Verlust von sensiblen Daten, langfristige Reputationsschäden, Lösegelderpressungen – erfolgreiche Cyber-Attacken können mit erheblichen Schäden einhergehen. Allein in Deutschland waren es im vergangenen Jahr rund 220 Milliarden Euro, die Unternehmen und Privatpersonen infolge eines Hackerangriffs aufgrund von Produktionsausfällen, zerstörter Infrastruktur oder Lösegeldzahlungen verloren, langfristige Reputationsschäden bei Kund*innen nicht miteingerechnet.
© Photo by Jake Allen on Unsplash
Ein verlockender Weg für Kriminelle, um schnell an Reichtum zu kommen. Dabei beschränken sich die Hacker*innen nicht auf vermögende Großkonzerne oder Privatpersonen. Jedes Unternehmen und jede*r Internet-Nutzer*in hat eine Zielscheibe auf dem Rücken: Rund 17,7 Millionen Deutsche wurden 2021 Opfer von Internet-Kriminalität, knapp die Hälfte der Unternehmen hierzulande machte im vergangenen Jahr eine schlechte Erfahrung im Zuge einer Cyber-Attacke. Das bedeutet: Es geht nicht darum, ob man angegriffen wird, sondern wann. Dabei überlebt nicht jedes Unternehmen eine solche Attacke – es geht hierbei um eine existenzielle Bedrohung.
Nicht nur Fachleute greifen an
Unternehmen – und auch Privatpersonen – schützen sich auf technologischer Ebene immer besser gegen Cyber-Angriffe. Deshalb machen sich Hacker*innen vermehrt menschliche Unzulänglichkeiten und Emotionen wie Neugier, Angst oder Naivität zunutze: Social-Engineering-Angriffe sind vergleichsweise leicht umzusetzen – teilweise auch ohne umfassendes, technisches Know-how: Im Zuge des Zensus 2022 geben sich Kriminelle als Interviewer*innen im Auftrag des Statistischen Bundesamtes aus und erfragen von ahnungslosen Bürger*innen sensible Daten wie Sozialversicherungsnummern oder Kontodaten.
© Photo by Andrew Neel on Unsplash
So machen sie sich die Leichtgläubigkeit und Unwissenheit ihrer potenziellen Opfer unter einem geschickten Vorwand zunutze. Schwerer zu durchblicken, wird es, wenn die Cyber-Attacken technisch clever verpackt sind. Ein gängiges und beliebtes Mittel hierbei sind Phishingmails: Sie beinhalten eine manipulierte Datei oder einen infizierten Link, sodass die Betroffenen Schadsoftware direkt auf ihrem Endgerät installieren. 156 Millionen dieser E-Mails werden täglich quer um den Globus geschickt – 156 Millionen Fälle von versuchtem Betrug, unzählige davon sind erfolgreich.
Aufmerksamkeit schaffen
Ein Beispiel: Ein*e Hacker*in versendet unter dem Namen des oder der HR-Verantwortlichen eine Excel-Datei mit dem Namen „Gehaltsliste2022.xls“ und hofft so auf die Neugier der Empfänger*innen – und eines ist sicher: Mindestens eine Person wird die Datei öffnen und so das Tor zum Heiligsten moderner Unternehmen aufstoßen: die IT-Infrastruktur. Auch mit Viren infizierte USB-Sticks, die „zufällig“ auf Parkplätzen oder dergleichen liegengelassen werden, sind ein Weg, Neugier auszunutzen und gängige Sicherheitskonzepte von Unternehmen zu umgehen. Auch E-Mails, die auffällig Druck ausüben – beispielsweise durch Worte wie „dringend“ oder „sofort“ – und vom „CEO“ stammen, sollen menschliche Emotionen wecken und zu überstürztem Handeln führen.
© Photo by Helen Cramer on Unsplash
Die vermehrte Nutzung von Remote Work oder dem Homeoffice verschärft diese Risiken zusätzlich. Dem können Unternehmen – wie auch Privatpersonen – mit einer recht simplen Präventionsmaßnahme vorbeugen: die „Human Firewall“. Sie ist eine zusätzliche und effektive Schicht für die Sicherheitskonzepte. Dafür braucht es nicht mehr als aktuelle Informationen, Aufmerksamkeit – und etwas Ruhe in kritischen Momenten. Unternehmen müssen für ihre Mitarbeiter*innen ein verpflichtendes Angebot schaffen, mithilfe dessen sie die Belegschaft aufklären und auf dem Laufenden halten. Dabei ist das Thema keine reine Angelegenheit für die IT-Abteilungen der Unternehmen. Deshalb ist es ratsam, es am Management zu verankern. Trotz des steigenden Bewusstseins für die Wichtigkeit von Cyber-Security geschieht dies oft noch zu selten: Nur rund 46 Prozent der hiesigen Unternehmen sind gegen Cyber-Risiken versichert, nur jedes Neunte hat sein Cyber-Sicherheitsbudget während des vergangenen Jahres erhöht – trotz der rasant steigenden Bedrohung.
Cyber-Sicherheit betrifft alle
Auch deshalb sollten die IT-Verantwortlichen Impulse an das Management senden und ihnen klarmachen, dass die Bedrohungslage enorme Ausmaße annimmt: Ein einheitliches Sicherheitskonzept beschränkt sich nicht auf die informationstechnischen Mitarbeiter*innen, sondern sollte die gesamte Belegschaft umfassen:
© Photo by Austin Chan on Unsplash
Bei Cyber-Security geht es nicht um Gutherzigkeit gegenüber dem oder der Arbeitgeber*in, sondern um das eigene Einkommen, folglich auch um die eigene Existenz. Deshalb sollten Unternehmen ihre Mitarbeiter*innen regelmäßig schulen und aufklären. IT-Verantwortliche sollten darüber hinaus regelmäßig über aktuelle Angriffswellen und neue Betrugsmaschen informieren – und die Aufmerksamkeit der Belegschaft mittels simulierter Cyber-Attacken testen. Nur so können sie das Maß an Aufmerksamkeit schaffen, nach dem die Sicherheitslage verlangt: jede*r ist ein potenzielles Ziel.
