Hackerangriff

Selbst schuld?

16.11.2016
Von 


Markus Härtner ist Vice President DACH (Deutschland, Österreich und Schweiz) bei Symantec. Er verfügt über langjährige Erfahrung im Bereich Anwendungssicherheit, Unternehmensnetzwerke und Telekommunikation. Bevor Härtner zu Symantec kam, war er bei namhaften Unternehmen, unter anderem bein NCR, F5 Networks, Avaya, Cisco und Rohde & Schwarz, tätig.
Trotz aller Warnungen fallen viele User immer noch auf Spam-Mails herein und sorgen so für einen Befall durch Schadprogramme. Wir sagen Ihnen, wie sich das noch besser verhindern lässt.

Manche Malware-Attacken brechen wie eine Naturkatastrophe über Internetnutzer und Unternehmen herein. So geschehen zum Beispiel Ende Oktober bei der DDoS-Attacke auf den DNS-Provider Dyn. Obwohl die Seiten selbst gar nicht direkt angegriffen wurden, waren Zugänge zu Diensten wie Twitter, Netflix, Amazon, Spotify, Paypal oder Airbnb für viele Nutzer in den USA, Europa, Japan und Australien mehrere Stunden lang nicht erreichbar. Allerdings konnten die Anbieter dies kaum vermeiden, da der Angriff auf ihren DNS-Dienstleister erfolgte. Unternehmen können hier höchstens über einen redundanten DNS-Anbieter nachdenken.

Doch viele andere IT-Sicherheits-Vorfälle sind hausgemacht. Dazu zählen vor allem die klassischen Spam-Mails. Obwohl fast jeder Nutzer schon einmal davon gehört hat, Mails von unbekannten Absendern nicht zu öffnen oder zumindest nicht auf integrierte Links oder Anhänge zu klicken, verpuffen diese Warnungen häufig, wenn ein scheinbar günstiger Kredit, eindeutige Bilderzeugnisse oder ein Lottogewinn winken. Andere Spam-Versender gaukeln eine Mail des Chefs vor oder eine unbezahlte Rechnung.

Gehackt und selbst schuld? Wir sagen Ihnen, wie Sie Cyber-Gefahren minimieren können.
Gehackt und selbst schuld? Wir sagen Ihnen, wie Sie Cyber-Gefahren minimieren können.
Foto: Cara-Foto - shutterstock.com

Wer im Alltagsstress hunderte Mails beantworten muss oder gerade durch ein Kundentelefonat abgelenkt ist, kann leicht wider besseren Wissens Opfer einer solchen Hackerattacke werden. Noch ärgerlicher ist das, wenn es sich beim Schadcode um Ransomware handelt, die wichtige Dateien oder sogar den Zugang zum Gerät sperrt und Lösegeld für die Freischaltung verlangt. Tatsächlich fangen die verheerendsten Cyberangriffe oft ganz unauffällig an: Ein einfacher Fehler oder eine kurze Unachtsamkeit und bevor man sich versieht, sind digitale Schädlinge im Netzwerk und unbezahlbare Daten werden kompromittiert oder gehen komplett verloren.

Hackerangriff: Die richtige Reaktion

Wenn solche Gefahren tatsächlich auftreten, reagieren viele Menschen erstaunlich irrational. Eine aktuelle Untersuchung von Verizon ergab, dass die Hälfte der Zielpersonen Cyberangriffen nicht widerstehen konnte und binnen einer Stunde verdächtige E-Mails öffnete und einen Link anklickte. Doch liegt es wirklich nur am Mitarbeiter, wenn er fahrlässig handelt? Oder hat die Firmenleitung eine Mitschuld, da sie Mitarbeiter nicht ausreichend schulen lässt oder unter Stress stellt?

Es liegt an beiden Seiten, sich in Sachen Sicherheit auf dem Laufenden zu halten. Das erfordert von den Verantwortlichen im Unternehmen sorgfältige Planung, gute Schulungen und ein hohes Maß an Beharrlichkeit. Denn es ist nicht damit getan, einmal im Jahr das Thema abzuhaken - es handelt sich um eine nie endende Aufgabe, die beständiges Lernen, Vorsicht und ständige Wachsamkeit verlangt.

Die gute Nachricht: Es gibt eine Reihe von Initiativen, die dabei unterstützen. In Deutschland geben zahlreiche offizielle Stellen wie der Bundesverband mittelständische Wirtschaft, das Institut für Internet-Sicherheit oder die Initiative Deutschland sicher im Netz Tipps zur IT-Sicherheit in Unternehmen. Privatnutzer werden zum Beispiel auf den Seiten des BSI fündig.

Mehr IT-Sicherheit: Fachkräftemangel begegnen

Ein gewisses Basiswissen der Anwender ist aber nur eine Seite der Security-Medaille, die andere ist eine ausreichende Ausstattung der IT-Abteilung mit Sicherheitsexperten. Gerade hier besteht aufgrund des Fachkräftemangels und fehlender Ausbildungsmöglichkeiten ein erhebliches Wissensdefizit bezüglich Cybersecurity, das jeden Tag ein bisschen größer wird. So geht die Studie "Global Information Security Workforce Study" des Center for Cyber Safety and Education davon aus, dass im Jahr 2020 weltweit 1,5 Millionen qualifizierte IT-Mitarbeiter mit Schwerpunkt Sicherheit fehlen.

Dieses Defizit ist aber nicht unbemerkt geblieben. So wurden zum Beispiel an Universitäten in Großbritannien entsprechende kompetenzorientierte Kurse eingerichtet, etwa an der Edinburgher Napier University. In Deutschland bietet zum Beispiel die Allianz für Cyber-Sicherheit kostenlose Schulungen für Unternehmen an. Beim BSI gibt es eine Übersicht zu Anbietern von Schulungen zum IT-Grundschutz.

Im Zuge der steigenden Nutzung von Cloud-basierten und mobilen Anwendungen wird es für Unternehmen noch wichtiger, Technologien für konsistente Sicherheitsrichtlinien für On- und Off-Premise-Anwendungen einzuführen. Aber auch die Mitarbeiter müssen ihren Teil leisten und sollten sich über Passwort-Management und die Praktiken der kriminellen Hacker auf dem Laufenden halten. Security-Awareness-Schulungen sind ein guter Start, müssen aber durch regelmäßige Auffrischungskurse ergänzt werden. Nur so lässt sich das "Sicherheitsrisiko Mensch" in den Griff bekommen. (fm)