem Hacker zum Opfer gefallen. Alternativ kann es ein vermeintlicher Support sein, der den/die Mitarbeiter/in anruft und dann Fernzugriff auf den Computer verlangt. Manche Hacker hinterlassen auch USB-Sticks auf dem Parkplatz – hier wird auf die Neugierde der Mitarbeiter/innen gesetzt, die den Stick dann möglicherweise im Unternehmen in den Rechner stecken. Awareness ist die große Herausforderung: Die „Schwachstelle Mensch“ führt am häufigsten dazu, dass Hacker einen Zugang bekommen, auf welche Art auch immer. Es ist häufig für Hacker viel einfacher, diese Schwachstelle zu nutzen als technologische Hürden zu überwinden.

Wer ist betroffen?
Das ist das entscheidende: Alle sind betroffen! Es sind nicht nur diejenigen betroffen, die wertvolle Daten haben. Ich betreue Kunden – mittelständische Firmen – deren Geschäftsführer meinen, dass ihre Daten gar nicht wertvoll genug sind, um gestohlen zu werden. Das mag ja sein – aber entscheidend ist nicht, wie wertvoll die Daten für andere sind, sondern für mich. Es ist ein großer Unterschied, ob fremder Datenmissbrauch den/die Geschäftsleiter/in nicht interessiert oder ob ich selbst wichtige Daten nicht mehr besitze und nicht mehr mit ihnen arbeiten kann.

Welche Tendenzen und Entwicklungen der letzten Jahre siehst Du?
Die Professionalisierung der Hacker ist enorm angestiegen. Hacker sind keine Jungs mehr, die im Kapuzenpullover in einem Keller sitzen – das ist ein Business mit klaren Strukturen und klaren Aufgabenverteilungen

Und auch das muss gesagt werden: Kryptowährungen haben dazu geführt, dass Hacker ein Bezahlmodell haben, das funktioniert. Das ganze Geschäftsmodell wäre nämlich nicht sinnvoll, gäbe es einen Weg, den Standort der Hacker durch die Nachverfolgung der Bezahlung ausfindig zu machen. Ohne diese Verschlüsselung wären Hacker vielleicht Menschen, die das zum Spaß machen, möglicherweise noch ein paar Idealisten oder politisch Motivierte – doch heute ist der Großteil der Taten finanziell motiviert.

Wie können Unternehmen sich schützen?
Erstens müssen Organisationen sich weiterentwickeln, was den technologischen Schutz angeht – mit einem einfachen Virenschutz oder einer einfachen Firewall ist es nicht mehr getan. Sie brauchen „Threat Protection“, eine Technologie, die nicht nur auf bestimmte Dateien reagiert, sondern die dazulernt und auf Verhaltensmuster reagiert. So können die Rechner zum Beispiel einen Kryptotrojaner erkennen, wenn dieser beginnt, Dateien zu verschlüsseln, und ihn direkt abkapseln.

Und zweitens brauchen die Unternehmen eine „Business Impact“-Analyse: Der/Die Zuständige muss wissen, an welchen Stellen was betriebskritisch wird. Ich erlebe das oft, dass die Kunden gar nicht sagen können, was wie wichtig ist. Doch sie brauchen eine Definition dessen, was besonders schützenswert ist. Sie sollten sich darüber im Klaren sein, was eine Störung für Auswirkungen haben kann. Dann ist auch das Thema des Budgets keine Frage mehr. Und sie brauchen einen Krisenreaktionsplan – nicht nur, wenn die Fabrik abbrennt. Den brauchen sie auch für einen Cybernotfall!

Und dann, der letzte Schritt: Awareness! Die Mitarbeiter/innen müssen permanent sensibilisiert und wachgehalten werden.

Es geht nicht nur um die IT-Abteilung – wie schult und wie sensibilisiert man jeden einzelnen Mitarbeitenden?
Mit konkreten Beispielen! Schulungen sind schön und gut. Wir gehen jedoch einen anderen Weg: Wir konfrontieren die Menschen mit konkreten Situationen. Wir simulieren einen Anruf oder einen Maileingang. Dann schauen wir, wie sie sich verhalten. Und wenn sie auf den Link klicken, erhalten sie eine Schulung.

Welche besonderen Hürden hat IT-Sicherheit, wenn die Mitarbeiter/innen remote oder im Home-Office arbeiten?
Im Home-Office befinden sich die Menschen nicht in einem geschützten Firmennetzwerk. Daheim sind in demselben Netzwerk immer auch andere User, die nicht dasselbe Sicherheitsbedürfnis haben – Kinder, Partner, der Kühlschrank oder Sprachassistenten – und das bedeutet: Wer im Home-Office arbeitet, ist viel offener.

Der nächste Punkt ist ein emotionales Thema. Sehr häufig ist es doch wie folgt: In die Firma zu kommen und von dort zu arbeiten ist mit bestimmten Verhaltensmustern verbunden. Deshalb machen Menschen Fehler zuhause, die sie in der Firma nie machen würden. Erschwerend kommt die Tatsache hinzu, dass ich den Kollegen am Nachbartisch nicht fragen kann, ob das seltsam ist, was da gerade passiert.

Wie kann man IT-Sicherheit auch im Home-Office sicherstellen?
Misstrauisch sein! Das ist das, was ich als Mensch machen kann. Technologisch funktioniert das durch einen Rechner, der auf ein eigenes Netzwerk zugreift. Doch das ist nur die technologische Lösung – die hilft mir jedoch nicht, wenn ich einen Anruf erhalte und dann dem Eindringling einfach Zugriff auf meinen Rechner gebe, weil er beispielsweise vorgibt, zum firmeninternen Support zu gehören.

Du hast im Vorgespräch gesagt, IT-Sicherheit sei kein rein technologisches Thema, sondern auch ein Mindset-Thema. Warum ist das so?
Wir fühlen uns in unserer privaten Umgebung sicher und sind es nicht gewohnt in dieser Umgebung kompromittiert zu werden. Als Privatperson bin ich anderen Arten von Gefährdungen ausgesetzt. Denn niemand wird den Aufwand betreiben, einen privaten Rechner zu verschlüsseln – das lohnt sich einfach nicht. Es wird auch niemand einen Saugroboter hacken, damit der im Kreis fährt – da kommt hinten kein Geld raus. Deshalb sind wir zuhause häufig nicht darauf vorbereitet, dieser Art der Gefährdung zu begegnen.

Das heißt, wie sollten Unternehmen sich jetzt verhalten?
Die Unternehmen brauchen klare Security-Konzepte für die Arbeit aus dem Home-Office. Durch die Pandemie sind wir mit dem Vorschlaghammer dorthin getrieben worden, deshalb gibt es diese Konzepte häufig noch nicht – doch hier müssen die Unternehmen jetzt nachziehen. Inzwischen nehmen Unternehmen diese Lücke zwar auch wahr, aber gerade der mittlere und kleinere Mittelstand hat dafür bisher noch keine Zeit gehabt. Diese Unternehmen haben gerade am Markt zu kämpfen und glauben daher, dass sie andere Probleme haben. Eine der schlimmsten Aussagen, die ich höre: „Ihr habt recht, da müssen wir uns bald mal unterhalten.“ Dabei habe ich kein gutes Gefühl! Das ist sehr zeitkritisch – wir haben ständig Situationen, die zeigen, dass Hackerangriffe tagtäglich geschehen und Prävention nicht warten kann.