Cybersecurity : „Digital Safety First?”

Vor dieser großen Aufgabe stehen wir im Hinblick auf das vermehrte mobile Arbeiten ebenso wie durch die vermehrten Hackerangriffe auf Kliniken und damit auf unsere kritischen Infrastrukturen. Wo wir uns weiter hinterfragen und disziplinieren müssen und wie wir täglich dafür sorgen können, sicher und (begründet) sorglos arbeiten zu können, erfahren wir in diesem Interview mit Claudia Di Chio, Partner Managerin bei agilimo.

Wenn wir über Cyberrisiken für Unternehmen sprechen, dann trifft man in vielen Organisationen und Firmen weiterhin sehr häufig auf die Haltung und Meinung, diese seien selbst nicht wirklich gefährdet, weil sie kein „interessantes Ziel“ darstellen würden. Hier gilt es, das Bewusstsein für die Gefahr eindeutig noch zu schärfen: Welche Unternehmen und Institutionen stehen bei den Cyberangriffen von Hackern besonders im Fokus?

Einer solchen Einschätzung begegnen wir leider noch zu häufig. Das ist deshalb dramatisch, weil sich Unternehmen damit in falscher Sicherheit wiegen. Die Bedrohung für alle Arten und Größen von Unternehmen ist real. Denn über Lieferketten zwischen Auftraggebern und Lieferanten oder Dienstleistern ist der geschäftliche Kreislauf vollständig digital vernetzt. Wenn Hacker zum Beispiel das große Unternehmen angreifen wollen, das selbst Auftraggeber für kleinere Lieferanten ist, dann werden sie die größte Schwachstelle ausspähen und über diese den Angriffspunkt setzen. Diese Praxis von Cyberattacken hat sich auch bei Sicherheitsvorfällen in internationalen Konzernen immer wieder bestätigt. Aus diesem Grund sind Unternehmen aller Größen gefährdet, auch wenn es nur darum geht, über die kleineren Unternehmen an das große Unternehmen heranzukommen. Das Öffnen einer täuschend echt wirkenden, aber durch Hacker gekaperten E‑Mail von einem Geschäftskontakt kann bereits für eine erfolgreiche Infiltration ausreichen.

Ganz allgemein müssen Unternehmen dafür sorgen, dass ihre Daten geschützt sind; unabhängig davon, ob der Schreibtisch in der Firma steht, im Homeoffice oder unterwegs per Laptop auf der Dienstreise gearbeitet wird. Unsere Daten sind heute der Treibstoff für jedes Unternehmen, ohne den auf Dauer nichts geht. Deshalb ist ihr Schutz existenziell. Um diesen Schutz zu erreichen, braucht jede IT-Infrastruktur, unabhängig von der Unternehmensgröße, Standard-Sicherheitsvorkehrungen und Abläufe, die kontrolliert werden müssen. Wenn die Achtsamkeit hier fehlt, steigt die Gefahr für Sicherheitslücken.

Ein klassisches Beispiel für solche Sicherheitslücken ist, wenn ein Standard-Passwort eines Herstellers, das in der Liefereinstellung vielleicht „admin“ lautet, nicht durch ein starkes Passwort während der Installation ersetzt wird. Die Freude eines Hackers kann man sich leicht ausmalen, wenn er ein Zielsystem ausspäht und dieses über ein leicht zu knackendes Standard-Passwort infiltrieren kann. Das ist für Cyberkriminelle ein Jackpot.

Ein anderes und wirklich großes Problem zeigt sich immer wieder bei der Nutzung von geschäftlichen E‑Mail-Adressen für private Zwecke, wenn man sich zum Beispiel im Alltagsgeschehen keine großen Gedanken darüber macht, was das für Konsequenzen haben kann. Nehmen wir an, es geht um die Bestellung von sehr begehrten Konzertkarten. Man ist noch am Arbeiten, entdeckt das Angebot, bei dem angeblich noch Tickets zu kaufen sind, und nutzt spontan die Geschäfts-E‑Mail-Adresse. Im besten Fall geht alles gut und man bekommt ein Ticket. Im schlimmsten Fall kommen Cyberkriminelle über eine Betrugs-Website nicht nur in den Besitz der E‑Mail-Adresse, sondern verschaffen sich durch raffinierte Methoden noch weitere Informationen wie Zahlungsdaten oder sogar Zugang zum verwendeten Firmenrechner. Diese Beute kann dann entweder direkt durch den Hacker für weiteren Missbrauch genutzt werden oder die Daten landen zum Verkauf an andere Kriminelle im Darknet, um weiteren Schaden anzurichten, völlig ohne Wissen des Unternehmens oder des Mitarbeitenden. Deshalb ist es ratsam, wenn Arbeitgeber die Nutzung von Firmen-E‑Mail-Konten über alle Hierarchieebenen für private Zwecke untersagen.

