Mitarbeiter und mangelndes Bewusstsein bleiben die größten Schwachstellen für die IT-Sicherheit eines Unternehmens. Experten geben auf Einladung der IHK Schwarzwald-Baar-Heuberg Einblicke, warum IT-Sicherheit auch für Mittelständer ein großes Thema ist.
Villingen-Schwenningen - Wie steht es aktuell um die IT-Sicherheit im Mittelstand? Den Experten der IT-Sicherheitskonferenz der Industrie- und Handelskammer (IHK) Schwarzwald-Baar-Kreis nach zu urteilen, könnte die Situation besser sein. Das Bewusstsein für IT-Sicherheit in den Unternehmen reiche dabei von "Ich bin voll und ganz mit dabei!" bis zu "Warum sollte mich das interessieren?".
Ziel: Handlungsunfähigkeit des Betriebes
Ein gefährlicher Gedanke: Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind inzwischen etwa neun von zehn Unternehmen von einem Cyber-Angriff betroffen. In genauso vielen Fällen entstehe dabei ein Schaden, beispielsweise in Form stillstehender Maschinen, gesperrter Kundendaten oder Zahlungsaufforderungen. "Auch wenn man in gar keinem Fall zahlen sollte", sagt Philipp Hilsenbek, Geschäftsbereichsleiter Standortpolitik der IHK im Landkreis. "Manche machen es aber trotzdem."
Auch mittelständische Unternehmen stünden zunehmend im Fokus der Hacker. Ihr Ziel? "Den Betrieb möglichst lange handlungsunfähig zu machen", sagt Hilsenbek. Als Beispiel nennt er hierfür den Cyber-Angriff auf die Uniklinik Düsseldorf: 13 Tage lang musste die Klinik ihre IT-Systeme vom Netz nehmen und konnte in der Zeit keine Notfall-Patienten aufnehmen.
Cyber-Angriffe als buchbare Serviceleistung
"Inzwischen sind Cyber-Angriffe zu einem Massengeschäft geworden", sagt der Vorsitzende des IHK-Arbeitskreises IT-Wirtschaft Klaus Schmid. Die Frage sei längst nicht mehr, ob es einen erwische – sondern wann. Dieser Meinung ist auch Richard Zahoransky, Professor für Netztechnologie und IT-Sicherheit der Hochschule Furtwangen: "Heutzutage muss man kein Informatiker sein, um Unternehmen zu erpressen." Cyber-Angriffe ließen sich inzwischen wie eine Serviceleistung buchen, auswerten und anpassen. Dabei werde nach bekannten Schwachstellen gesucht und das schwächste Glied angegriffen – in der Regel die Mitarbeiter eines Betriebes oder leicht zu erratende Passwörter.
"Der einfachste Weg in ein Unternehmen hinein ist über die Accountdaten eines Mitarbeiters", sagt Schmid. Hacker können diese Infos entweder gezielt ausspähen oder sie kaufen sich ganze Datensätze im Darknet. "Diese sind oft erschreckend aktuell." Wie aktuell, zeigt er an einem selbst recherchierten Beispiel: Vor der Konferenz fragte er über seine Kontakte an, ob von den vertretenen Medienunternehmen Datensätze im Darknet zu finden seien. In einem Fall seien 477 Accountdaten derzeit im Umlauf, der letzte Eintrag: vom 6. April 2022. Nur bei einem Medienunternehmen gehe die Tendenz gegen Null.
"Das Interesse an IT-Sicherheit muss von oben kommen"
Sobald die Daten einmal im Umlauf seien, gebe es laut Schmid keine Möglichkeit, diese aus dem Darknet verschwinden zu lassen. "Ein großes Problem hierbei ist, dass das Zugeben von Fehlern immer noch eine Art Tabuthema ist", sagt Hilsenbek. Dabei müsse genau das gemacht werden – von Mitarbeitern wie dem Unternehmen gleichermaßen. Nur dann könne schnell genug reagiert und der Schaden auf ein Minimum reduziert werden.
Unternehmen können aber bereits vorab durch einfache Maßnahmen ihre Angriffsfläche reduzieren: zum Beispiel durch hybride und dezentrale Backups (analog und digital), getrennte Netzwerke, regelmäßige Sicherheitskontrollen und Updates, sowie kontinuierliche Schulungen der Mitarbeiter. "Prävention ist nicht sexy, die Folgen sind aber noch schlimmer", resümiert Martin Wienen, Geschäftsführer Wienen IT Business Solutions GmbH in Hardt. Dabei sei es wichtig, dass die Geschäftsleitung die Schulung der Mitarbeiter vorantreibe. "Das Interesse an IT-Sicherheit muss von oben kommen."
"Menschen können auch helfen, Lücken zu schließen"
Schmid ergänzt, dass hierbei die Kommunikation zwischen Geschäftsstelle und IT-Abteilung – extern wie intern – stimmt. Denn im Gegensatz zu handwerklichen Berufen gebe es in der IT keinen Meisterbrief. "Da ist es entscheidend, dass sich das Unternehmen seiner eigenen Werte bewusst ist und weiß, was besonders wichtig und schützenswert ist." Gegebenenfalls müsse der Dienstleister auch konfrontiert werden: Welche Fortbildungen und Schulungen habe er gemacht? Helfen diese dabei, die Werte des Unternehmens zu schützen?
Zudem habe Invest in IT-Sicherheit laut Zahoransky einen weiteren Vorteil: "Menschen können dabei helfen, Lücken zu schließen." Als Beispiel nennt er einen Vorfall beim amerikanischen Traktorhersteller John Deere: Sicherheitsforscher bekamen über eine bekannte Sicherheitslücke in der Business Software unter anderem Zugriff auf die Steuerungskomponente der Traktoren. Die Lücke im System? John Deere habe nie das Standardpasswort geändert. Die Forscher machten den Hersteller darauf aufmerksam und innerhalb eines Tages war diese geschlossen. "Hacker mit böser Absicht hätten zum Beispiel die zehnfache Güllemenge ausgeben können – das Feld wäre über Jahre unbrauchbar für die Landwirtschaft geworden", so Zahoransky.
Wienen ergänzt: "Wenn Mitarbeiter entsprechend geschult und sensibilisiert sind, können sie auch ihren Teil zur IT-Sicherheit im Unternehmen beitragen. Denn Software wird zwar intelligenter – Hacker aber auch." Ein entsprechendes Bewusstsein für dieses Thema sei in der heutigen Zeit unabdingbar.