Der hackbare Mitarbeiter
Jede Kette ist nur so stark wie ihr schwächstes Glied – auch in der IT-Sicherheit. Geräte können gegen Eindringlinge abgesichert werden. Aber Angreifer nehmen immer häufiger die Menschen hinter den Bildschirmen ins Visier.
„Absolute Sicherheit gibt es nicht. Hacker schlafen nicht und finden neue Wege. Zugleich ist ein System nur so sicher wie sein schwächstes Glied. Und das sind nicht selten die Benutzer.“
Alfred Gunsch, Geschäftsführer siplan
gal ob Buchhaltungs-PC oder ausgeklügeltes Firmennetzwerk: IT-Systeme bieten Angriffsfläche. Sorglos eingerichtet oder schlecht gewartet weisen sie unweigerlich Sicherheitslücken auf. Standard-Passwörter, fehlende Updates und schlampig oder gar nicht installierte Firewalls sind aber nicht die einzigen Probleme. „Viele Attacken kann man auf IT-Ebene abwehren“, erklärt Alfred Gunsch, Geschäftsführer des Tiroler IT-Unternehmens siplan und Berufsgruppensprecher IT Tirol. „Absolute Sicherheit gibt es aber nicht. Hacker schlafen nicht und finden neue Wege. Zugleich ist ein System nur so sicher wie sein schwächstes Glied. Und das sind nicht selten die Benutzer.“
Unwissentliche Komplizen.
Angriffe gegen das „weiche Ziel Mensch“ gibt es schon lange. Im weitesten Sinne fallen sie alle unter das „Social Engineering“ – das Manipulieren des Benutzers anstelle von Soft- und Hardware. „Das erfordert oft weniger technisches Know-how, als Sicherheitsmaßnahmen auszuhebeln“, erklärt Gunsch. „Anstatt selbst Schadcode einzuschleusen oder Daten zu extrahieren, ‚überredet‘ ein Angreifer jemanden, es für ihn zu tun.“ Der häufigste Weg ist, User dazu zu bringen, Links oder Anhänge mit Schadsoftware zu öffnen.
Meistens geschieht das mit Phishing-Mails, in denen Adressaten ein vertrauenswürdiger Absender vorgegaukelt wird. Dabei bauen Angreifer auf Psychologie: Vermeintlich offizielle oder bekannte Quellen fördern Vertrauen. Angebliche Rechnungen oder Mahnungen erzeugen Neugierde oder Entrüstung, Gewinnbenachrichtigungen Euphorie.
Zielgerichtet.
Zusätzlich kommen gezielte Attacken zum Einsatz: Anstelle breit gefächert E-Mails zu verschicken, werden bei „Spear Phishing“ spezifische Mitarbeiter mit maßgeschneiderten Fälschungen kontaktiert. Auf den Gipfel getrieben wird das beim „CEO Fraud“: Ein Mitarbeiter, meist aus der Finanzabteilung, wird gebeten, Geld oder Daten zu transferieren. Dabei fälschen Hacker die E-Mail-Adresse eines hochrangigen Führungsmitglieds und fordern persönlich zur dringenden Transaktion auf – oft inklusive einer Begründung, warum eine Rücksprache aktuell nicht möglich ist.
Wissen, Misstrauen, Regeln.
Sicherheitslücken sind entweder vorhanden oder nicht. Mitarbeiter laufen dagegen immer Gefahr, auf Tricks hereinzufallen. „Social Engineering kann über E-Mail, das Telefon oder im Gespräch geschehen“, meint Gunsch. „Auf alle Szenarien vorbereitet ist niemand.“ Deswegen sollte man drei Maßnahmen forcieren, damit Mitarbeiter nicht zur IT-Schwachstelle werden. „Es muss Bewusstsein geschaffen werden – nicht nur für bekannte Angriffe, sondern um den Wert von Daten und die Risiken ihrer Weitergabe“, empfiehlt der Experte.
Damit einher geht der zweite Schritt: das Etablieren von gesundem Misstrauen. „Gewissermaßen den sechsten Sinn trainieren: Wirkt etwas ungewöhnlich, klingt ein Angebot zu gut, um wahr zu sein, oder werden übliche Dienstwege umgangen, sollten die Alarmglocken schrillen.“
Zu guter Letzt gelte es, an das Unternehmen angepasste Regeln zu schaffen – vom Umgang mit Mail-Anhängen über den Einsatz externer Datenträger bis zur Abwicklung von Telefonanfragen. „Der Schlüssel liegt in der Verbindung von Bewusstsein und Vorschriften“, empfiehlt der Experte. Werden Attachments von unbekannten Quellen aus Prinzip nicht geöffnet oder erhalten Anrufer erst Auskunft, wenn ihre Identität verifiziert ist, grabe man vielen Angreifern das Wasser ab.
Profi-Hilfe.
KMUs fehlen oft die Ressourcen und das Know-how, um das aus eigener Kraft umzusetzen. Cyberkriminalität ist mittlerweile aber ein so allgegenwärtiges Thema, dass eine Vielzahl von Angeboten die Unternehmen dabei unterstützt. „Gerade kleine Unternehmen sollten sich nicht scheuen, Hilfe von außen hinzuzuziehen“, bestätigt Gunsch. „Der Zeitaufwand dafür hält sich in Grenzen, ebenso wie die Kosten. Und die Schäden, die man alleine durch Bewusstseinsbildung verhindern kann, sind enorm.“
„Gerade kleine Unternehmen sollten sich nicht scheuen, Hilfe von außen hinzuzuziehen. Der Zeitaufwand dafür hält sich in Grenzen, ebenso wie die Kosten. Und die Schäden, die man alleine durch Bewusstseinsbildung verhindern kann, sind enorm.“
Alfred Gunsch