Wenn sich Unternehmen gegen solche Gefahren schützen und für den Ernstfall wappnen wollen, brauchen sie ein ganzheitlich geplantes, systematisches Vorgehen. Denn die beschrieben Fälle sind nur zwei von unzähligen Beispielen, gegen die man nicht geschützt ist. Für eine entsprechende Strategie und eine praxistaugliche Umsetzung lohnt es sich, das Gespräch mit IT-Sicherheits-Spezialisten aufzunehmen und sich gründlich beraten zu lassen. Viele Unternehmen verbinden mit IT-Sicherheitslösungen hohe Kosten. Wichtig ist mir, an dieser Stelle zu erwähnen, dass es durchaus bezahlbare und sehr gute Sicherheitslösungen für alle Unternehmensgrößen gibt.

Mit der zunehmenden Vernetzung und Digitalisierung steigen also die Risiken durch Cyberangriffe weiter, die erhebliches Schadpotenzial haben, wie die genannten Beispiele bereits eindrücklich zeigen. Auf welche Auswirkungen und Konsequenzen müssen sich betroffene Organisationen bei Cyberangriffen zusätzlich einstellen?

Aus meiner Sicht gibt es mehrere Ebenen bei den Auswirkungen nach Cyberangriffen für Unternehmen. Zuerst offensichtlich werden durch einen Angriff die wirtschaftlichen und sachlichen Folgen, die als Schaden unmittelbar erkennbar sind. Von der Erpressung von Zahlungen, nachdem Ransomware Daten des Unternehmens verschlüsselt hat, über Datendiebstahl bis hin zur Spionage sind unterschiedliche Szenarien denkbar, je nach Ziel und Motiv der Angreifer.

Lösegeldforderungen und Wiederherstellungsschäden für befallene IT-Infrastrukturen können schnell in Millionenhöhe anwachsen. Und selbst wenn dies noch verkraftbar wäre, dann kann der Reputationsschaden durch Bekanntwerden eines Cyberangriffs ein Unternehmen noch lange Vertrauen, Marktanteile und Geld kosten – bei Geschäftspartnern ebenso wie bei Kunden –, wenn etwa sensible und vertrauliche Personendaten gestohlen werden. Nicht umsonst heißt es: Vertrauen ist das neue Gold!

Auch die mittelbaren Folgen können gravierend und weitreichend sein. Im schlechtesten Fall verlieren bei einer durch einen Cyberangriff resultierenden Insolvenz des Unternehmens Menschen ihre Arbeit. Dann stehen sogar Existenzen unbeteiligter Familien auf dem Spiel.

Was ich in diesem Zusammenhang auch immer gerne erwähne, ist das Thema Emotionen! Für mich hat das viel mit IT-Sicherheit zu tun. Wenn Unternehmen sich vermeintlich sicher und geschützt fühlen oder sich mit den Bedrohungen nicht präventiv auseinandersetzen, schaffen sie damit einen Verstärker für den Ernstfall einer Krise. Schon allein der Gedanke, von einer Cyberattacke getroffen zu werden, kann Angst auslösen. Das wiederum kann zur Verdrängung führen. Aber ohne die rechtzeitige Vorbereitung und geeignete Notfallpläne können Cyberattacken auf ungeschützte Ziele kaum abgewehrt werden.

Die Ursachen für dieses Vogel-Strauß-Verhalten sind vielfältig. Neben einem fehlenden Zugang zum Thema sind Faktoren wie Zeit- und Personalmangel, fehlende finanzielle Mittel oder auch fehlendes Know-how die Hürden, die manchen Entscheidungsträgern emotional und gedanklich im Weg stehen.

