Stichwortsuche

Simpler Trick mit großer Wirkung: Stick mit Computerviren, einfach auf einem Firmenparkplatz ausgelegt Foto: Peter Boettcher
Blickpunkt

Virtuelle Welt, reale Gefahr

Text: Josephine Pabst

Cybercrime ist eine reale Gefahr für Unternehmen, die schnell Kosten in Höhe von vielen tausend Euro verursachen kann. Einen vollkommenen Schutz gibt es zwar nicht –allerdings lohnen sich Investitionen in Abwehrmaßnahmen. Die größte Gefahr sitzt ohnehin vor dem Bildschirm.

Es war nur ein simpler Doppelklick, aber dieser Klick war für Stefan Bohrmann (Name geändert) der Auftakt einer Apokalypse. Er kostete viele tausend Euro, beschädigte seine Reputation, verärgerte seine Kunden, lähmte seinen Betrieb.

Bohrmann ist Geschäftsführer eines Bauunternehmens im Großraum Köln, das bundesweit Aufträge entgegennimmt. In der Zentrale beschäftigt er rund 300 Mitarbeiter: Sie koordinieren Termine und Aufträge, das Marketing und die IT. Der verhängnisvolle Doppelklick kam aus der Buchhaltung, von einer Mitarbeiterin, die ein Paket mit DHL an ihre Tochter verschickt hatte. Die Post-Tochter versandte eine Empfangsbestätigung, per Mail, so schien es zumindest, mit Anhang. Die Mitarbeiterin öffnete den Anhang und ließ so einen der gefährlichsten Trojaner ins Firmennetz, die zu dieser Zeit im Umlauf waren. Nach drei Sekunden flimmerte ihr Bildschirm, nach zehn Sekunden waren alle Dateien verschlüsselt, nichts konnte jetzt noch angeklickt werden.

Nach zehn Minuten waren 70 von 300 Computern infiziert. Ein glücklicher Umstand verhinderte Schlimmeres: Weil die Server schon einige Jahre alt waren, wühlte sich der Verschlüsselungstrojaner "Locky" vergleichsweise langsam durch Bohrmanns Firma. Der Schaden war dennoch immens: Tagelang stand alles still, konnten keine Termine wahrgenommen werden, riefen verärgerte Kunden an. Bohrmann war fast eine Woche in seinem persönlichen Cybercrime-Albtraum gefangen.

LEXIKON DER CYBER-ATTACKEN

Ddos-Attacken: Ddos ist die Abkürzung für „Denial of Service“, also „Dienstblockade“ oder „Dienstverweigerung“. Dafür manipulieren Hacker Maschinen, die massenhafte Anfragen an speziell ausgewählte Server stellen. Unter der Last brechen die Server zusammen, die dazugehörigen Websites sind nicht mehr erreichbar. 2013 wurde bekannt, dass die Berliner Start-ups Lieferheld und pizza.de sich gegenseitig mit gezielten Ddos-Attacken schädigten.

Botnetze sind Online-Netzwerke aus privaten Computern, die erst infiziert und dann zusammengeschlossen werden. Prinzipiell kann jeder Computer Teil eines solchen Netzwerks und damit von Kriminellen ferngesteuert werden. Ein infiziertes System verschickt so beispielsweise massenhaft Spammails an alle Kontakte in der Mailliste und infiziert andere Computer.

Ransomware ist auch unter den Bezeichnungen Erpressungstrojaner oder Kryptotrojaner bekannt. Der bekannteste Vertreter dürfte „Locky“ sein, der Anfang des Jahres viele Rechner infizierte. Das Prinzip ist simpel: Eindringlinge verschaffen sich Zutritt, beispielsweise durch einen verseuchten Mailanhang, und verschlüsseln dann sämtliche Dateien, die sich auf dem Computer befinden. Um die eigenen Daten zu entschlüsseln, müssen die Nutzer einen Code eingeben, der aber erst nach Zahlung einer Lösegeldsumme mitgeteilt wird.

