IT-Sicherheit in Unternehmen
31. August 2021

IT-Sicherheit – kleine und große Katastrophen durch Qualifikation verhindern

  • IT-Sicherheit & Cyber-Attacken – die Spitze des Eisbergs
  • Ursachenforschung – professionelles Ungleichgewicht
  • IT-Sicherheit & der risikofaktor Mensch
  • Mitarbeiterschulung: sensibilisieren und qualifizieren 
  • Fazit – Tür, Schloss und Schlüssel

Der verständliche Fokus auf die Flutkatastrophe in Rheinland-Pfalz und Nordrhein-Westfalen hat in der medialen Berichterstattung einen anderen, bei genauer Betrachtung bemerkenswerten Katastrophenfall weitgehend aus dem Blick der Öffentlichkeit verdrängt. Ein besonderer Fall der IT-Sicherheit. Auch wenn es in diesem Fall glücklicherweise nicht um eine akute Bedrohung von Menschenleben geht, ist hierbei noch nicht absehbarer wirtschaftlicher und für die betroffenen Stellen nicht zu unterschätzender Imageschaden entstanden.

Am 6. Juli 2021 erklärte der Landkreis Anhalt-Bitterfeld erstmals in der Geschichte der Bundesrepublik den Cyber-Katastrophenfall. Ein Hackerangriff verursachte den kompletten Zusammenbruch der IT-Infrastruktur in Teilen der kommunalen Verwaltung. Vor dem Hintergrund der schwerwiegenden Auswirkungen des Systemausfalls sahen sich die Verantwortlichen zu diesem bisher einmaligen Schritt genötigt. Das auf den ersten Blick ungewöhnliche Ereignis beweist jedoch Versäumnisse im Bereich der IT-Sicherheit, die bedauerlicherweise kein Einzelfall sind und sich nicht auf die öffentliche Verwaltung beschränken. Auch die freie Wirtschaft kämpft täglich mit vergleichbaren Fällen, von denen viele öffentlich unbemerkt bleiben oder sogar bewusst von Betroffenen verschwiegen werden. Insgesamt zeigt sich hier ein Problem, das schon heute Behörden und Unternehmen vor eine wachsende Herausforderung stellt, schweren wirtschaftlichen Schaden verursacht und im schlimmsten Fall sogar Menschenleben bedrohen kann.

IT-Sicherheit & Cyber-Attacken – die Spitze des Eisbergs

IT-Sicherheit & Cyber-Attacken – die Spitze des Eisbergs

Über die genauen Hintergründe des auf den ersten Blick einmaligen aktuellen Falles ist bisher wenig bekannt. Medienvertreter gehen jedoch davon aus, dass es sich bei dem folgenschweren Hacker-Angriff um eine Form der Cyber-Erpressung handelt. Kriminelle verschaffen sich hierbei Zugriff auf die IT-Infrastruktur von Unternehmen, Behörden oder auch Privatpersonen, verschlüsseln vorhandene Daten oder Zugänge und versperren den legalen Nutzern damit den Zugang. Erst gegen Zahlung eines anschließend geforderten „Lösegeldes“ versprechen die Täter die Verschlüsselung aufzuheben und so die Nutzung der Systeme zu ermöglichen. Diese Methode erfreut sich in den letzten Jahren zunehmend zweifelhafter Beliebtheit bei schwer zu ermittelnden international operierenden Cyber-Kriminellen.

Laut einer Untersuchung des Digitalverbands Bitkom aus dem Jahr 2017 entstehen Unternehmen durch Cyberangriffe jährlich mehr als 100 Milliarden Euro Schaden. Betroffen sind laut einer Umfrage unter 1.000 Geschäftsführern deutscher Unternehmen zwei Drittel aller Firmen. Weltweit entsteht durch Cyberkriminalität jedes Jahr ein Schaden von mehr als einer Billion US-Dollar. Dabei rechnen Experten mit einer enormen Dunkelziffer, da das Problem für viele Unternehmen ein imageschädigendes Tabuthema darstellt. Deshalb ist davon auszugehen, dass eine große Zahl Betroffener vergleichbare Ereignisse verschweigt und sogar bereit ist, auf Erpressungsversuche einzugehen, um das Problem schnellstmöglich und ohne Aufsehen zu bewältigen.

Der Schaden ist jedoch nicht allein materiell. Tatsächlich haben nicht einmal alle Cyberangriffe einen profitorientierten kriminellen Hintergrund. Sowohl individuelle als auch terroristische oder politisch motivierte digitale Sabotageakte haben in der Vergangenheit bereits einige Aufmerksamkeit erregt. Ein Cyberangriff auf ein Kraftwerk in Saudi-Arabien im Jahr 2017 oder die Attacke mit dem Stuxnet-Wurm auf ein iranisches Kernkraftwerk hatten nur durch viel Glück keine katastrophalen Folgen, die Menschenleben bedroht hätten.

