Die Industrie überschätzt ihre Cybersicherheit, zeigt eine aktuelle Studie. Zum Schutz vor digitalen Angriffen sind nicht nur technische Maßnahmen erforderlich. Eine der bedeutendsten Komponenten ist der Faktor Mensch. 80 Prozent der europäischen Industrieunternehmen sind unzureichend gegen Cyberangriffe geschützt, wiegen sich jedoch oft in Sicherheit.
Zu diesem Ergebnis kam der Netzwerkausrüster Cisco in einer aktuellen Studie. Dabei sind Cyberangriffe das größte Risiko für Unternehmen, zeigt eine Einstufung von Versicherern wie der Allianz. Schäden in dreistelliger Milliardenhöhe entstehen der deutschen Wirtschaft jährlich durch Schadsoftware oder Viren, laut des Branchenverbands der deutschen Informations- und Telekommunikationsbranche Bitkom.
Selbst wenn Verantwortliche schnell auf Hackerattacken reagieren, kann es große Einschränkungen geben, wie das Beispiel des Batterieherstellers Varta zeigt: Das börsennotierte Unternehmen hatte Mitte Februar mitgeteilt, dass auf Teile ihrer IT-Systeme eine Cyberattacke verübt worden sei. Aus Sicherheitsgründen wurden die Systeme und damit auch die Produktion heruntergefahren und vom Internet getrennt. Mehr als zehn Tage war der Betrieb standortübergreifend weitgehend eingestellt. „Mittlerweile ist klar, dass hinter der Cyberattacke eine organisierte Hackergruppe steckt, der es mit hoher krimineller Energie gelungen war, die hohen Absicherungsstandards der Varta-IT-Systeme zu durchbrechen“, teilte der Konzern Ende Februar mit. Wie Anfang Mai bekannt wurde, kostete der Hackerangriff den Batteriekonzern seine Indexzugehörigkeit: Die Notierung der Aktie im SDax wurde gelöscht. Grund ist laut einer Mitteilung der deutschen Börse die nicht fristgerechte Veröffentlichung des geprüften Jahresfinanzberichts.
Organisierte Hacker nutzen die Schwachstelle Mensch
Wie genau der Hackerangriff auf Varta gelungen ist, ist nicht bekannt. Eine Methode, mit der es Hackern immer wieder gelingt, schädliche Software in IT-Systeme zu schleusen, ist Phishing: Das Kunstwort setzt sich aus „Password“ und „Fishing“ zusammen. Als seriöse Bank, Internetanbieter oder bekannter Dienstleister getarnt, fordern E-Mails mit gefälschtem Absender die Empfänger etwa zu einer vorgeblich notwendigen Aktualisierung und der Eingabe vertraulicher Daten auf. Ließen sich frühere Phishing-E-Mails noch relativ leicht an Schreibfehlern oder seltsamen Absendern erkennen, agieren die Versender heutzutage professioneller: Korrekte Anreden, täuschend echt imitierte Absende-Adressen und plausible Inhalte sollen dazu verleiten, auf einen in der Nachricht enthaltenen Link zu klicken und sicherheitsrelevante Daten preiszugeben.
Mithilfe von sich selbst installierender Ransomware gelingt es den Cyberkriminellen dann beispielsweise, Firmendaten zu kidnappen und zu verschlüsseln, um anschließend Lösegeld für die Freigabe zu verlangen. „Digitale Gefahren können gerade in Industrieunternehmen auch auf analogen Kontaktwegen lauern“, warnt Robert Lohmann. Der promovierte Politik- und Bildungswissenschaftler ist Experte für digitale IT-Sicherheitstrainings beim Lerntechnologie-Anbieter imc. Gegründet hat das Unternehmen vor mehr als 25 Jahren der ehemalige Bitkom-Präsident August-Wilhelm Scheer. „Neben Links in E-Mails nutzen Hacker auch USB-Sticks, die gezielt an Mitarbeitende geschickt oder in Büros einfach abgelegt werden, oder sie kontaktieren Beschäftigte direkt, um Zugangsdaten auszuspionieren“, so Lohmann weiter.
Neben einem nicht ausreichend geschützten Netzwerk sei damit der Faktor Mensch ein großes Risiko für die IT-Sicherheit. Ob es Unternehmen gelingt, Cyberattacken abzuwehren, hänge vor allem von den Personen ab, die dort arbeiten: „Je mehr die Beschäftigten darüber wissen, wie Hackerangriffe gelingen können, desto leichter lassen sich Cyberattacken verhindern“, sagt Lohmann. Gerade Industrieunternehmen sollten deshalb alle Angestellten – ob am PC-Arbeitsplatz oder in der Produktion – über „Social Engineering“ aufklären. Der Begriff lässt sich mit „Soziale Manipulation“ übersetzen: Kriminelle nutzen menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten aus, um an sensible Daten zu kommen und anschließend Sicherheitsmaßnahmen zu umgehen, die normalerweise gegen Angriffe schützen würden.
Beschäftigte für IT-Sicherheit sensibilisieren
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet den Faktor als möglichen Abwehrschirm gegen Cyberangriffe: „Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme. Das bedeutet zunächst, dass ein Problembewusstsein für Cybersicherheit geschaffen werden muss. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen“, ist auf der Webseite des BSI zu lesen. Hilfreich dabei sei ein Wechsel des Blickwinkels.
Genau hier setzt das von der imc entwickelte Awareness-Training „Cybercrime Time“ an: In dem E-Learning, das wie ein PC-Spiel aufgebaut ist, schlüpfen Lernende in die Rolle eines Hackers. Durch die Interaktion mit der Spielfigur sollen Mitarbeitende die gängigsten Cyber-Angriffstechniken kennenlernen und spielerisch vermittelt bekommen, wie sie sich und ihren Arbeitgeber vor Hackerattacken schützen können. Ob Nutzer die Lerninhalte verstanden haben, zeigen integrierte Testfragen. Mithilfe von Vertiefungsmodulen und Videoserien ist das Spiel als kontinuierliche Lernreise konzipiert. „Ein nachhaltiges Sicherheitsbewusstsein lässt sich nicht mit einer einmaligen Lernmaßnahme erreichen. Es braucht eine dauerhafte Auseinandersetzung mit dem Thema Cybersicherheit“, erläutert Robert Lohmann.
Dass Security-Awareness-Trainings wirken, zeigt eine Analyse des Softwareentwicklers Knowbe4: Das Unternehmen hat vergangenes Jahr Daten in mehr als 35000 Unternehmen aus weltweit 19 Branchen ausgewertet, dazu mehr als 32 Mio. Phishing-Security-Tests durchgeführt. Ohne Sicherheitsschulung klickte ein Drittel der Mitarbeitenden auf einen verdächtigen Link in einer E-Mail oder kam einer betrügerischen Anfrage nach. Führten Unternehmen vorab eine Kombination aus Awareness-Trainings und simulierten Phishing-E-Mails durch, änderten sich die Ergebnisse deutlich: nach 90 Tagen sank die durchschnittliche Phishing-Anfälligkeit auf 20 Prozent, nach zwölf Monaten regelmäßiger Sensibilisierung betrug sie weniger als sechs Prozent. (ah)
