„Der Faktor Mensch ist bei der IT-Sicherheit oft die große Herausforderung“

„Der Faktor Mensch ist bei der IT-Sicherheit oft die große Herausforderung“

Auch der kleine Malerbetrieb in Hannover oder der Metallverarbeiter in der Region kann Opfer von Cyberangriffen werden. Die Sparkasse Hannover kennt die Risiken und berät zu Cyberversicherungen.
Wir haben Cybersicherheitsforscher Sascha Fahl gefragt, wie groß das Risiko ist und was Unternehmen tun können, um sich zu schützen. Der 36-jährige Professor der Leibniz-Universität Hannover hat vor Kurzem die Erkenntnisse einer Studie zu Cyberangriffen auf Unternehmen auf einem Kongress in Kanada vorgestellt. Fahls Team hat gerade ein kostenloses Tool erarbeitet, mit dem Unternehmen in wenigen Minuten ihr Angriffsrisiko einschätzen können.

Herr Fahl, zuletzt wurde über Hacker berichtet, die von einem Pipeline-Betreiber in den USA Millionen Dollar erpresst haben. Wichtige Infrastruktur scheint ein logisches Ziel. Aber ist auch der Malerbetrieb oder der Metallverarbeiter mit ein paar Dutzend Mitarbeitern im hannoverschen Umland im Blickfeld von russischen, nordkoreanischen oder anderen Hackergruppen?

Die Hälfte der von uns befragten Unternehmen musste in den letzten 12 Monaten auf Angriffe reagieren, manche mehrfach. Und ich spreche nicht von einfachen Spam-Mails. Das waren zum Teil gezielte Angriffe, die manchmal enormen Schaden angerichtet haben.

Für Ihre Studie zu Cyberangriffen gegen kleine und mittelständische Unternehmen haben Sie 5000 Betriebe am Telefon befragt. Wie sind denn die Unternehmen auf solche Angriffe vorbereitet?

Wir waren überrascht, wie viele Unternehmen nach eigener Aussage mit Antivirensoftware, Firewalls und einem Passwortmanagement zumindest auf technischer Seite auf Angriffe vorbereitet sind.

Und abseits der technischen Sicherungen?

Gerade kleinen Unternehmen fehlt es oft an Personal und Geld, auch strukturell auf Angriffe vorbereitet zu sein. Regelmäßige Sicherheitstrainings und ein Notfallmanagement haben in der Regel nur größere Betriebe.

Wie kommen die Angreifer in die Systeme von Unternehmen?

Oft ist die Schadsoftware in einem PDF oder Dokument enthalten, das einer scheinbaren ungefährlichen E-Mail anhängt. Öffnet es jemand, kann sich die Schadsoftware im gesamten System ausbreiten.

Was wollen die Angreifer von Unternehmen?

Das ist unterschiedlich. Es gibt die geheime Ausspähung, die man Industriespionage nennen würde. Die meisten Angriffe zielen aber auf Lösegeld: Daten werden gesperrt und erst nach Lösegeldzahlung wieder freigeben. Manche Angreifer fischen aber auch erst Daten ab, um besser einschätzen zu können, wie viel Lösegeld sie überhaupt verlangen können.

Lassen sich denn schädliche E-Mail-Anhänge nicht leicht erkennen?

Es gibt Fälle, da werden ganze E-Mail-Verläufe täuschend echt gefälscht. Aber manchmal kommen die Angreifer auch mit weniger Aufwand ans Ziel. Der Faktor Mensch ist bei der IT-Sicherheit oft die große Herausforderung in den Unternehmen.

Wie kann man das ändern?

Man muss die Mitarbeiter sensibilisieren. Jeder Computer, jedes Gerät, das mit dem Internet verbunden ist, kann ein Ziel von Angreifern sein.

Haben die Angriffe in letzter Zeit zugenommen?

Wir sehen in den vergangenen Jahren einen Zuwachs der Angriffe und eine deutliche Professionalisierung der Angreifer. Und die Pandemie hat es den Angreifern leichter gemacht. Im schnell eingerichteten Homeoffice wurde eben nicht sofort oder bis heute nicht mit adäquat gesicherter Hardware gearbeitet. Aber trotzdem ist auch die Verteidigung in den letzten Jahren besser geworden. Es bleibt ein Katz- und Mausspiel.

Sie haben ein Tool zur Einschätzung der Gefahr von Cyberangriffen entwickelt. Für welche Unternehmen ist das interessant – und wie funktioniert es?

Wir haben anhand unserer Daten ein Tool erstellt, das mit den Antworten auf zehn Fragen eine erste Risikoeinschätzung liefert. Das dauert fünf Minuten und ist für alle klein- und mittelständischen Unternehmen geeignet – und es ist kostenlos. Neben einer Einschätzung verlinken wir auch zu zahlreichen Stellen, die den Unternehmen weiterhelfen können.

Die Sparkasse Hannover bietet passgenaue Lösungen bei Cyberversicherungen.
Sprechen Sie mit Ihrem Berater!
Ein aktuelles Interview mit unseren Experten finden Sie hier.


So können sich Unternehmen gegen Cyberangriffe wappnen – das rät Experte Sascha Fahl

  • Sensibilisierung der Mitarbeiter: Jedes Unternehmen, das Digitalisierung und Vernetzung nutzt, ist ein potenzielles Angriffsziel. Das müssen Unternehmer erkennen, dafür müssen sie die Mitarbeitenden sensibilisieren. Wichtig ist, zu vermitteln: Es gibt keinen Grund, panisch zu werden. Man darf die Gefahr aber auch nicht ignorieren – sie ist real.
  • Technische Lösungen: Unternehmen sollten die technischen Lösungen nutzen. Antivirensoftware und Firewall sind ein Muss, dazu ein sicheres Passwortmanagement. Das alles kostet nicht viel Geld. Wer Hilfe bei den ersten Schritten braucht, findet sie bei Niedersachsen Digital, dem Bundesamt für Sicherheit in der Informationstechnik oder über die Initiative IT-Sicherheit in der Wirtschaft des Bundeswirtschaftsministeriums.
  •  Verantwortliche benennen: Größere mittelständische Unternehmen brauchen Verantwortliche, die sich mit Hilfe der IT-Abteilung oder externer Dienstleister um das Thema Cyberangriffe kümmern. Das kann auch helfen, die Kultur im Unternehmen zu ändern und die Bedeutung der Cybersicherheit allen vor Augen zu führen.
  • Strukturen schaffen: Wichtig ist vor allem ein gutes Notfallmanagement. Denn selbst wenn man sich auf manche Angriffe nicht einstellen kann: Wer weiß, was danach zu tun ist, bleibt handlungsfähig.

 

 

Zur Person:

Prof. Sascha Fahl forscht als leitender Wissenschaftler mit seinem Team am CISPA Helmholtz-Zentrum für Informationssicherheit und als Professor für Informatik an der Leibniz Universität Hannover zu Cyberangriffen und anderen Fragen der IT-Sicherheit.

 

Text: Gerd Schild
Bild: Sascha Fahl

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert