{"id":1401,"date":"2022-11-07T15:38:03","date_gmt":"2022-11-07T15:38:03","guid":{"rendered":"https:\/\/lawpilots.com\/?p=1401"},"modified":"2024-11-26T10:18:10","modified_gmt":"2024-11-26T09:18:10","slug":"it-sicherheit-mitarbeiterschulung","status":"publish","type":"post","link":"https:\/\/lawpilots.com\/de\/blog\/it-sicherheit\/it-sicherheit-mitarbeiterschulung\/","title":{"rendered":"IT-Sicherheit: Fachwissen als Schutz vor Katastrophen"},"content":{"rendered":"\n
\n
\n

Der verst\u00e4ndliche Fokus auf die Flutkatastrophe in Rheinland-Pfalz und Nordrhein-Westfalen hat in der medialen Berichterstattung einen anderen, bei genauer Betrachtung bemerkenswerten Katastrophenfall weitgehend aus dem Blick der \u00d6ffentlichkeit verdr\u00e4ngt. Ein besonderer Fall der IT-Sicherheit. Auch wenn es in diesem Fall gl\u00fccklicherweise nicht um eine akute Bedrohung von Menschenleben geht, ist hierbei noch nicht absehbarer wirtschaftlicher und f\u00fcr die betroffenen Stellen nicht zu untersch\u00e4tzender Imageschaden entstanden.<\/p>\n\n\n\n

Am 6. Juli 2021 erkl\u00e4rte der Landkreis Anhalt-Bitterfeld erstmals in der Geschichte der Bundesrepublik den Cyber-Katastrophenfall. Ein Hackerangriff verursachte den kompletten Zusammenbruch der IT-Infrastruktur in Teilen der kommunalen Verwaltung. Vor dem Hintergrund der schwerwiegenden Auswirkungen des Systemausfalls sahen sich die Verantwortlichen zu diesem bisher einmaligen Schritt gen\u00f6tigt. Das auf den ersten Blick ungew\u00f6hnliche Ereignis beweist jedoch Vers\u00e4umnisse im Bereich der IT-Sicherheit, die bedauerlicherweise kein Einzelfall sind und sich nicht auf die \u00f6ffentliche Verwaltung beschr\u00e4nken. Auch die freie Wirtschaft k\u00e4mpft t\u00e4glich mit vergleichbaren F\u00e4llen, von denen viele \u00f6ffentlich unbemerkt bleiben oder sogar bewusst von Betroffenen verschwiegen werden. Insgesamt zeigt sich hier ein Problem, das schon heute Beh\u00f6rden und Unternehmen vor eine wachsende Herausforderung stellt, schweren wirtschaftlichen Schaden verursacht und im schlimmsten Fall sogar Menschenleben bedrohen kann.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

IT-Sicherheit & Cyber-Attacken \u2013 die Spitze des Eisbergs<\/h2>\n\n\n\n

\u00dcber die genauen Hintergr\u00fcnde des auf den ersten Blick einmaligen aktuellen Falles ist bisher wenig bekannt. Medienvertreter gehen jedoch davon aus, dass es sich bei dem folgenschweren Hacker-Angriff um eine Form der Cyber-Erpressung handelt. Kriminelle verschaffen sich hierbei Zugriff auf die IT-Infrastruktur von Unternehmen, Beh\u00f6rden oder auch Privatpersonen, verschl\u00fcsseln vorhandene Daten oder Zug\u00e4nge und versperren den legalen Nutzern damit den Zugang. Erst gegen Zahlung eines anschlie\u00dfend geforderten \u201eL\u00f6segeldes\u201c versprechen die T\u00e4ter die Verschl\u00fcsselung aufzuheben und so die Nutzung der Systeme zu erm\u00f6glichen. Diese Methode erfreut sich in den letzten Jahren zunehmend zweifelhafter Beliebtheit bei schwer zu ermittelnden international operierenden Cyber-Kriminellen.<\/p>\n\n\n\n