Im aktuellen Cyber-Katastrophenfall sind unter anderem die Empfänger von Sozialleistungen betroffen. Auch wenn geeignete Maßnahmen ergriffen werden, sind die zu erwartenden Schäden sicherlich nicht allein materiell.

Ursachenforschung – professionelles Ungleichgewicht

Cyberkriminalität ist offensichtlich ein lukratives Geschäft. Egal ob durch Erpressung oder umfangreiche finanzielle Mittel der Auftraggeber, Cyberkriminelle sind mehrheitlich gut ausgebildete, kreative und technisch hervorragend ausgestattete Profis in ihrem Metier.

Dem gegenüber zeigt sich auf Seiten der Opfer von Cyber-Attacken ein insgesamt bedenklicher Zustand der IT-Sicherheit als Ganzes. Auch wenn die Ausgaben für IT-Security mit aktuell knapp 6 Mrd. Euro in den letzten Jahren kontinuierlich steigen und mit Gesetzen und Regierungsinitiativen versucht wird, die Sicherheit der IT-Infrastruktur in der Verwaltung gezielt zu erhöhen, liegt an vielen Stellen in Fragen der IT-Sicherheit einiges im Argen.

IT-Sicherheit & der risikofaktor Mensch

Auf den ersten Blick ist IT-Sicherheit vor allen Dingen ein technisches Problem. Die Berichterstattung über Sicherheitslücken in Hard- und Software bestätigen diese Vermutung. Entsprechend gehen Verantwortliche vorschnell davon aus, dass Sicherheit vor allen Dingen eine Frage der Investitionsbereitschaft ist. Tatsächlich zeigt die genaue Betrachtung, dass veraltete Infrastruktur in vielen Fällen zumindest einen Teil dazu beigetragen hat, Cyberkriminellen das Handwerk zu erleichtern.

Hersteller von Hardware und Softwareentwickler betreiben großen Aufwand, Bedrohungen frühzeitig zu identifizieren und Sicherheitslücken zu beseitigen. Regelmäßige Sicherheitsupdates sind deshalb ein zentrales Element der IT-Sicherheit. Die absolute Sicherheit gibt es nicht. Hersteller und Entwickler können meist nur reagieren und laufen so oft der Kreativität der Kriminellen in möglichst kurzem Abstand hinterher. Hierdurch besteht immer zumindest ein kurzes Zeitfenster, in dem Systeme grundsätzlich anfällig sind. Die technische Komponente ist jedoch oftmals nur das kleinere Problem. Anders ausgedrückt: das theoretisch sicherste System kann seinen Nutzer nur schützen, wenn dieser es richtig bedient.

Um ein System manipulieren zu können, Daten für den Nutzer zu sperren, Informationen abzuschöpfen, Systeme vollständig zu korrumpieren oder anderweitig Schaden zu verursachen, benötigen Cyberkriminelle Systemzugriff. Technische Sicherheitslücken als offenstehende Hintertüren sind hier nur eine Schwachstelle. Die einfachste Methode besteht darin, ein System bildlich gesprochen durch die Vordertür zu betreten. Dies gelingt einerseits durch das Erschleichen von Zugangsdaten und Passwörtern und andererseits durch das Platzieren von Schadsoftware. In beiden Fällen ist es überwiegend der Mensch, der durch Fehler und Nachlässigkeit dem Kriminellen die Arbeit ermöglicht oder zumindest erleichtert.

Für Unternehmen und Behörden heißt das vor allen Dingen eines: Neben dem technischen Zustand der IT-Systeme ist der Mitarbeiter der sensibelste Faktor beim Thema IT-Sicherheit. Selbst der Zustand eines Systems steht in unmittelbarem Zusammenhang zum Faktor Mensch. Wird ein System nicht aktiv gepflegt, werden wichtige Updates nicht rechtzeitig vorgenommen und besteht keine allgemeine Sensibilität im Umgang mit Soft- und Hardware, werden zum Beispiel Zeichen für eine mögliche oder akute Bedrohung nicht frühzeitig erkannt, kann selbst das technische Potenzial des modernsten Systems nicht ausgeschöpft werden.

IT-Sicherheit Mitarbeiterschulung: Sensibilisieren und Qualifizieren

Mitarbeiterschulung: Sensibilisieren und Qualifizieren

In den seltensten Fällen handelt es sich um Mutwillen, wenn die Ursachen für einen Cyber-Angriff auf Fehlverhalten eines Mitarbeiters zurückzuführen sind. Trotzdem sind es oft unsachgemäß gewählte, leichtsinnig verwaltete und so einfach ausspionierte oder gehackte Passwörter, leichtfertig geöffnete Mailanhänge, unerkannte Phishingmails und andere Nachlässigkeiten, die es Cyberkriminellen leicht machen, sich Zugriff zu verschaffen und Viren, Würmer, Trojaner und andere Schadsoftware zu platzieren.