Der Unternehmer ist damit kein Einzelfall. Im vergangenen Jahr verzeichnete die Polizei bundesweit 45.793 Straftaten im Bereich Cybercrime. Dazu zählen auch der Diebstahl von Kreditkarten-Daten, Betrug beim Online-Banking oder eben das Zusenden von Trojanern in E-Mail-Anhängen. Was in der polizeilichen Statistik nicht steht: Die Dunkelziffer ist um ein Vielfaches höher. Die meisten Opfer gehen nicht zur Polizei, wenn es sie trifft, sondern werkeln lieber mit den eigenen IT-Leuten oder einem Dienstleister am System, bis alles wieder funktioniert. Auch Stefan Bohrmann hat keine Anzeige erstattet, sondern sich vor allem darauf konzentriert, den Schaden so schnell wie möglich selbst zu beheben.

Die Kölner Generalstaatsanwältin Elisabeth Auchter-Mainz kennt das Problem. Sie arbeitet mit ihren Kollegen in einem geräumigen, lichtdurchfluteten Büro im Justizgebäude Reichenspergerplatz, erster Stock, rechter Flügel. Sie sagt: Jeder, der keine Anzeige aufgibt, trifft zwei falsche Annahmen. Das erste Missverständnis: Polizei und Staatsanwaltschaft finden die Schuldigen sowieso nicht. Das zweite: Wenn die Behörden im Haus sind, schauen sie sich nicht nur Schadsoftware an, sondern wer weiß, was noch alles. „Beides stimmt absolut nicht. Die Behörden interessieren sich in solchen Fällen ausschließlich für die Spuren, die Angreifer hinterlassen haben. Und es gibt immer eine Chance, den Schuldigen zu erwischen. Wir verzeichnen regelmäßig Erfolge."

Je früher die Behörden informiert werden, desto mehr Beweise können gesichert werden, und desto höher ist die Wahrscheinlichkeit, die Verursacher auch wirklich zu erwischen. Wer lange selbst herumdoktert – und das machen die meisten Betroffenen – verwischt einen Großteil der Spuren.

Damit die Behörden noch besser und noch professioneller agieren können, gibt es seit dem Jahr 2014 die Zentral- und Ansprechstelle Cybercrime (ZAC), die erst für Köln, seit April dieses Jahres für ganz Nordrhein-Westfalen zuständig ist. Hier arbeiten insgesamt fünf Mitarbeiter eng mit der Polizei, mit Wissenschaftlern und Experten aus der Wirtschaft zusammen, hier werden Erkenntnisse über Hackerangriffe gesammelt, hier wird an der nationalen und internationalen Vernetzung mit anderen Behörden gearbeitet. „Bei uns tut sich einiges“, sagt Auchter-Mainz. „Wir werden in unserer Arbeit immer professioneller und immer besser. Viele Hacker unterschätzen uns noch, aber das ist eher zu unserem Vorteil.“

VERANSTALTUNGEN

Digital Talk
„Teilen oder schützen? Unternehmen zwischen Open Data und IT-Sicherheit“ – so lautet das Thema des Digital Talks am 6. Oktober ab 19:00 Uhr in der IHK Köln. Talkgäste sind die Kölner Generalstaatsanwältin Elisabeth Auchter-Mainz, ZAC – Zentral- und Ansprechstelle Cybercrime NRW, und Ralph Friederichs, Cyberdyne IT GmbH. Moderiert wird der Talk von Netzjournalist und TV-Moderator Richard Gutjahr. Interessenten können den Talk im Livestream auf www.ihk-koeln.de und auf www.digitalcologne.de verfolgen sowie bei Twitter unter dem Hashtag #digitalk mitdiskutieren.

Digital info: Sicherheit
Welche Gefahren drohen und wie funktioniert das perfekte Notfallmanagement, wenn ein Unternehmen Opfer eines Cyberangriffs geworden ist? Darüber informiert eine kostenlose Veranstaltung im Rahmen von Digital Cologne am 26. Oktober von 15:00 bis 18:00 Uhr in der IHK Köln.

IT-Sicherheitstag NRW
Der IT-Sicherheitstag NRW am 1. Dezember 2016 ist ein Fachkongress für Daten-, Informations- und IT-Sicherheit. Der Aktionstag im World Conference Center Bonn behandelt alle wichtigen Fragen zum Thema aus der Sicht von kleinen und mittelgroßen Unternehmen und bietet mit Impulsen, Fachvorträgen, Intensiv-Workshops und einer Ausstellung ein umfangreiches Programm für Einsteiger und Fortgeschrittene.

