Technische IT-Security reicht nicht
Wo bleibt eigentlich der Hacker-Alarm im Kopf?
Fluchtwege bei Feuer sind in Büros bestens markiert, eine Phishing-Mail aber trifft Mitarbeiter vieler Unternehmen gänzlich unvorbereitet. Wissen die denn nicht, dass erfolgreiche Cyberangriffe vor allem auf die Schwachstelle „Mensch“ zielen?
Grüne Leuchttafeln in jedem Bürogang weisen im Falle eines Brands den Weg zum Notausgang, und jeder Mitarbeiter hat schon mindestens einmal eine Brandschutzübung mit Evakuierung des Bürogebäudes mitgemacht. Aber eine Schulung, gar eine regelmäßige Auffrischung, bei welchen E-Mails man besonders vorsichtig sein und keinesfalls auf einen Link klicken soll? Fehlanzeige! Mehr als die Hälfte von der Versicherung HDI befragten Unternehmen führt keine Mitarbeiterschulungen zur Cybersicherheit durch. IT-Security ist bei diesen Firmen keine Chefsache. Schlimmer noch: Es soll sogar so neugierige Mitarbeiter geben, die ihnen verdächtige E-Mails, die sie auf private Accounts zugestellt bekommen, an ihre berufliche E-Mailadresse weiterleiten und darauf hoffen, dass man sie auf dem Arbeitsplatzrechner gefahrlos öffnen und lesen könne. Herr Gott noch mal, gehts‘ noch! Würde man am liebsten solchen Chefs und solchen Mitarbeitern zurufen.
Wissen die denn nicht, dass Cyberangriffe, die auf die Schwachstelle „Mensch“ zielen, am erfolgversprechendsten für den Angreifer sind? „Im Rahmen der Studie wurden von betroffenen Unternehmen Angriffsmethoden wie Phishing-Mails oder Social Engineering mit Abstand am häufigsten genannt“, erfährt man von HDI-Vorstand Malte Dittmann. „Denn Mitarbeiter, die E-Mail-Anhänge von Unbekannten öffnen oder auf zweifelhafte Links klicken, können Kriminellen unkontrollierte Zugänge in die IT-Systeme öffnen“.
Immerhin hat sich bei einem Viertel kleiner und mittelständischer Firmen herumgesprochen, dass man mittels simulierter E-Mailangriffe die IT-Sicherheit deutlich verbessern kann. Sie führen laut HDI nämlich solche Tests durch. Die nicht personalisierten Auswertungen zeigen, dass eine regelmäßige Schulung die Mitarbeiter für Risiken der E-Mail-Kommunikation sensibilisieren kann. „Die Quote jener, die auf solche Links in fingierten E-Mails klicken, geht dann deutlich zurück“, sagt Franz Obermayer. Sein Systemhaus Fox IT hat seit kurzem ein Tools für solche Sicherheitstest, es nennt sich sehr treffend: FOX Obacht und ist Teil einer umfassenden organisatorischen und technischen Überprüfung, wie gut bei einem Unternehmen Mensch und Maschine (Netzwerk und Clients) gegen Cyberangriffe gewappnet sind.
Technische Maßnahmen stehen an erster Stelle
Die gängigsten Vorkehrungen, mit denen sich Unternehmen gegen Bedrohungen aus dem Cyber-Raum schützen, sind laut HDI technischer Natur: 83 Prozent der Befragten gaben an, dass sie Firewalls installiert hätten, 81 Prozent nannten Spam-Schutz und 80 Prozent automatisierte Backups. Seltener eingesetzt werden zum Beispiel Multi-Faktor Authentifizierungen (55 Prozent) oder verschlüsselte Zugänge zum Unternehmensnetzwerk zum Beispiel über VPN (66 Prozent).
Allerdings reichten technische Lösungen allein nicht aus, so der HDI. Das würden sowohl Untersuchungen als auch die Schadenbilder von erfolgreichen Cyberangriffen zeigen. „Organisatorische Maßnahmen und Mitarbeiterschulungen sind weitere entscheidende Bausteine“.
Risiko-Audits erhöhen die Informationssicherheit
Der HDI betont aber auch, dass Cyberrisiken immer vor dem Hintergrund des Einzelfalls einzuschätzen sind. „Eine individuelle Beurteilung der Risiken durch ein Cyber-Sicherheitsaudit ist deshalb auch für KMU von zentraler Bedeutung“, sagt HDI Vorstand Dittmann. Die Hälfte aller Befragten wünscht sich eine externe Bewertung ihrer Cyber-Risiken durch ein Audit als Zusatzleistung einer Cyberversicherung. Durch ein Audit werden mögliche Schwachstellen der IT-Infrastruktur festgestellt und potenzielle Gegenmaßnahmen aufgezeigt.
Bleibt zu hoffen, dass künftig jedes Unternehmen die Prävention für einen sicheren IT-Betrieb genauso ernst nimmt, wie den Brandschutz. Denn die tatsächlichen Brandherde in einer digitalisierten Wirtschaft werden im virtuellen Raum gelegt. Dabei werden nicht geschulte und nicht sensibilisierte Mitarbeiter unfreiwillige Instrumente von Cyberkriminellen.
Lesen Sie mehr zum Thema
