Firma gehackt: Das größte Problem bleibt der Mensch
IT-Sicherheit in Firmen: Das größte Problem ist der Mensch
Bild: dpa
Plötzlich ließ sich der Hochofen nicht
mehr steuern: Über das Büronetzwerk eines deutschen Stahlwerks hatten
sich Angreifer bis in die Produktionsnetze vorgearbeitet - und nahmen
Einfluss auf die Steuerung der Anlage. Dieser Hackerangriff sorgte
vor einigen Jahren für Schlagzeilen. Massive Schäden waren die Folge,
wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in
einem Bericht über den Angriff dokumentiert hat.
Dieses Beispiel zeigt: In Zeiten zunehmender Vernetzung werden Firmen über das Internet immer verwundbarer. Das nimmt Unternehmen natürlich in die Pflicht, ihre IT-Infrastruktur entsprechend zu schützen. Doch es gibt eine Schwachstelle: Die Mitarbeiter. "Das größte Einfallstor stellt aus meiner Sicht der Mensch dar", sagt Ingo Legler, IT-Sicherheitsexperte bei der Expertenorganisation Dekra. "Er kann aber auch das größte Bollwerk sein."
Kombi aus Phishing und Social Engineering
IT-Sicherheit in Firmen: Das größte Problem ist der Mensch
Bild: dpa
Auch bei dem viel beachteten Zwischenfall in dem Stahlwerk setzten
die Angreifer bei den Mitarbeitern an. Sie gingen gewieft vor - mit
zwei Methoden. Zum einen schickten sie Phishing-E-Mails an bestimmte
Mitarbeiter. Phishing ist eine englische Wortkomposition, die sich
mit "Passwort abfischen" übersetzen lässt. Mit gefälschten
Internetseiten oder E-Mails wird versucht, Zugangsdaten abzugreifen.
Häufig sehen diese manipulierten Inhalte täuschend echt aus. Werden
dort Daten eingegeben, fallen sie laut BSI aber in unberechtigte
Hände.
Zum anderen nutzten die Angreifer wohl die Auskunftsfreudigkeit einzelner Mitarbeiter aus. Social Engineering heißt der Fachbegriff, im Stahlwerk sei das "ausgefeilt" angewendet worden, schreibt das BSI in seinem Bericht. Details nannten die Experten nicht. Manchmal funktioniert diese Methode schon, wenn sich Hacker am Telefon als Techniker ausgeben und nach bestimmten Zugangsdaten fragen.
Die Zeiten, in denen dubiose E-Mails an ihren zahlreichen Rechtschreibfehlern oder schrägen Betreffzeilen erkennbar waren, sind vorbei. Weil im Internet immer mehr persönliche Informationen abrufbar sind, wird die Ansprache präziser, wie Legler sagt. An dieser Stelle hilft eine gesunde Portion Skepsis gegenüber Anfragen von vermeintlichen IT-Mitarbeitern, die nach Zugangsdaten fragen. Und ein Gegencheck, etwa beim Vorgesetzten, wenn man von der Maßnahme nichts weiß.
Drive-by-Downloads und externe Speichermedien
Doch egal, ob man am heimischen PC oder im Büro sitzt: Selbst mit Misstrauen lässt sich nicht jede Falle identifizieren. "Ein immer größeres Risiko sind die sogenannten Drive-by-Downloads", sagt Legler. Von manipulierten Internetseiten werden dabei Sicherheitslücken im Browser oder in dessen Zusatzprogrammen (Plug-ins) ausgenutzt. Schutz dagegen bietet nur, den Browser sicher zu konfigurieren. "Dabei kann im Büro die IT-Abteilung helfen."
Auch über E-Mails kann diese Masche funktionieren. Nämlich dann, wenn im Programm die Darstellung der Inhalte mit HTML-Skript aktiviert ist. Legler empfiehlt, die sichere Einstellung Plaintext (auch "Nur-Text") zu wählen.
Doch nicht nur über das Internet drohen Gefahren für das Firmennetzwerk. Auch USB-Sticks oder externe Festplatten, die Beschäftigte an ihren PC anschließen, können Schadsoftware enthalten. Viele Unternehmen verbieten das bereits, doch nicht alle. Legler rät Mitarbeitern hier generell zur Vorsicht: Auch wenn man die Speichermedien problemlos am heimischen Computer benutzt hat, könnte sich Schadcode auf ihnen verstecken. Idealerweise hat die Firma eine sogenannte Sandbox, sagt Legler: Ein Prüfsystem, das externe Geräte noch einmal auf Viren scannt. Ist alles in Ordnung, dürfen sie auch mit dem Büro-Computer verbunden werden.
Laxer Umgang mit IT-Regeln in Firmen
In Zeiten der Digitalisierung überrascht es, dass es immer noch Unternehmen ohne jegliche IT-Regeln gibt. Das geht zumindest aus einer Forsa-Umfrage im Auftrag von Dekra unter Beschäftigten hervor, die beruflich am PC arbeiten. Zwölf Prozent gaben an, dass es für sie gar keine Vorgaben gebe. Rund ein Drittel (34 Prozent) hat nach eigenen Angaben IT-Regeln zu befolgen. Doch auf deren Einhaltung werde nicht genau geachtet. Etwa jeder Zweite (48 Prozent) gab an, zu IT-Sicherheit gar nicht geschult zu werden.
Aus Sicht von Legler sollten Beschäftigte schon während der Einarbeitung sensibilisiert werden, welche Regeln dazu in der Firma gelten. Etwa zu Fragen wie: "Worauf hat man Zugriff, welche Dokumente darf man bearbeiten?" Wer IT-Regeln nicht explizit erklärt bekommt, sollte im Zweifel selbst danach fragen.
Klare Weisungen können zum Beispiel in Aushängen oder Betriebsvereinbarungen festgehalten sein. Wer dagegen verstößt, riskiere Abmahnungen und in extremen Fällen sogar Kündigungen und Schadenersatzforderungen, sagt die Kölner Arbeitsrechtlerin Nathalie Oberthür. "Wenn die Weisungslage nicht klar ist, ist es natürlich für das Unternehmen schwieriger, Sanktionen auszusprechen."
Posten von Arbeitsplatz-Fotos kann gefährlich werden
Für Fehlverhalten müssen nicht immer IT-Regeln bestehen. Oberthür schildert ein Beispiel: Ein Mitarbeiter, der "bewusst im Internet auf dubiosen Seiten herumsurft und sich dort einen Virus einfängt, der das Firmennetzwerk schädigt", könnte für grob fahrlässiges Verhalten Konsequenzen zu erwarten haben. Wie so oft kommt es auf den Einzelfall an. So sei etwa das Klicken auf eine manipulierte E-Mail im hektischen Alltag wohl allenfalls einfach fahrlässig. Für einen Schaden könnte der Mitarbeiter dann nicht haftbar gemacht werden.
Firmen dürfen auch das Posten von Arbeitsplatz-Fotos in sozialen Netzwerken verbieten. Denn schon Details können Cyber-Kriminellen Anhaltspunkte liefern, etwa über die Art der Telefonanlage. "Da habe ich als Hacker bereits relativ viel Information, um die IT der Firma anzugreifen", sagt Legler.
Eine Grundregel gibt es fast überall: Auch wenn man keinen Argwohn gegenüber Kollegen hegt: Wer seinen Arbeitsplatz verlässt, sollte stets den Bildschirm sperren - damit niemand anders darauf zugreifen kann.