Cybersecurity: Nicht nur ein Thema für die IT

Solange Covid19 existiert, werden zahlreiche Berufstätige weiterhin im Homeoffice bleiben. Dabei sollte man eine drohende Gefahr nicht vergessen: Cyberattacken! Deshalb verrät Ihnen Bianca Sum, Leiterin der ZD.B-Themenplattform Cybersecurity, im nachfolgenden Interview wertvolle Tipps, wie Sie sich in der digitalen Arbeitswelt vor IT-Angriffen schützen.

Bianca, welche Cyberangriffspunkte gibt es in einem Unternehmen?

Bianca Sum: Zunächst einmal ist jedes Gerät, das mit dem Internet oder internen Netzwerken verbunden ist, grundsätzlich angreifbar. Das beginnt im Büro mit Computern, Laptops, Druckern und hört mit vernetzten Produktionsanlagen in einer Fabrik auf. Ein wichtiger Aspekt sind inzwischen auch IoT-Geräte, also Geräte aus dem Internet der Dinge. Das kann eine Glühbirne sein, eine Kamera oder auch ein Roboterarm. Jeder dieser Angriffspunkte wird im Idealfall mit spezifischen IT-Maßnahmen geschützt.

Ist auch Hardware angreifbar?

Bianca Sum: Ja, der Klassiker ist ein mit Malware infizierter USB-Stick, der mit bösen Absichten von einer Person auf dem Unternehmensparkplatz abgelegt wird. Im worst case steht “wichtiges Projekt” oder “Gehaltsabrechnungen” auf dem Stick, um den Anreiz zu erhöhen, dass jemand den Stick wirklich an ein Gerät anschließt. Es kann natürlich auch passieren, dass man bei externen Terminen oder Veranstaltungen zufällig einen mit Malware befallenen USB-Stick an seinem Gerät ansteckt. Darüber hinaus gibt's richtige Hacking Tools, die man sich teilweise einfach im Internet bestellen kann. Das kann beispielsweise ein kleiner Adapter sein, den man zwischen Tastatur und PC einsteckt, um sämtliche Tastatureingaben aufzuzeichnen. Vorsicht ist überall geboten!

Was sind die ersten Schritte, um sein Unternehmen zu schützen?

Bianca Sum: Ein erster Schritt wäre, sichere und vor allem unterschiedliche Passwörter für den Zugriff auf Geräte und Programme zu vergeben. Dabei gilt die Faustregel: Je länger, desto besser. Ich empfehle gerne Passwortsätze, z. B. “Maria Müller hat ein ultra sicheres Passwort für ihren Firmen-Laptop”. Man sollte außerdem immer alle verwendeten Programme aktuell halten und Updates installieren. Ein weiterer Tipp ist, sich für den Notfall vorzubereiten. Also sicherzustellen, dass einem jemand helfen kann – beispielsweise Spezialisten in der eigenen IT-Abteilung oder externe Experten.

Durch Covid19 sind aktuell viele Beschäftigte im Homeoffice tätig. Was gibt es hier zu beachten?

Bianca Sum: Es ist schwieriger, mit einheitlichen IT-Sicherheit-Standards vorzusorgen, wenn Mitarbeitende ihre privaten Geräte anstatt Firmen-Laptops nutzen. Verbindliche Regeln sollten in beiden Fällen kommuniziert werden:

• Alle verwendeten Programme müssen aktuell gehalten werden.
• Es ist verpflichtend, sichere Passwörter zu verwenden.
• Das voreingestellte Router-Passwort muss erneuert werden.
• Der Zugriff auf Firmendaten darf ausschließlich über extra gesicherte Verbindungen (z. B. VPN-Client) erfolgen.
• Der Laptop soll beim Verlassen des Arbeitsplatzes immer gesperrt werden.
• Das Unternehmen muss seine Angestellten regelmäßig über gefährliche Phishing-Mails informieren.

Zudem achten Mitarbeitende bestenfalls darauf, dass ihr Büro im Eigenheim abschließbar ist und Gespräche nicht durch geöffnete Fenster belauscht werden können.

Gab es in Deutschland bereits Cyberangriffe, die großen Schaden verursacht haben?

Bianca Sum: Ja, leider viele. Vieles bekommt man oft nicht mit, weil für Unternehmen mit solchen Angriffen auch immer ein möglicher Imageschaden verbunden ist.

Beispielsweise gab es vor Kurzem einen Angriff auf ein Krankenhaus in Düsseldorf. Dort wurden Server durch Malware verschlüsselt, wodurch das Krankenhaus von der Notfallversorgung abgemeldet wurde. Folglich konnten die Krankenwagen die Notaufnahmen nicht mehr anfahren, weswegen eine schwerkranke Frau in eine weiter entfernte Klinik gebracht werden musste. Dort ist sie dann leider verstorben, möglicherweise auch, weil die Behandlung einfach zu spät vorgenommen wurde. Zum Glück passiert das nicht oft, aber es kommt vor.

Was tatsächlich häufiger vorkommt, sind die erwähnten Phishing-Attacken. In München gab es beispielsweise eine Bäckerei, deren Mitarbeiterin aufgefordert wurde, in einer vermeintlich vertraulichen Transaktion 1,9 Millionen Dollar nach Hongkong zu überweisen. Das hat die Mitarbeiterin leider auch gemacht und letztendlich musste sich die Bäckerei mit der Bank streiten, wer die Verantwortung für die Überweisung übernehmen muss. Und die Mitarbeiterin hat leider auch ihren Job verloren.

Bianca, erzähle doch zum Abschluss noch kurz, wie Ihr als Zentrum Digitalisierung.Bayern Unternehmen und ihre Mitarbeiter bzgl. Cybersicherheit unterstützt.

Bianca Sum: Ja, gerne. Es gibt gerade in Bayern viele Unternehmen und Forschungseinrichtungen, die sich auf den Bereich IT-Sicherheit spezialisiert haben. Von deren Expertise können Unternehmen natürlich enorm profitieren. Deshalb vernetzen wir die Experten, um einen Wissenstransfer zu ermöglichen und auch die Forschung und Entwicklung von neuen Sicherheitslösungen voranzutreiben. Außerdem …:

• unterstützen wir bei Forschungsprojekten oder laden Experten zu Veranstaltungen und Workshops ein, um aktuelle Themen aus der IT-Sicherheit zu diskutieren.
• stellen wir kostenfreies Informationsmaterial zu unterschiedlichen Sicherheitsthemen auf unserer Website zur Verfügung.

Unser Ziel ist es, Unternehmen und ihre Mitarbeitenden, aber auch die Gesellschaft insgesamt dafür zu sensibilisieren, dass es ohne ein vernünftiges Maß an IT-Sicherheit keine erfolgreiche Digitalisierung geben wird - ohne dass wir dabei Panik vor Cyberattacken befeuern!


Das Interview führte Dr. Kord Pannkoke, Leiter Business Development bei der Bayern Innovativ GmbH.

Hören Sie sich das vollständige Interview als Podcast an: