Der Faktor Mensch ist die größte Cyber-Gefahr für Unternehmen

Text: Tanja Wessendorf

Wir alle sind im Job auf Mails und Passwörter zu sensiblen Nutzerkonten angewiesen. Die meisten Firmen sind auch recht gut durch Firewalls und andere Maßnahmen geschützt. Doch was bringt die stärkste Burg, wenn von innen jemand das Tor öffnet … Die Wahrheit ist: Der wirkliche Schwachpunkt bei IT-Attacken sind die Menschen.

Genau darum ging’s beim großen Workshop „Cyberangriffe erkennen, verstehen und abwehren“, den die IHK Köln mit der Polizei Köln, DIGITAL.SICHER.NRW und der Handwerkskammer im Kölner Polizeipräsidium erstmalig angeboten hat. Über mehrere Stunden gab es Input von der Polizei, von Digital- und KI-Experten. Immer im Zentrum: Wie können sich Betriebe vor digitalen Angriffen schützen, wie gehen die Kriminellen vor?

„Was wollen die schon mit meinen Daten?“ Diese Frage stellen sich viele kleine und mittelständische Unternehmen. Kriminalhauptkommissar Erik Dieden, zuständig für Cybercrime, stellt gerne die Gegenfrage: „Was können Sie OHNE Ihre Daten? Gar nichts. Wenn der Bildschirm schwarz wird, sind Sie aufgeschmissen.“

Kein Unternehmen sei zu klein oder zu unwichtig, um in den Fokus von Angreiferinnen und Angreifern zu geraten. „Es kann jeden treffen: Rüstungsfirma, Schule, Krankenhaus und Friseurladen. Die Frage ist nicht, ob es passiert, sondern wann es passiert“, macht Dieden nachdrücklich klar.

Laut einer Erhebung des Branchenverbands der deutschen Informations- und Telekommunikationsbranche, Bitkom e.V., waren bereits 81 Prozent aller Unternehmen Opfer eines Cyberangriffs – die Dunkelziffer ist entsprechend höher. Der dadurch entstandene Schaden beträgt mittlerweile 266 Milliarden Euro pro Jahr. Im Durchschnitt dauert es 23 Tage, bis nach einem Angriff die Systeme wieder laufen.

Das Perfide an den Cyberattacken: Die Angriffs-Strategien ändern sich andauernd, das Verbrechen ist anders als zum Beispiel Diebstahl oder Raub sehr komplex und äußerst dynamisch. „Die Mitarbeiter sind die beste Verteidigungslinie eines Unternehmens“, sagt Timo Braun, Awareness-Experte von der Firma SoSafe, die darauf spezialisiert ist, Mitarbeitende auf Angriffe vorzubereiten und zu schulen. (Hier finden Sie ein Interview mit seinen Tipps zum Thema „Phishing“).

Viele Hacker geraten übrigens über private Informationen in die Firma. Sie scannen das Netz nach allen öff entlich zugänglichen Informationen über Unternehmen und Angestellte. Oft beginnt ein Angriff über den privaten WhatsApp- oder Mail-Account. „Der Mitarbeiter kann Angreifern die Türen öff nen. Deshalb sollte man Privates und Berufliches unbedingt streng voneinander trennen“, empfiehlt Dieden. Das beginnt bei getrennten Geräten und endet bei unterschiedlichen Passwörtern für Job und Privatsachen.

Dieses Bewusstsein scheint in Deutschland noch nicht besonders hoch zu sein: Nur 17 Prozent ihres Budgets geben die Unternehmen im Durchschnitt für IT-Sicherheit aus. „Das macht Deutschland zum Zielland für Angreifer“, weiß Felix Jancker, der mit seiner Firma Admijalo Angriffe auf Unternehmen simuliert, um deren Schutz zu testen. Er empfiehlt zuallererst eine sogenannte Open-Source-Analyse, bei der geprüft wird, welche Firmendaten offen zugänglich sind.

Zudem sei es wichtig, regelmäßig Back-ups auf unterschiedlichen Speichermedien zu erstellen und existenzielle Daten zu verschlüsseln, erklärt Lena Nienstedt von DIGITAL.SICHER.NRW. Und sie hat noch einen wichtigen Tipp: „Auch bei Erpressung niemals zahlen!“