Nicht einmal fünf Kilometer von Auchter-Mainz und ZAC entfernt treffen sich diejenigen, für die „Hacker“ kein Schimpfwort ist. Der Kontrast könnte nicht größer sein: Statt holzvertäfelten Wänden sind die Tapeten im „Hackspace“ des Chaos Computer Clubs Köln mit Aufklebern übersät, statt repräsentativer Holztische und -stühle gibt es zusammengewürfelte Sofas und ein Bällebad. Von der Decke hängen Netzwerkkabel, in der Küche stehen
Club-Mate-Vorräte für Wochen, direkt daneben: WC und Dusche. Im Keller schrauben die Clubmitglieder an ihren eigenen 3-D-Druckern.

Jochim Selzer ist hier einer der Ältesten: Die meisten Mitglieder studieren noch, Selzer hingegen arbeitet als Administrator bei einem Konzern im Rheinland und trifft sich nachmittags regelmäßig zum Austausch im Chaos Computer Club, zum Spaß. Kriminell sei hier niemand, betont er: Es gehe eher um das Zusammensein und um die Weiterentwicklung der eigenen Fähigkeiten. Zum Interview gibt es Tiefkühlsalamipizza. Selzer hat zwei große
Leidenschaften: Computer und Datenschutz. Das eine ist wohl aus dem anderen entstanden: „Jeder, der sich ein bisschen mit elektronischen Angriffen beschäftigt, dürfte wissen, dass es niemals 100-prozentige Sicherheit geben wird.“

„Es gibt immer Schwachstellen"

Und das bedeutet gleichzeitig: Egal, wer welche Informationen irgendwo digital hinterlässt, muss damit rechnen, dass ein anderer sie einsehen und im schlimmsten Fall entwenden kann – die Frage ist nur, wie viel Mühe den anderen das kostet. Das gilt für Konzerne genauso wie für kleine und mittlere Unternehmen. „Es gibt immer Schwachstellen“, sagt Selzer. „Wenn der technische Schutz umfassend ist, bleiben zumindest die menschlichen Fehler.“ Er meint damit: Selbst wenn ein Unternehmen eine gut konfigurierte Firewall einsetzt, selbst wenn überall aktuelle Virenscanner laufen, selbst wenn alle Betriebssysteme aktuell sind und regelmäßig upgedatet werden, selbst dann kann es Hackern gelingen, einzudringen. Das liegt vor allem daran, dass die meisten Mitarbeiter immer noch nicht für das Thema IT-Sicherheit sensibilisiert sind.

Dafür gibt es unzählige Belege: So ist das beliebteste Passwort seit Jahren „123456“. Immer noch gibt es viele Menschen, die auf Phishing-Mails hereinfallen. Die Buchhalterin in dem Unternehmen von Stefan Bohrmann ist längst keine Ausnahme: Der sogenannte Chef-Trick hat nordrhein-westfälische Unternehmen etwa 40 Millionen Euro gekostet. Er funktioniert so: Ein Hacker stiehlt oder kauft E-Mail-Adressen. Dann werden diese Mail-Adressen genutzt, um im Namen des Chefs gefälschte Mails an Mitarbeiter zu schreiben. Darin schmeicheln die Verfasser dem Adressaten und bitten um Überweisung einer höheren Summe oder um sensible Firmendaten, unter strenger Geheimhaltung natürlich. Um welche Summen die Unternehmen mit diesem Trick tatsächlich erleichtert worden sind, lässt sich bisher nur schätzen: Wer hereinfällt, schämt sich meist und erstattet deshalb selten Anzeige.

Den Kriminellen wird es leicht gemacht

Aber auch offline droht Gefahr: Ein echter Klassiker unter den Cybertricks ist die USB-Falle. „Das funktioniert oft“, sagt Hacker Selzer. „Es gibt meist jemanden, der darauf hereinfällt, auch wenn man das ja eigentlich nicht glauben kann.“ Kriminelle speichern Malware wie Trojaner auf einem USB-Stick und lassen ihn dann wie zufällig auf einem Firmenparkplatz liegen. Es gibt immer Mitarbeiter, die den Datenträger aufheben und aus Neugierde in ihren Computer stecken. Einige Konzerne haben deshalb dafür gesorgt, dass es technisch gar nicht mehr möglich ist, einen externen USB-Stick am Arbeitsplatz einzustecken. Kleinere und mittlere Unternehmen haben meist weder Zeit noch Ressourcen dafür – und müssen dementsprechend ihren Mitarbeitern klarmachen, wie gefährlich so ein Verhalten sein kann.

