Der Oktober ist nicht nur der Monat der Zeitumstellung, seit 2012 steht er auch für den "European Cyber Security Month" (ECSM). Ziel des Aktionsmonats ist es, Menschen und Organisationen für einen umsichtigen und verantwortungsbewussten Umgang im Cyber-Raum zu sensibilisieren. Denn Angriffe auf die deutsche Wirtschaft finden zunehmend digital statt, wie eine Anfang September veröffentlichte Bitkom-Studie zeigt.

Mehr als 200 Milliarden Euro Gesamtschaden entstehen deutschen Unternehmen inzwischen jährlich durch Datendiebstahl, Industriespionage oder Sabotage. Drei Viertel der Schadenssumme entfallen auf Cyberattacken. Ob Konzern, Mittelstand oder Kleinunternehmen: Jede Organisation hat Daten, an denen Cyberkriminelle interessiert sein können.

Oft hilft nicht einmal schnelles Reagieren

Selbst wenn Betroffene nach einer Cyberattacke schnell reagieren, lassen sich Schäden meist nicht vermeiden, wie das Beispiel des niedersächsischen Bauteile Herstellers Wildeboer zeigt: Hacker legten Mitte Juli die IT des Unternehmens lahm und verschlüsselten die Firmen-Daten. Unverzüglich nach Entdecken des Angriffs aktivierte das Unternehmen seinen IT-Notfallplan.

Dennoch musste die Produktion für einen Monat ruhen, ein Großteil der 350 Mitarbeiter ging in Kurzarbeit. Ein Unternehmenssprecher berichtete dem NDR, dass die Täter versucht hätten Lösegeld zu erpressen. Das Unternehmen informierte stattdessen jedoch die Polizei.

Erst denken - dann klicken

Ein großes Einfallstor für Cyberangriffe ist Social Engineering, wie das gezielte Ausnutzen menschlicher Schwächen genannt wird. Das passiert beispielsweise über Phishing-Mails, die viele Spamfilter nicht erkennen; so landen die gefälschten Nachrichten oft im regulären Posteingang. Kriminelle versuchen, Mitarbeitende über vertrauenswürdig erscheinende Absenderadressen dazu zu bringen, sensible Firmendaten wie Passwörter oder Zugangsdaten für Server preiszugeben. "Wir haben ungewöhnliche Aktivitäten auf ihrem Anmeldekonto bemerkt. Ändern Sie umgehend ihr Passwort!", könnte etwa in einer Phishing-Mail stehen.

Folgt ein Empfänger der Anweisung und klickt auf den Link in der Nachricht, löst er damit möglicherweise eine Selbstinstallation schädlicher Software auf dem Firmennetzwerk aus. Damit kann es Hackern gelingen, sämtliche Daten zu verschlüsseln oder ganze Systeme lahmzulegen. Es folgen meist Lösegeldforderungen, um die Daten wieder freizugeben. Bei sensiblen und persönlichen Inhalten drohen die Angreifer häufig, diese im Darknet zu veröffentlichen.

Sicherheitsfaktor Mensch muss richtig geschult werden

"IT-Sicherheit ist nur so gut, wie der Mensch, der sie bedient", ist auf den Seiten des Bundesamt für Sicherheit in der Informationstechnik (BSI) zu lesen. Das BSI empfiehlt zur Prävention regelmäßige Schulungen, um den "Sicherheits-Faktor Mensch" zu stärken. Zwar haben viele Unternehmen erkannt, dass IT-Sicherheitsschulungen eine wichtige Präventionsmaßnahme sind. Doch an der Umsetzung hapert es oft noch: "Langweilige Pflichtseminare schaffen es nicht, bei den Teilnehmenden das notwendige Interesse zu wecken", sagt Robert Lohmann, Experte für digitales Lernen.

"Wenn wichtige Inhalte trocken und dröge daherkommen, tendieren Beschäftigte dazu, abzuschalten oder sich berieseln zu lassen. Im Berufsalltag ist dann schnell wieder vergessen, was mühsam versucht wurde zu vermitteln und Hacker haben ein leichtes Spiel." Lohmann empfiehlt, das notwendige Sicherheitswissen möglichst interaktiv und spielerisch zu vermitteln. "Das gelingt zum Beispiel mit digitalen Awareness-Trainings, die wie ein Computerspiel funktionieren."

Vom Hacker lernen

Der vom ehemaligen Bitkom-Präsidenten Professor August-Wilhelm Scheer gegründeten imc ist es gelungen, ein Security-Awareness-Training zu entwickeln, das nach seiner Marktreife für den Grimme-Preis nominiert wurde. In dem interaktiven Lernspiel zeigt ein virtueller Hacker, wie er an das geheime Rezept eines fiktiven Softdrink-Herstellers gelangen will.

So lernen Mitarbeitende die gängigsten Angriffstechniken kennen und erfahren wie nebenbei, wie sich Cyberattacken vermeiden lassen. Ein sogenannter "Phishing Detection Booster" soll Lernende zusätzlich befähigen, schnell und zuverlässig entscheiden zu können, ob es sich bei einer E-Mail von einem bislang unbekannten Absender um Betrug handelt, oder nicht. Privatnutzer können online eine Grundversion des Spiels kostenlos testen.

Spielerisch lernen macht mehr Spaß

"Spielen regt das Gehirn an. Wenn uns Wissen spielerisch vermittelt wird, können wir das Gelernte besser auf das tatsächliche Leben übertragen", nennt Lernexperte Robert Lehmann einen Vorteil von Awareness-Trainings in Form von Computerspielen. Die beim Spielen notwendige Interaktion wecke das Engagement der Lernenden. "Vor allem Soft Skills wie kritisches Denken lassen sich in spielerischen Umgebungen einfacher erlernen." Das Argument, dass mit PC-Spielen nur die jüngere Generation zu erreichen sei, lässt der Fachmann für digitales Lernen nicht gelten: "Menschen in jedem Alter können über PC-Spiele ihre kognitiven Fähigkeiten verbessern."

Als Kind habe jede Altersgruppe spielerisch Lernerfolge erfahren, ob mit Holzbauklötzen, einer elektrischen Eisenbahn oder über eine Playstation. Im Gegensatz zu Präsenztrainings oder Webinaren, die in einem vorgegebenen Zeitrahmen stattfinden, seien E-Learnings ohne Zeitdruck machbar, betont Lohmann. "Es läuft kein Countdown. Mitarbeitende können sich so viel Zeit nehmen, wie sie brauchen und Lerninhalte, die sie noch nicht ganz verinnerlicht haben, mehrmals wiederholen."

Lesen Sie auch

Mit ChatGPT steigt das Angriffsrisiko

Cybercrime wird Big Business