IT-Sicherheit Sicherheitsfaktor Mensch

Anbieter zum Thema

Schneider Electric GmbH

imc information multimedia communication AG

Technische Maßnahmen zum Schutz vor Cyberangriffen nutzen wenig, wenn Mitarbeiter nachlässig mit Daten und Programmen umgehen. Unternehmen sollten deshalb Beschäftigte für das Thema Informationssicherheit sensibilisieren.

Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro. Damit ist die Schadenssumme inzwischen mehr als doppelt so hoch, wie noch in den Jahren 2018 und 2019, mit jeweils 103 Milliarden Euro. Von Cyberangriffen waren in den vergangenen zwei Jahren fast neun von zehn Unternehmen betroffen. Das geht aus einer Bitkom-Studie hervor. Selbst wenn Unternehmen schnell reagieren, kann der Schaden groß sein. Wie das Beispiel des Automatisierungsspezialisten Schmersal zeigt: Das Unternehmen wurde vergangenes Jahr vom Landeskriminalamt vor einem Cyberangriff gewarnt. Sofort fuhren die Verantwortlichen alle Systeme herunter. Wie das Handelsblatt berichtete, stand in mehr als 50 Niederlassungen die Fertigung für gut zwei Wochen still. So lange hat es gedauert, bis das weitverzweigte IT-Netz komplett durchsucht und neu aufgesetzt war. Die Kosten bezifferte der geschäftsführende Gesellschafter auf mehr als zwölf Millionen Euro. Auslöser – so zeigten Analysen – war eine unverdächtig scheinende E-Mail, die einen Trojaner in das System eingeschleust hatte.

Ein großes Risiko für Cyberattacken ist – neben einem nicht ausreichend geschützten Netzwerk – der Faktor Mensch. Um den „Sicherheits-Faktor Mensch“ zu stärken, sind laut Bundesamt für Sicherheit in der Informationstechnik (BSI) der Aufbau eines Problem- und Sicherheitsbewusstseins sowie regelmäßige Schulungen wichtige präventive Maßnahmen. „IT-Sicherheit betrifft dabei jeden Mitarbeiter und jede Abteilung im Unternehmen – von den Werkstudenten in der Buchhaltung über die Lageristen bis zur Geschäftsführung“, ist in einer Erklärung des BSI zu lesen. Sven R. Becker, Experte für digitale Bildung und Vorstand des E-Learning Anbieters imc, stimmt dem zu: „Je mehr jeder Einzelne darüber weiß, wo Gefahren für Cyberangriffe lauern, desto leichter lässt sich verhindern, dass sensible Daten und Informationen in die falschen Hände geraten.“ Becker rät daher, alle Mitarbeitende vor allem über „Social Engineering“ aufzuklären.

Der Begriff lässt sich mit ‚Soziale Manipulation‘ übersetzen: Cyberkriminelle nutzen menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten aus, um sensible Daten zu stehlen. Anrufer geben sich etwa als Systemadministrator aus und erklären, dass sie zur Fehlerbehebung das aktuelle Passwort der Kundendatenbank benötigen. Arglose Mitarbeiterinnen und Mitarbeiter möchten dann helfen und nennen die Zugangsdaten. Eine weitere Betrugsform ist Phishing: Um vertrauenswürdig zu erscheinen, tarnen sich E-Mail-Absender beispielsweise als Mitarbeiter der Hausbank. So veranlassen Betrüger ungerechtfertigt Überweisungen oder installieren Schadsoftware auf dem Firmennetzwerk. Träger schädlicher Software können E-Mail-Anhänge, Links oder auch gezielt in Firmen eingeschleuste USB-Sticks sein. Mithilfe von sich selbst installierender Ransomware gelingt es Hackern dann, Daten zu kidnappen und zu verschlüsseln, um anschließend Lösegeld für die Freigabe zu fordern.

Computerspiele mit Lerneffekt

Mit innovativen Methoden der Mitarbeitersensibilisierung beschäftigt sich Niklas Hellemann: „Lange Pflichtschulungen erfüllen zwar Compliance-Richtlinien, effektiver ist es allerdings, kleinere Wissenshappen in den Alltag zu integrieren und immer wieder zu wiederholen“, sagt der Diplom-Psychologe und Gründer des Cybersicherheits-Start-ups Sosafe. Als effektive Schulungsmaßnahmen empfiehlt Hellemann sogenannte Awareness Trainings, also E-Learnings, die ähnlich wie ein Computerspiel funktionieren und mit spielerischen Elementen Wissen vermitteln.

Die Ronal Group, führender Hersteller von Leichtmetallrädern, nutzt ein Awareness Training um weltweit rund 7500 Beschäftigte über Social Engineering aufzuklären. Nutzer lernen die gängigsten Cyberangriffe kennen und erfahren, wie Unbefugte versuchen könnten, Sicherheitsfunktionen auszuhebeln, an vertrauliche Informationen zu gelangen oder Schadsoftware auf dem Firmennetzwerk zu installieren. Ob die Lerninhalte verstanden wurden zeigen Testfragen, die nach Abschluss der unterschiedlichen Kapitel zu beantworten sind. „Social Engineering findet nicht nur in der digitalen Welt statt. Betrüger können auch über persönlichen Kontakt vertrauliche Informationen abgreifen. Deshalb ist es wichtig, auch das Sicherheitsbewusstsein von Mitarbeitern zu schulen, die nicht am PC arbeiten“, erklärt Sven R. Becker von der imc AG, die das Training für Ronal entwickelt hat. Durch eine Sensibilisierung der Arbeiter kann etwa verhindert werden, dass Unberechtigte Zugang zu Fertigungshallen erhalten oder sensible Produktinformationen ausspionieren.

Cybersecurity

No Way für Angreifer: Anlagen per One Way sicher vernetzen

Ronal stellt das E-Learning deshalb auch allen Produktions-Mitarbeitern zur Verfügung. Weil Arbeiter in der Fertigung nicht über einen PC-Arbeitsplatz verfügen, sorgt eine Poster-Kampagne für Aufklärung: Plakate in Kantinen, Werkshallen und Sozialräumen stellen die Lerninhalte in Kurzform anhand eines Comics dar. Wer den aufgedruckten QR-Code scannt, erhält weitere Informationen und wird zum Onlinekurs eingeladen. Das Training absolvieren die Arbeiter entweder mithilfe von Tablets direkt im Shop Floor oder an eigens eingerichteten PC-Arbeitsplätzen nahe der Produktion. „Spaß am Spielen und die aktive Beschäftigung mit IT-Sicherheit führen dazu, dass Nutzer sich Lerninhalte einprägen“, erläutert Becker einen Vorteil von Awareness-Trainings. Genau dieses Ziel verfolgt auch das von der imc entwickelte E-Learning „Cyber Crime Time“: Hier schlüpfen Lernende sogar in die Rolle eines Hackers, um die gängigsten Cyberangriffe kennenzulernen. Die Online-Version des Spiels läuft auf allen Endgeräten und ist im Einzelbenutzer-Modus zum persönlichen Gebrauch kostenlos.

* Silke Blumenröder arbeitet als freie Journalistin.

(ID:47966699)