Dafür plädiert auch Michael Pferrer, Inhaber des IT-Dienstleisters Computerzeit. Er betreut seit 22 Jahren Unternehmen aus der Region, kleine und  mittelgroße Betriebe, aber auch Start-ups aus allen Branchen. „Es gibt inzwischen so unglaublich viele Cyberkriminelle“, sagt er, „und das Schlimmste ist, dass es ihnen auch noch so leicht gemacht wird.“

In vielen Unternehmen gibt es nicht einmal eine wirksame Firewall. Damit meinen Experten wie Pferrer nicht die vorinstallierte Windowssoftware, sondern eine kostenpflichtige Hardware-Firewall: Nur so ist der Schutz auch wirklich wirksam, nur so wird der unerwünschte Eindringling schon an der Tür abgefangen. „Im Moment beobachten wir so viele verschiedene Onlinebedrohungen wie noch nie“, sagt Pferrer. „Und trotzdem wird das Thema bei einem Großteil der Betriebe stiefmütterlich behandelt. Billige Cloud-Anbieter beispielsweise werden bevorzugt, ohne Rücksicht auf die Qualität und den rechtskonformen Datenschutz. Manch einer wacht erst auf, wenn bei ihm alles zusammenbricht.“

Einer von Pferrers Kunden hat das sehr schmerzhaft am eigenen Leib erlebt: Der Unternehmer entschied sich für einen sehr günstigen Cloud-Anbieter, bei dem er vier Terabyte Onlinespeicher mietete. Die Server sollten in Deutschland stehen, alles schien auf den ersten Blick seriös. Im Kleingedruckten des Vertrags behielt sich der Anbieter allerdings vor, die Daten auf Servern von Dritten zwischenzuspeichern, auch im Ausland. Nach einigen Monaten beschwerten sich schließlich Kunden: Die verkaufte Messtechnik sei kaputt, würde manchmal auch gar nicht erst funktionieren, was denn da los sei? „Es war ein absoluter Super-GAU“, sagt Pferrer. „Die patentierten Skizzen, die die Firma in der Cloud abgespeichert hatte, sind auf Servern in Indien gelandet und von dort nach China gelangt. Dann wurden sie wohl an einer Börse verkauft.“ Und weil den chinesischen Dieben die dazugehörige Software fehlte, bauten sie die deutsche Messtechnik zwar detailgetreu nach – aber ohne die notwendige Technik im Inneren – und verkauften alles im Namen der Kölner Firma an deutsche Kunden. „Die Dinger haben genauso ausgesehen wie die Originale, aber sie haben nicht funktioniert. Der finanzielle Schaden war riesig, dazu kam noch einmal ein erheblicher Reputationsschaden“, sagt Pferrer. Inzwischen ist der Unternehmer ein guter Kunde bei ihm geworden.

Selbst Fachleute staunen über Hacker

Pferrer weiß sehr genau, wie kriminelle Hacker arbeiten, und dennoch ist er immer wieder beeindruckt, wenn er es live sieht. „Es gibt regelmäßig Live-Hackshows“, sagt der IT-Fachmann. „Da zeigen Hacker vor Publikum, wie so ein Angriff funktioniert, und das ist selbst für Fachleute noch spannend.“ So zeigen beispielsweise die IT-Experten der Kölner ML Gruppe vor Publikum, dass ein erfolgreicher Angriff nur wenige Sekunden dauern muss. In der IHK Köln demonstrierte Ende September das Unternehmen Cyberdyne aus Köln im Rahmen einer Veranstaltung der Initiative Digital Cologne, wie ein Hacker in fiktive Systeme eindringt. Auf Youtube finden sich Ausschnitte ähnlicher Veranstaltungen – beispielsweise von und mit dem Tübinger IT-Spezialisten Sebastian Schreiber, der in der Lage ist, innerhalb von Minuten Online-Shops zu manipulieren.

Wer sich vor solchen Angriffen wirklich umfassend schützen will, hat auch die Möglichkeit, einen Hacker zu beauftragen, damit der einen so genannten Penetrationstest macht. Für die Vergleichsplattform billigermietwagen.de ist das längst Standard. Von insgesamt 192 Mitarbeitern arbeiten 119 in Köln, Tendenz steigend. Weil das Unternehmen selbst keine Kundendaten abspeichert, sondern lediglich an den Anbieter weiterreicht, sei man für kriminelle Hacker kein besonders attraktives Ziel, sagt Frieder Bechtel aus der Zweigstelle Köln der SilverTours GmbH, die die Plattform billiger-mietwagen.de betreibt. Trotzdem muss die Plattform sicher sein, müssen Kunden sich darauf verlassen können, dass ihre Daten nicht in falsche Hände gelangen: „Sobald wir ein neues Tool entwickelt haben, beauftragen wir deshalb Sicherheitsfirmen, die dann wie Hacker versuchen, Sicherheitslücken zu finden“, sagt Bechtel.