Laut einer Untersuchung des Digitalverbands Bitkom aus dem Jahr 2017 entstehen Unternehmen durch Cyberangriffe j\u00e4hrlich mehr als 100 Milliarden Euro Schaden. Betroffen sind laut einer Umfrage unter 1.000 Gesch\u00e4ftsf\u00fchrern deutscher Unternehmen zwei Drittel aller Firmen. Weltweit entsteht durch Cyberkriminalit\u00e4t jedes Jahr ein Schaden von mehr als einer Billion US-Dollar. Dabei rechnen Experten mit einer enormen Dunkelziffer, da das Problem f\u00fcr viele Unternehmen ein imagesch\u00e4digendes Tabuthema darstellt. Deshalb ist davon auszugehen, dass eine gro\u00dfe Zahl Betroffener vergleichbare Ereignisse verschweigt und sogar bereit ist, auf Erpressungsversuche einzugehen, um das Problem schnellstm\u00f6glich und ohne Aufsehen zu bew\u00e4ltigen.<\/p>\n\n\n\n

Der Schaden ist jedoch nicht allein materiell. Tats\u00e4chlich haben nicht einmal alle Cyberangriffe einen profitorientierten kriminellen Hintergrund. Sowohl individuelle als auch terroristische oder politisch motivierte digitale Sabotageakte haben in der Vergangenheit bereits einige Aufmerksamkeit erregt. Ein Cyberangriff auf ein Kraftwerk in Saudi-Arabien im Jahr 2017<\/a> oder die Attacke mit dem Stuxnet-Wurm auf ein iranisches Kernkraftwerk hatten nur durch viel Gl\u00fcck keine katastrophalen Folgen, die Menschenleben bedroht h\u00e4tten.<\/p>\n\n\n\n

Im aktuellen Cyber-Katastrophenfall sind unter anderem die Empf\u00e4nger von Sozialleistungen betroffen. Auch wenn geeignete Ma\u00dfnahmen ergriffen werden, sind die zu erwartenden Sch\u00e4den sicherlich nicht allein materiell.<\/p>\n\n\n\n

Ursachenforschung \u2013 professionelles Ungleichgewicht<\/h2>\n\n\n\n

Cyberkriminalit\u00e4t ist offensichtlich ein lukratives Gesch\u00e4ft. Egal ob durch Erpressung oder umfangreiche finanzielle Mittel der Auftraggeber, Cyberkriminelle sind mehrheitlich gut ausgebildete, kreative und technisch hervorragend ausgestattete Profis in ihrem Metier.<\/p>\n\n\n\n

Dem gegen\u00fcber zeigt sich auf Seiten der Opfer von Cyber-Attacken ein insgesamt bedenklicher Zustand der IT-Sicherheit als Ganzes. Auch wenn die Ausgaben f\u00fcr IT-Security mit aktuell knapp 6 Mrd. Euro in den letzten Jahren kontinuierlich steigen und mit Gesetzen und Regierungsinitiativen versucht wird, die Sicherheit der IT-Infrastruktur in der Verwaltung gezielt zu erh\u00f6hen, liegt an vielen Stellen in Fragen der IT-Sicherheit einiges im Argen.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

IT-Sicherheit & der risikofaktor Mensch<\/h2>\n\n\n\n

Auf den ersten Blick ist IT-Sicherheit vor allen Dingen ein technisches Problem. Die Berichterstattung \u00fcber Sicherheitsl\u00fccken in Hard- und Software best\u00e4tigen diese Vermutung. Entsprechend gehen Verantwortliche vorschnell davon aus, dass Sicherheit vor allen Dingen eine Frage der Investitionsbereitschaft ist. Tats\u00e4chlich zeigt die genaue Betrachtung, dass veraltete Infrastruktur in vielen F\u00e4llen zumindest einen Teil dazu beigetragen hat, Cyberkriminellen das Handwerk zu erleichtern.<\/p>\n\n\n\n

