Diese eine blöde Mail

Henning Voß: Insgesamt nimmt die Bedrohung zu. Sie teilt sich im Wesentlichen in zwei Bereiche: zum einen die Spionage, zum Beispiel durch Nachrichtendienste. Hier ist der Anteil an den Cyberattacken laut der neuesten Bitkom-Studie von sieben auf 28 Prozent gestiegen. Zum anderen geht es häufig um das Erpressen von Lösegeld durch Datenblockade.

Häufig ist das in der Tat so, ja. Leider werden die Fake-Mails immer besser. Das kann das gefälschte Bewerbungsschreiben sein oder die vermeintliche Rechnung. Wer hunderte Mails bekommt, schätzt vielleicht nach vielen Arbeitsstunden diese eine falsch ein. Und klickt auf den Anhang. Wer spionieren will, wird dafür sorgen, dass er abends oder nachts Zugang zu geheimen Firmendaten bekommt. Dann werden unbemerkt Datenbanken ausgespäht, wenn die Mitarbeitenden längst Feierabend haben. Wer Geld erpressen möchte, nutzt etwa einen Verschlüsselungstrojaner, der sich nach dem Anklicken der Mail installiert – so kommt niemand mehr an die Firmendaten. Die Täter fordern dann in der Regel ein Lösegeld, damit die Daten wieder freigegeben werden. Auch der private USB-Stick, der verbotenerweise an einen Computer angeschlossen wird, stellt immer noch eine Sicherheitslücke dar.

Das kommt auf die Branche an. Unternehmen der kritischen Infrastruktur, wie Energiesektor oder der Verteidigungsindustrie, nehmen die Sicherheit sehr ernst. Ich schätze aber, dass insgesamt etwa die Hälfte aller Firmen es nicht so auf dem Schirm hat, wie es notwendig wäre. Klar, der kleine Bäckereibetrieb ist nicht so in Gefahr wie der Rüstungskonzern, aber auch er kann im Verteiler einer Phishingmail landen.

Zunächst, indem sie sich die Gefahr bewusst machen. Dann gilt es, ein Sicherheitskonzept zu erarbeiten, dass diese vier Dimensionen umfasst: IT, Gebäude, Organisation und Personal. Wenn ich keine eigene IT-Abteilung habe, die mein Netzwerk schützen kann, sollte ich mich an ein Systemhaus wenden, das darauf spezialisiert ist. Und dem ich vertraue. Das Gebäude muss vor Einbrüchen geschützt werden. Ich muss mein Personal schulen. Und ich muss Richtlinien aufstellen. Diese können zum Beispiel untersagen, private USB-Sticks zu nutzen und mit Konsequenzen drohen, wenn dies ignoriert wird. Gleichzeitig sollte meines Erachtens eine offene Fehlerkultur gelebt werden. Sprich: Wenn jemand versehentlich die eine falsche Mail geöffnet hat, sollte er oder sie sich nicht aus Angst vor einer Kündigung drei Wochen krankmelden. Sondern sich direkt und offen an zuständige Ansprechpartner wenden können, um Schlimmeres zu verhindern.

Möglichst analog und nicht vernetzt. Ziel ist, dass nicht alle die gleiche Infrastruktur nutzen. Und ein guter Plan vorliegt, um weiterarbeiten und sich schnell wieder erholen zu können. Zum Beispiel in Form eines physischen, gut gesicherten Notfallordners. Darin enthalten: Eine regelmäßig aktualisierte, ausgedruckte Telefonliste mit den Kontakten der wichtigsten Mitarbeitenden, Kunden und Geschäftspartner. Auch eine digitale Insellösung hilft: ein Notebook mit den wichtigsten Daten, das niemals ans Netzwerk angeschlossen wird. Und man kann sich generell die Frage stellen, wie sinnvoll Voice-Over- IP für die gesamte Telefonanlage ist. Mit einem Cyberangriff kann man auch diese lahmlegen. Die gute alte analoge Kupferleitung oder Mobilfunk-Geräte funktionieren dagegen immer.