Zwei Faktoren müssen hier als ursächlich betrachtet werden: mangelnde Sensibilisierung für Gefahren und ungenügendes Wissen über den sicheren Umgang mit gefährdeten Systemen sowie die angemessene Reaktion auf konkrete Vorfälle. Auch wenn moderne Systeme Anwender zunehmend unterstützen, indem sie zum Beispiel nur sichere Passwörter zulassen, die Verwendung von externen Datenträgern blockieren, die Installation von zusätzlicher Software ohne Autorisierung verhindern oder Mail-Anhänge automatisch auf Viren und Schadsoftware prüfen, sind Mitarbeiter:innen ohne das erforderliche Problembewusstsein und Fachkenntnisse sehr kreativ darin, selbst solche Sicherheitsmaßnahmen zu umgehen.

Das erforderliche Wissen beschränkt sich in vielen Unternehmen auf ausgewiesenes Fachpersonal wie Systemadministratoren. Diese sind bei der Fülle ihrer Aufgaben jedoch meist dazu verurteilt, im Rahmen ihrer begrenzten Möglichkeiten zu reagieren, wenn das sprichwörtliche Kind bereits in den Brunnen gefallen ist.

Um angemessen auf die wachsende Gefährdung zu reagieren, ist es deshalb dringend erforderlich, Mitarbeiter:innen in Unternehmen und Behörden angemessen über den sicheren Umgang mit gefährdeten Systemen zu informieren und zu schulen. Die Bereitstellung von Dokumentationen und die häufig übliche Verpflichtung der Mitarbeiter:innen durch IT-Betriebsvereinbarungen sind in diesem Fall eher symbolisch oder auch juristisch bzw. versicherungsrechtlich relevant. Das Problem lösen sie nur bedingt. Mit zeitgemäßen, innovativen Schulungsangeboten lässt sich dagegen Wissen effizient vermitteln und effektiv sensibilisieren.

Besonders effizient arbeiten Online-Schulungen, die den Mitarbeitenden eine termin- und ortsunabhängige Teilnahme ermöglichen. So entsteht nicht die für Gruppen-Präsenz-Schulungen typische Gruppendynamik, die den Lerneffekt schnell schmälert und den einzelnen Mitarbeitenden in eine Situation drängen kann, in der er sich schlimmstenfalls unter Generalverdacht gestellt fühlt. Die digitale Schulung vermittelt zudem Kenntnisse und Fähigkeiten genau dort, wo sie später angewendet werden sollen. Tafel und Flipchart können dies nur begrenzt ersetzen. Multimediale Schulungsinhalte senken zudem die thematische Einstiegsschwelle. So sind Schulungen auch und vor allen Dingen bei Mitarbeiter:innen wirkungsvoll, die nur selten mit IT-Systemen in Berührung kommen und deshalb für die IT-Sicherheit ein besonders großes Risiko darstellen. Werden Mitarbeiter:innen so qualifiziert und wird diese Zusatzqualifikation zertifiziert, entsteht sowohl dem Unternehmen der gewünschte Nutzen als auch ein langfristiger Mehrwert für den Mitarbeitenden.

Fazit – Tür, Schloss und Schlüssel

Zeitgemäße Hardware, aktuelle Software sowie regelmäßige Sicherheitsupdates sind eine technische Grundvoraussetzung für den Schutz vor Angriffen auf das IT-System in Unternehmen, Behörden und Institutionen.

Die beste Ausrüstung ist jedoch weitgehend nutzlos, wenn sie nicht oder nicht sachgerecht eingesetzt wird.

Perfekte IT-Sicherheit ist deshalb immer eine Kombination aus Equipment, Risikobewusstsein und Know-how. Jedes der Elemente baut auf dem anderen auf. Fehlt auch nur eines, entstehen Sicherheitslücken, die Kriminelle gezielt suchen, finden und ausnutzen.

Mitarbeiterschulungen sind das geeignete Werkzeug, um das erforderliche Know-how im Unternehmen bereitzustellen und einen sensiblen Umgang mit dem Thema IT-Sicherheit zu etablieren.

31. August 2021
Herausforderung Datenschutz & Digitalisierung
31. August 2021
Remote Work – das neue alte Arbeitsplatzmodell, seine Chancen und Risiken
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,66 von 5 Sternen 1381 Bewertungen auf ProvenExpert.com