Hersteller von Hardware und Softwareentwickler betreiben gro\u00dfen Aufwand, Bedrohungen fr\u00fchzeitig zu identifizieren und Sicherheitsl\u00fccken zu beseitigen. Regelm\u00e4\u00dfige Sicherheitsupdates sind deshalb ein zentrales Element der IT-Sicherheit. Die absolute Sicherheit gibt es nicht. Hersteller und Entwickler k\u00f6nnen meist nur reagieren und laufen so oft der Kreativit\u00e4t der Kriminellen in m\u00f6glichst kurzem Abstand hinterher. Hierdurch besteht immer zumindest ein kurzes Zeitfenster, in dem Systeme grunds\u00e4tzlich anf\u00e4llig sind. Die technische Komponente ist jedoch oftmals nur das kleinere Problem. Anders ausgedr\u00fcckt: das theoretisch sicherste System kann seinen Nutzer nur sch\u00fctzen, wenn dieser es richtig bedient.<\/p>\n\n\n\n

Um ein System manipulieren zu k\u00f6nnen, Daten f\u00fcr den Nutzer zu sperren, Informationen abzusch\u00f6pfen, Systeme vollst\u00e4ndig zu korrumpieren oder anderweitig Schaden zu verursachen, ben\u00f6tigen Cyberkriminelle Systemzugriff. Technische Sicherheitsl\u00fccken als offenstehende Hintert\u00fcren sind hier nur eine Schwachstelle. Die einfachste Methode besteht darin, ein System bildlich gesprochen durch die Vordert\u00fcr zu betreten. Dies gelingt einerseits durch das Erschleichen von Zugangsdaten und Passw\u00f6rtern und andererseits durch das Platzieren von Schadsoftware. In beiden F\u00e4llen ist es \u00fcberwiegend der Mensch, der durch Fehler und Nachl\u00e4ssigkeit dem Kriminellen die Arbeit erm\u00f6glicht oder zumindest erleichtert.<\/p>\n\n\n\n

F\u00fcr Unternehmen und Beh\u00f6rden hei\u00dft das vor allen Dingen eines: Neben dem technischen Zustand der IT-Systeme ist der Mitarbeiter der sensibelste Faktor beim Thema IT-Sicherheit. Selbst der Zustand eines Systems steht in unmittelbarem Zusammenhang zum Faktor Mensch. Wird ein System nicht aktiv gepflegt, werden wichtige Updates nicht rechtzeitig vorgenommen und besteht keine allgemeine Sensibilit\u00e4t im Umgang mit Soft- und Hardware, werden zum Beispiel Zeichen f\u00fcr eine m\u00f6gliche oder akute Bedrohung nicht fr\u00fchzeitig erkannt, kann selbst das technische Potenzial des modernsten Systems nicht ausgesch\u00f6pft werden.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Mitarbeiterschulung: sensibilisieren und qualifizieren <\/h2>\n\n\n\n

In den seltensten F\u00e4llen handelt es sich um Mutwillen, wenn die Ursachen f\u00fcr einen Cyber-Angriff auf Fehlverhalten eines Mitarbeiters zur\u00fcckzuf\u00fchren sind. Trotzdem sind es oft unsachgem\u00e4\u00df gew\u00e4hlte, leichtsinnig verwaltete und so einfach ausspionierte oder gehackte Passw\u00f6rter, leichtfertig ge\u00f6ffnete Mailanh\u00e4nge, unerkannte Phishingmails und andere Nachl\u00e4ssigkeiten, die es Cyberkriminellen leicht machen, sich Zugriff zu verschaffen und Viren, W\u00fcrmer, Trojaner und andere Schadsoftware zu platzieren.<\/p>\n\n\n\n

Zwei Faktoren m\u00fcssen hier als urs\u00e4chlich betrachtet werden: mangelnde Sensibilisierung f\u00fcr Gefahren und ungen\u00fcgendes Wissen \u00fcber den sicheren Umgang mit gef\u00e4hrdeten Systemen sowie die angemessene Reaktion auf konkrete Vorf\u00e4lle. Auch wenn moderne Systeme Anwender zunehmend unterst\u00fctzen, indem sie zum Beispiel nur sichere Passw\u00f6rter zulassen, die Verwendung von externen Datentr\u00e4gern blockieren, die Installation von zus\u00e4tzlicher Software ohne Autorisierung verhindern oder Mail-Anh\u00e4nge automatisch auf Viren und Schadsoftware pr\u00fcfen, sind MitarbeiterInnen ohne das erforderliche Problembewusstsein und Fachkenntnisse sehr kreativ darin, selbst solche Sicherheitsma\u00dfnahmen zu umgehen.<\/p>\n\n\n\n

