Cyber Angriffe sind mittlerweile zum Gesprächsthema Nummer 1 bei Risikobetrachtungen von Unternehmen geworden. Egal ob es die Tischlerei nebenan, kleine und mittlere Unternehmen (KMU) oder global agierende Konzerne, es betrifft alle Größen und Branchen. Organisierte Kriminalität steht einem erheblichen Fachkräftemangel (speziell im Bereich der IT) entgegen, der das Risiko Opfer eines Cyber Angriffes zu werden noch steigert. Was ist also das beste Mittel, dem entgegenzuhalten? Zahlreiche Tipps über Präventionsmöglichkeiten bieten hier unterschiedlichste Institutionen von Behörden bis hin zur freien Wirtschaft.
Aus Sicht des Autors sollte die Prävention hier wesentlich stärker in Richtung Mensch gehen. Natürlich müssen digitale Fenster und Türen durch die IT abgesichert werden, nichtsdestotrotz steht der Mensch immer noch im Mittelpunkt des Handelns. Und: es gibt noch immer keine technische Lösung für ein menschliches Problem! Erfahrungswerte, Studien, Statistiken und Umfragen erkennen eine Verlagerung der Cyber Angriffe auf den Menschen – vermutlich noch immer die größte Schwachstelle. Die hybride Arbeitswelt in Verbindung mit Homeoffice hat dieses Phänomen noch weiter verstärkt. Es spielt keine Rolle, ob es sich hierbei um Empfangs-, Lager-, Sekretariats-, Administrationsmitarbeiter oder um Führungspersonal handelt – vor einem Cyber Angriff sind alle Menschen gleich.
Verstehen Mitarbeiter eines Unternehmens, wer die Angreifer sind, welche Methoden eingesetzt werden und welche Auswirkungen ein solcher Cyber Angriff hat, werden diese sicher sensibler auf verdächtige Mails, Telefonanrufe, Nachrichten oder persönliche Anfragen reagieren. Im Fachjargon: Phishing / Vishing / Smishing – in Summe Social Engineering genannt. Und hier beginnt schon das Problem, da die wenigsten Anwender diese Begriffe kennen, geschweige denn, was dahintersteckt, wie Tätergruppen außerhalb von IT-Fachkenntnissen agieren, wie man Angriffe frühzeitig erkennt und wie man sich schützen kann. De facto findet kein Cyber Angriff mehr ohne Social Engineering statt, die Mitarbeiter häufig blauäugig in die Falle tappen lassen. Da wäre es nicht schlecht, zu erfahren, wie so ein Social Engineering Angriff in Praxis aussieht und auch vielleicht, wie sichere Passwörter erstellt werden können, die man sich auch merken kann. Awareness Schulungen für Mitarbeiter sollten in diesem Zusammenhang nicht zu technisch, sondern verständlich dem Grundwissen der Anwender angepasst und anschaulich vermittelt werden.
Unabhängig des Faktors Mensch, sind technische Mindeststandards in der IT unverzichtbar und ebenso die Vorbereitung auf das Worst Case Szenario. Tritt dieses in der Form ein, dass ein IT-Sicherheitsvorfall stattgefunden und auf keine Daten mehr zugegriffen werden kann, ist es essenziell, dass ein Maßnahmeplan (Krisenmanagement / Business Continuity Management) vorhanden ist, in welchem sämtliche Prozessabläufe und Verhaltensweisen enthalten sind, die darauf ausgerichtet sind, die Aufrechterhaltung bzw. Wiederherstellung des Normalbetriebs so schnell als möglich wieder zu gewährleisten. Dies wird nur dann möglich sein, wenn in diesem Krisenmanagement Entscheidungsebenen, Krisenkommunikation, Verständigungslisten – hoffentlich inklusive IT-Experten, Mitarbeitern, Behörden, Juristen, etc. – und vieles mehr geregelt ist. Prävention vor Reaktion!
Der Autor:
Andreas Radelbauer ist Leiter des Bereichs Crisis Risk & Response bei Corporate Trust und hat jahrzehntelange globale Erfahrung im Rahmen von Bedrohungen, Erpressungen und Entführungen. Seine behördliche Berufserfahrung konnte er bei Militär, UNO und Bundespolizei sammeln.
E-Mail: radelbauer@corporate-trust.de
Tel: +49 89 599 88 75 80
Corporate Trust Sicherheitsblog 