Wer Erfolg hat, erhält eine zusätzliche Prämie. Der Angriff wird mit der IT-Abteilung genau abgesprochen – ansonsten würden die Techniker in Absprache mit der Geschäftsleitung sofort das Landeskriminalamt informieren. Bisher waren die Penetrationstester aber immer erfolglos, und darauf ist das Unternehmen sehr stolz.

Auch Kleinstbetriebe können Opfer werden

Dass Cyberkriminelle selbst vor kleinsten Betrieben nicht zurückschrecken, zeigt das Beispiel des Fotografen Stephen Petrat aus Köln-Ehrenfeld. Petrat betreibt sein eigenes Fotostudio, veranstaltet regelmäßig Workshops und arbeitet für Agenturen der Region. Die wichtigste Zeit des Jahres ist für ihn die Fotomesse Photokina, die alle zwei Jahre im Herbst stattfindet. Hier knüpft er Kontakte, hier trifft er Kunden und Kollegen, und in dieser Zeit ist es für ihn essenziell, dass seine Website perfekt funktioniert.

Kurz vor der Photokina 2014 überraschte ihn Google mit einer kurzen, unangenehmen Mitteilung: Auf seiner Seite seien Spuren schadhafter Software gefunden worden. Im Klartext: Über eine Sicherheitslücke war ein Trojaner eingedrungen, und wer die Seite des Fotografen dann noch besuchte, infizierte sich ebenfalls – Petrats System war Teil eines Bot-Netzes (s. Lexikon). „Das war extrem schädlich“, sagt der Fotograf. „Tagelang ging bei mir nichts mehr. Mir selbst fehlt auch das tiefere technische Verständnis für solche Sachen.“

Der Trojaner konnte eindringen, weil Petrat einige Tage zuvor an der Seite herumgebastelt und dafür die Sicherheit heruntergesetzt hatte. Grundsätzlich ist das kein Problem, vorausgesetzt, der Schritt wird anschließend wieder rückgängig gemacht, sodass Unbefugte nicht eindringen können. Das hatte der Fotograf aber vergessen. „In dieser Zeit sind mir alle möglichen Verdachtsmomente gekommen. Es hätte ja auch sein können, dass irgendein Konkurrent es ganz gezielt auf mich abgesehen hat.“ Wahrscheinlicher ist allerdings, dass die Sicherheitslücke automatisch erkannt und ausgenutzt wurde.

Ein IT-Fachmann brauchte einige Tage, um das Problem wieder in den Griff zu bekommen. „Ich habe auf jeden Fall daraus gelernt“, sagt der Fotograf heute. Inzwischen überlässt er die technische Seite dem Dienstleister. Doch selbst wenn die Website-Verwaltung an Dienstleister ausgegliedert wird: Unternehmen sollten unbedingt einige grundsätzliche Sicherheitshinweise beachten, unabhängig von Branche oder Größe, sagt Jan Reutersberg, Betriebsleiter beim IT-Dienstleister Netzorange. Seine Büroräume finden sich in einem der oberen Stockwerke in der Mülheimer Schanzenstraße, mit Blick über das Mülheimer Industriegebiet und die Innenstadt. „Die größte und häufigste Sicherheitslücke sind leider immer noch E-Mails“, sagt Reutersberg. „Damit öffnen Betriebe den Hackern Tür und Tor in das eigene Unternehmen.“ Er empfiehlt deshalb, niemals Anhänge zu öffnen, die nicht im PDF-Format erstellt sind. Der Grund: Derzeit ist PDF das wohl einzige Dateiformat, das nicht manipuliert werden kann – noch nicht, jedenfalls. Selbst wenn eine wichtige Mail dabei mal gelöscht wird, weil der Anhang im Doc- oder im Excel-Format vorliegt, dann ist das eben so, sagt Reutersberg. „Wenn etwas wichtig ist, dann meldet sich derjenige irgendwann schon auf anderen Wegen.“