Das erforderliche Wissen beschr\u00e4nkt sich in vielen Unternehmen auf ausgewiesenes Fachpersonal wie Systemadministratoren. Diese sind bei der F\u00fclle ihrer Aufgaben jedoch meist dazu verurteilt, im Rahmen ihrer begrenzten M\u00f6glichkeiten zu reagieren, wenn das sprichw\u00f6rtliche Kind bereits in den Brunnen gefallen ist.<\/p>\n\n\n\n

Um angemessen auf die wachsende Gef\u00e4hrdung zu reagieren, ist es deshalb dringend erforderlich, MitarbeiterInnen in Unternehmen und Beh\u00f6rden angemessen \u00fcber den sicheren Umgang mit gef\u00e4hrdeten Systemen zu informieren und zu schulen. Die Bereitstellung von Dokumentationen und die h\u00e4ufig \u00fcbliche Verpflichtung der MitarbeiterInnen durch IT-Betriebsvereinbarungen sind in diesem Fall eher symbolisch oder auch juristisch bzw. versicherungsrechtlich relevant. Das Problem l\u00f6sen sie nur bedingt. Mit zeitgem\u00e4\u00dfen, innovativen Schulungsangeboten<\/a> l\u00e4sst sich dagegen Wissen effizient vermitteln und effektiv sensibilisieren.<\/p>\n\n\n\n

Besonders effizient arbeiten Online-Schulungen, die den Mitarbeitenden eine termin- und ortsunabh\u00e4ngige Teilnahme erm\u00f6glichen. So entsteht nicht die f\u00fcr Gruppen-Pr\u00e4senz-Schulungen typische Gruppendynamik, die den Lerneffekt schnell schm\u00e4lert und den einzelnen Mitarbeitenden in eine Situation dr\u00e4ngen kann, in der er sich schlimmstenfalls unter Generalverdacht gestellt f\u00fchlt. Die digitale Schulung vermittelt zudem Kenntnisse und F\u00e4higkeiten genau dort, wo sie sp\u00e4ter angewendet werden sollen. Tafel und Flipchart k\u00f6nnen dies nur begrenzt ersetzen. Multimediale Schulungsinhalte senken zudem die thematische Einstiegsschwelle. So sind Schulungen auch und vor allen Dingen bei MitarbeiterInnen wirkungsvoll, die nur selten mit IT-Systemen in Ber\u00fchrung kommen und deshalb f\u00fcr die IT-Sicherheit ein besonders gro\u00dfes Risiko darstellen. Werden MitarbeiterInnen so qualifiziert und wird diese Zusatzqualifikation zertifiziert, entsteht sowohl dem Unternehmen der gew\u00fcnschte Nutzen als auch ein langfristiger Mehrwert f\u00fcr den Mitarbeitenden.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Fazit <\/h2>\n\n\n\n

Zeitgem\u00e4\u00dfe Hardware, aktuelle Software sowie regelm\u00e4\u00dfige Sicherheitsupdates sind eine technische Grundvoraussetzung f\u00fcr den Schutz vor Angriffen auf das IT-System in Unternehmen, Beh\u00f6rden und Institutionen.<\/p>\n\n\n\n

Die beste Ausr\u00fcstung ist jedoch weitgehend nutzlos, wenn sie nicht oder nicht sachgerecht eingesetzt wird.<\/p>\n\n\n\n

Perfekte IT-Sicherheit ist deshalb immer eine Kombination aus Equipment, Risikobewusstsein und Know-how. Jedes der Elemente baut auf dem anderen auf. Fehlt auch nur eines, entstehen Sicherheitsl\u00fccken, die Kriminelle gezielt suchen, finden und ausnutzen.<\/p>\n\n\n\n

Mitarbeiterschulungen sind das geeignete Werkzeug, um das erforderliche Know-how im Unternehmen bereitzustellen und einen sensiblen Umgang mit dem Thema IT-Sicherheit zu etablieren.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n<\/div>\n\n\n\n
\n
\n
\n
\n
\n

Inhaltsangabe<\/p>\n