Grundsätzlich ist eine Haltung offener Kommunikation, gepaart mit Transparenz, Klarheit und konkretem Handeln in den verantwortlichen Entscheider-Ebenen, aber eine wichtige Voraussetzung für die Cyberabwehr. Cybersicherheit muss genau wie die niemals stillstehenden Bedrohungen ein kontinuierlicher Prozess sein, der immer wieder aufs Neue auf dem Prüfstand stehen sollte. Cyberabwehr gegen Cyberbedrohung ist also ein Wettlauf, der jeden Tag aufs Neue beginnt.

Wenn das Thema Cybersecurity sich so dynamisch und rasant entwickelt, dann ist es immens wichtig, über die Risiken immer äußerst aktuell informiert zu sein. Welche Möglichkeit haben Unternehmen, mit gut realisierbaren Maßnahmen auf dem Laufenden zu bleiben und sich so aktuell wie möglich über neue Sicherheitsmaßnahmen oder akute Bedrohungen zu informieren?

Im ersten Schritt ist es hilfreich, zu wissen, nach welchen Mustern Cyberangriffe ablaufen. Dieser Prozess wurde umfangreich analysiert und schematisch durch die sogenannte „Cyber Kill Chain“ beschrieben. Hierbei unterscheidet man sieben Phasen eines Cyberangriffs. An diesen Phasen kann man die eigene Cyberabwehr ausrichten.

Im Weiteren sollte der Normalzustand der eigenen Systeme bekannt und überwacht sein, damit bei Auftreten eines Vorfalls mögliche Abweichungen von der Norm überhaupt erkannt werden können.

Schließlich muss eine mehrstufige Cyberabwehr so vorbereitet werden, dass passende Gegenmaßnahmen schnell und effizient eingeleitet werden können.

Natürlich kann nicht jedes Unternehmen eine hausinterne Cyberabwehr auf die Beine stellen. Bei größeren Unternehmen ist das sicher kein Thema. Für mittelständische Firmen stellt das schon eher eine Herausforderung dar. Alternativ können diese von externen Security Operations Centern mit automatisierter Cyber-Forensik die notwendigen Leistungen als Software as a Service (kurz SaaS) zukaufen. Solche Security Services können individuell auf den eigenen Bedarf zugeschnitten werden und sind so skalierbar, dass die Cyberabwehr mit ihrem Unternehmen mitwachsen kann. Diese Services sind zu bezahlbaren, transparenten Kosten verfügbar, die zur Situation des eigenen Unternehmens passen.

Grundlage für jede Art von operativer Umsetzung der Cyberabwehr sollte dabei allerdings immer sein, die Schwachstellen und Sicherheitslücken des eigenen Unternehmens zu kennen. Dabei helfen sogenannte OSINT- Scans, die das Internet, das Deep Web und das Darknet regelmäßig im Blick haben. Mit diesen Scans lässt sich herausfinden, ob z. B. vertrauliche Unternehmensinformationen auf kriminellen Marktplätzen im Internet verfügbar sind oder gehandelt werden. Der Fall, dass komplette E‑Mail-Accounts von Mitarbeitenden samt Zugangsdaten zum Verkauf angeboten werden, ist keine Seltenheit. Wer solche Sicherheitslücken der eigenen Infrastruktur nicht kennt, kann sie auch nicht schließen und läuft Gefahr, dass der eigene Schutz durch diese Schwachstellen unwirksam bleibt.

Offenbar stellen insbesondere die menschlichen Fehler ein großes Sicherheitsrisiko dar und Cyberkriminelle nutzen unsere (bequemen) Verhaltensweisen oder das mangelnde Risiko-Bewusstsein systematisch und auch höchst schädlich aus. Welche Rolle spielen deshalb regelmäßige Mitarbeiterschulungen in der Cybersecurity-Strategie? Und wie kann und sollte eine solche Kultur der Cybersicherheit in Organisationen gezielt gefördert werden?