Anhänge nur im PDF-Format akzeptieren

Vor einigen Monaten wurden Mails mit Malware-Anhängen ganz gezielt an Personaler verschickt, getarnt als Bewerbung, so ausgeklügelt sind die infizierten Mails inzwischen. „Vor solchen Tricks kann man sich eigentlich nur schützen, wenn man jedem Bewerber klarmacht, dass Bewerbungsunterlagen wirklich ausschließlich in PDF-Form zugelassen werden, ohne Ausnahme. Wer sich daran nicht hält, hat dann eben Pech gehabt.“ Ein weiterer Tipp: Manche Hacker verschicken massenhaft Spam-Newsletter. Manch einer ärgert sich über die unerwünschte Werbung und klickt in der Mail den Abmelden-Button – der im noch besten Fall dem Empfänger signalisiert, dass die Mailadresse aktiv ist, im schlimmsten Fall auf eine virenverseuchte Website weiterleitet.

Wie gefährlich Cybercrime tatsächlich ist, haben längst auch Versicherer erkannt. Seit einigen Jahren bieten fast alle großen Versicherer spezielle Policen an, das Geschäft floriert. Inzwischen haben mehr als zehn Prozent aller Unternehmen schon eine entsprechende Police abgeschlossen, weitere zehn Prozent planen es zumindest, das hat eine aktuelle Umfrage des Branchenverbands Bitkom ergeben.

Der Kölner Bauunternehmer Stefan Bohrmann hat seine Lektion jedenfalls gelernt: Inzwischen müssen alle Mitarbeiter regelmäßig ihre Passwörter ändern. Und: Es gibt regelmäßig Seminare zum Thema Datenschutz, an denen jeder Mitarbeiter teilnehmen muss. Dort geht es dann – unter anderem – um den richtigen Umgang mit Mails und Anhängen. Damit sich der Cybercrime-Albtraum auf keinen Fall jemals wiederholen kann.

LINKTIPP: Staatsanwalt über die Arbeit der Kölner Zentralstelle
In einem früheren Interview mit IHKplus hat Staatsanwalt Markus Hartmann die Arbeit der Zentral- und Ansprechstelle Cybercrime (ZAC) in Köln erklärt und auf die Gefahren für Unternehmen hingewiesen. "IT-Sicherheit ist ein Überlebensfaktor", sagt Hartmann. Das vollständige Interview finden Sie hier.

LEITFADEN FÜR DEN FALL DER FÄLLE
Wie Unternehmer reagieren sollten, wenn sie Opfer eines IT-Angriffs geworden sind, darüber informiert die Broschüre „IHK-Leitfaden: Richtig reagieren bei einem IT-Sicherheitsvorfall“.

INTERVIEW

„Sensibilisieren Sie Ihre Leute!“


Jochim Selzer ist Administrator bei einem Konzern und Mitglied im Chaos Computer Club Köln. Er sagt: Unternehmer sollten die richtige Balance zwischen Freiräumen und Regeln für ihre Mitarbeiter finden, wenn es um IT-Sicherheit geht.

? Herr Selzer, wie sehen Ihre Passwörter aus?
! Ich habe für jede Anwendung ein eigenes Passwort und nutze auch gerne einen automatischen Generator. Dabei kommt dann ein Passwort mit 20 und mehr Stellen heraus, inklusive Groß- und Kleinschreibung sowie Sonderzeichen. Das dürfte selbst ein Profi nicht so einfach knacken können.


? Da dürften Sie eine Ausnahme sein.
! Das bin ich wohl. Gegen die Bequemlichkeit vieler User ist kein Kraut gewachsen. Es gibt so viele, die ein und dasselbe Passwort für Amazon, für Paypal und Facebook nutzen. Da muss sich niemand wundern, wenn seine Daten gestohlen werden. Unsere Mitarbeiter müssen jeden Monat ihr Passwort ändern, und es gibt immer noch einige, die dann sowas haben wie „Januar2016“. Da weiß ich schon, wie das neue Passwort am 1.2. aussehen wird.


