IT-Sicherheit umfasst mehr als Virenschutz und Firewalls. Für eine funktionierende Unternehmens-IT reicht ein rein technischer Schutz schon lange nicht mehr aus. Die drei Experten sprechen am Tekkie Table sowohl über ihre eigenen Erfahrungen als auch über jeden einzelnen Internetnutzer: über uns alle. Unternehmen müssen den Risikofaktor Mensch bei ganzheitlichen Schutzmaßnahmen im IT-Bereich berücksichtigen. Die beste Technik bringt nichts, wenn der Mensch außen vor gelassen wird. Durch Awareness Trainings lassen sich Mitarbeiter für IT-Themen sensibilisieren.
Pressesprecher Hauke Gierow spricht am Tekkie Table mit Nikolas Schran, zuständig für International Business Development bei G DATA und Mitbegründer sowie Vorstand Kai Figge:
Phishing-Mails immer authentischer
In der Diskussionsrunde der Drei wird deutlich, dass auch Personen, die sich beruflich mit dem Thema IT-Security beschäftigen, nicht vor Angriffen gefeit sind. Oft sind Phishing-Mails kaum noch von echten E-Mails zu unterscheiden. Sie nehmen auf persönliche Insider-Informationen Bezug, adressieren aktuelle Vorgänge und nutzen die hierarchischen Strukturen in vielen Unternehmen aus.
Ein Beispiel: Beim CEO-Fraud handelt es sich um eine Betrugsmasche, bei der eine gefälschte E-Mail scheinbar von einem Mitglied der Unternehmensführung stammt. Folgendes Szenario könnte sich in einem mittelständischen Unternehmen abspielen: Ein Mitarbeiter der Buchhaltung macht seine Arbeit stets gewissenhaft und will Fehler um jeden Preis vermeiden. Das Ende einer stressigen Woche ist in greifbarer Nähe, doch am Freitagnachmittag ist noch eine E-Mail mit dem Betreff „Dringend Überweisung tätigen“ im Postfach. Der Absender ist der vermeintliche CEO der Firma und bittet wiederholt und nachdrücklich darum, eine Überweisung für die Tochtergesellschaft im Ausland in die Wege zu leiten. Die Überweisung wird getätigt, aber der Chef hatte nie eine Transaktion in Auftrag gegeben. Dieses Szenario zeigt, dass Mitarbeiter im Zweifelsfall lieber noch einmal nachfragen sollten, ob eine E-Mail wirklich vom Chef kommt, bevor eine Überweisung ausgeführt wird. Awareness Trainings können Mitarbeiter für solche Szenarien sensibilisieren und sie mit wichtigen IT-Thematiken vertraut machen.
Jedes Unternehmen ist Angriffsziel
Wie gravierend ein solcher IT-Vorfall sein kann, zeigt der Fall des Autozulieferers Leoni. 2016 ergaunerten Kriminelle durch den sogenannten Chef-Trick 40 Millionen Euro. Golem.de hat über den Fall berichtet. Die drei Sicherheits-Spezialisten nehmen diesen Fall als Beispiel und plädieren insgesamt für eine größere Transparenz, wenn IT-Sicherheitsvorfälle Unternehmen treffen. Alle sind sich einig, dass Heise vorbildlich mit einer Emotet-Infektion umgegangen ist, die den Verlag im Mai 2019 traf. Heise selbst (Trojaner Emotet bei Heise: Schäden von weit über 50.000 Euro) berichtete darüber und machte außerdem öffentlich, wie der Angriff passieren konnte und was sie aus dem Vorfall gelernt haben. So können auch andere Unternehmen von den Erfahrungen profitieren und sich bewusst machen: Jeden kann es treffen!
Bewusstsein für Cyberrisiken schaffen
Im Gespräch am Tekkie Table weisen die Drei darauf hin, dass Unternehmen nicht von heute auf morgen ihre Sicherheitskultur verändern können, aber anfangen müssen ihre Mitarbeiter zu schulen, um eine ganzheitliche IT-Infrastruktur zu ermöglichen. Genau hier setzen die Security Awareness Trainings an, denn der Mensch wird von Cyberkriminellen als Schwachstelle gesehen und somit als Einfallstor genutzt. Mit Hilfe von Online-Kursen, die mit praxisnahen Aufgaben und Beispielen arbeiten, lernen die Mitarbeiter nach und nach, worauf sie achten müssen und wie beispielsweise ein Angriffsszenario abläuft. Die Gesprächspartner erzählen von einer internen Phishing-Simulation bei G DATA, an der sie teilgenommen haben. Auch sie erkannten nicht alle Phishing-Mails gleich als solche. Für Mitarbeiter in anderen Unternehmen können solche Simulationen hilfreich sein, um wachsam zu bleiben. Sie lernen aus den eigenen Fehlern, ohne dass diese gravierenden Konsequenzen für das Unternehmen bedeutet.
Kai Figge veranschaulicht anhand des Führerscheins, den G DATA Mitarbeiter regelmäßig vorzeigen müssen, um Firmenfahrzeuge zu nutzen, dass viele Regularien im Unternehmenskontext eine große Relevanz haben. Hauke Gierow nennt Brandschutzschulungen oder Erste-Hilfe-Lehrgänge als Vergleich für die Wichtigkeit von Awareness Trainings. Mitarbeiter und Unternehmen müssen auch im IT-Bereich geschult werden und auf den Ernstfall vorbereitet sein.
Es stellt sich die Frage, warum für den IT-Bereich Regularien fehlen, die sicherstellen könnten, dass Mitarbeiter ein Bewusstsein für Cyberrisiken haben. Die Security Awareness Trainings sind ein Anfang, um zu sensibilisieren und deutlich zu machen: Die komplette Arbeitswelt muss sich mit IT-Sicherheit auseinandersetzen.