Ein starkes Bewusstsein für Cybersicherheit und Cyberbedrohungen trägt in jedem Fall dazu bei, Risiken zu minimieren und die Sicherheit zu erhöhen. Nur so findet eine Sensibilisierung für Bedrohungen statt. Gut informierte Mitarbeitende sind ein wichtiges Bindeglied, um Cyberangriffe zu erkennen und zu verhindern.

Wer gut geschult ist, hat eine bessere Chance, eine verdächtige E‑Mail zu erkennen. An dieser Stelle müssen auch Mitarbeitende ihre Eigenverantwortung durch eine sorgfältige Arbeitsweise einbringen. Regelmäßige Awareness-Schulungen und aktuelle Sicherheits-Informationen können ebenfalls helfen, die Wachsamkeit zu erhalten. Aber selbst der wachsamste Mensch kann im stressigen Arbeitsalltag einen Moment der Unaufmerksamkeit haben. Das wissen natürlich auch Hacker und nutzen diese Momente aus!

Deshalb sind auch die Unternehmen gefordert, ihren Mitarbeitenden das Thema Security möglichst einfach zugänglich zu machen. Das funktioniert zum Beispiel mit Werkzeugen, die das Erkennen von Gefahren bei eingehenden E‑Mails erleichtern. Diese modernen E‑Mail-Sicherheitslösungen nutzen leistungsfähige Analysen mit künstlicher Intelligenz (KI), die die Sender-Empfänger-Beziehung untersuchen, prüfen und so verdächtige E‑Mail-Gefahren identifizieren. Die Systeme sind lernfähig, erreichen Trefferquoten von nahezu 100 Prozent und entwickeln sich mit den individuellen Anforderungen im Unternehmen weiter. Ein Unternehmen kann durch den Einsatz einer solchen innovativen Lösung seine Mitarbeitenden, aber auch das Unternehmen selbst bestmöglich schützen!

Darüber hinaus sollten sich Unternehmen fragen, ob die Grundvoraussetzungen für eine ganzheitliche IT-Sicherheit einheitlich betrieblich geregelt sind. Schon einfache Regeln, etwa für die private Verwendung geschäftlicher E‑Mails, können viel bewirken. Leider zeigt die Praxis immer wieder, dass hier noch viel Nachholbedarf besteht. Auch das macht die Arbeit von Cyberangreifern leichter. Deshalb ist es wichtig, IT-Sicherheit ganzheitlich zu denken.

Der permanent stattfindende Wettlauf von Cybersicherheit mit den alltäglichen Cyberrisiken wird uns durch die fortschreitende Digitalisierung also stets in Atem halten. Das heißt: Wir müssen uns verstärkt darauf einstellen und fortlaufend damit richtig umgehen. Was möchten Sie uns allen unbedingt zum Thema IT- und Cybersecurity mit auf den Weg geben und uns dringend ans Herz legen, Frau Di Chio?

Ich bin davon überzeugt, dass wir uns in einem Wettlauf befinden, der nicht aufhört. Das soll weder Angst machen noch negativ klingen. Vielmehr möchte ich betonen, dass es wichtig ist, sich in dem Bereich der Cybersicherheit stetig auf dem neuesten Stand zu halten, und dass es nicht zum Stillstand kommen darf. Cybergefahren und Angriffsmethoden werden sich mit der Technik weiterentwickeln. Unternehmen wie Mitarbeitende müssen bei der Cyberabwehr am Ball bleiben und dürfen sich nicht auf einem Status quo ausruhen. Denn unvorsichtig oder unaufmerksam zu sein, kann – im schlimmsten Fall – schwere Folgen haben. Das hört sich dramatisch an. Schaut man aber auf bereits erfolgte Cyberattacken, stellt man fest, dass es kein Cyberkrimi ist, sondern Realität.

Abschließen möchte ich aber unbedingt mit einer guten Nachricht: Auch die Lösungen zu unserem Schutz entwickeln sich weiter! Moderne Technologien werden Mitarbeitenden und Unternehmen helfen, sich gegen Angriffe zu schützen. Außerdem tragen sie dazu bei, dass wir alle uns wieder auf unsere Kernaufgaben konzentrieren können.

Vielen Dank für das Gespräch! 
Das Interview führte Dr. Silvija Franjic (Jobcoach und Redakteurin)