? Wie ist das auf Unternehmensebene: Sind Konzerne grundsätzlich besser geschützt als kleine und mittlere Unternehmen?
! Grundsätzlich lassen die großen Firmen ihren Mitarbeitern weniger Spielräume, was auch gut ist. Da haben die Mitarbeiter zum Beispiel keine Adminrechte und können gar nicht so einfach irgendwas installieren. Die Leute nervt das zwar, wenn sie erst in der IT-Abteilung anrufen müssen, weil sie einen neuen Videoplayer haben wollen, aber es ist sehr wirkungsvoll. Noch besser wäre es, wenn jeder sich Gedanken machen würde, bevor er irgendwas aus dem Netz runterlädt und installiert.


? Haben Sie noch einen Tipp für Chefs kleinerer oder mittlerer Betriebe?
! Sensibilisieren Sie Ihre Leute! Machen Sie ihnen klar, wie wichtig das Thema ist und wie verantwortungsvoller Umgang mit IT-Sicherheit funktioniert. Verlassen Sie sich nicht allein auf technische Lösungen und ausschweifende Regelwerke, sondern sorgen Sie für motivierte, sicherheitsbewusste und mitdenkende Angestellte.

INTERVIEW

„Wer sich sicher fühlt, hat sich noch nie intensiv mit dem Thema beschäftigt"“

Markus Schaffrin ist Experte für Internetsicherheit beim Verband der Internetwirtschaft eco in Köln. Er fordert: „Wir brauchen viel mehr Aufklärung.“

? Herr Schaffrin, die meisten Experten zeichnen ein sehr düsteres Bild. Immer wieder hört man, dass es keine hundertprozentige Sicherheit gibt und dass viele Mitarbeiter vollkommen blauäugig und stiefmütterlich mit Internetsicherheit umgehen. Sehen Sie das auch so?
! Ja, leider schon. 100 Prozent Sicherheit sind sehr schwierig. Allerdings sind sie auch nicht notwendig, denn die meisten Kriminellen haben es vor allem auf diejenigen abgesehen, die sich wenig oder gar nicht schützen, die keine Updates installieren und veraltete Plug-ins und Server benutzen. Auf einen Virenschutz wird aus Kostengründen auch häufig verzichtet. Wer auf die grundsätzlichen Dinge achtet und ein bisschen was investiert, kann immerhin 80 Prozent Sicherheit erreichen. Danach wird es teuer und das ist meist auch nicht mehr unbedingt notwendig.


? Gibt es denn Geräte, auf die es Cyberkriminelle besonders abgesehen haben?
! Ja, und zwar alle Geräte, auf denen ein Android-System läuft. Das hängt mit der hohen Verbreitung zusammen, außerdem arbeiten immer mehr Menschen nur noch mit Tablet und Smartphone. Vielen Anwendern ist nicht klar, dass sie einen vollwertigen PC mit sich herumtragen, auf dem sie sensible Unternehmensdaten speichern. Wir empfehlen, die Firmware des Geräts immer aktuell zu halten, eine Antiviren-Software zu installieren und Apps nur zu nutzen, wenn sie aus seriösen Quellen stammen. Bei unbekannten SMS und Mails sollte jeder misstrauisch sein.


? Was ist aus Ihrer Sicht der häufigste Fehler, den Unternehmer begehen?
! Ich höre leider immer wieder Sätze wie „Bei uns ist noch nie was passiert.“ Wer sich sicher fühlt, hat sich noch nie mit dem Thema intensiv beschäftigt. Gerade bei kleinen und mittleren Unternehmen gibt es große Defizite. Im schlimmsten Fall wird das Thema immer irgendwie nebenher von einem Mitarbeiter behandelt, der sich aber nicht richtig kümmert, weil die Zeit und das Geld dafür fehlen. Das mündet in einer Katastrophe.


? Wofür plädieren Sie?
! Jeder sollte sich mit IT-Security auseinandersetzen. Es kann nicht sein, dass jedes Unternehmen eine eigene Website hat, aber nicht den entsprechenden Schutz. Wir sprechen oft auch von der Wasserlochstrategie: An einem Wasserloch trinken Antilopen, während der Löwe auf seine Beute wartet. Ähnlich ist es hier auch: Das ungesicherte, infizierte System gleicht einem Wasserloch, die Antilopen sind ahnungslose Nutzer. Wir versuchen, den Nutzern in diesem ungleichen Kampf zumindest ein paar Waffen an die Hand zu geben: botfrei.de ist ein Service, bei dem eco Internetnutzern hilft, ihre Rechner von Botnetz-Schadprogrammen zu befreien und nachhaltig sicherer zu machen.

WEITERE THEMEN