Sichere IT: Mitarbeiter nicht in die Falle von Kriminellen tappen lassen

Sven Stelzer, Geschäftsführer des IT-Spezialisten IT-Guard aus Geilenkirchen und Willich

Cyberkriminalität zählt zu einer der größten Bedrohungen für die Wirtschaft. Neben dem technischen Schutz ist die Sensibilisierung der Mitarbeiter ein wichtiges Thema.

Die Zahl der Angriffe auf die IT-Systeme öffentlicher Institute häuft sich. Zuletzt traf es das Universitätsklinikum Düsseldorf. Hacker hatten die IT lahmgelegt, sodass eine schwer erkrankte Patientin starb: Die Uniklinik musste aufgrund des IT-Ausfalls die Ambulanz abweisen, die deshalb weiter nach Wuppertal musste. Das hat eine halbe Stunde länger gedauert, sodass die Patientin unmittelbar nach Einlieferung in das Krankenhaus in Wuppertal verstorben ist. Kriminelle hatten 30 Server des Universitätsklinikums verschlüsselt und ein Erpresserschreiben an die Heinrich-Heine-Universität Düsseldorf gerichtet.

„Das zeigt einmal mehr: Cyberkriminalität zählt zu einer der größten Bedrohungen für die Wirtschaft. In vielen Schlagzeilen dominieren digitale Erpressungen nach Hackerangriffen. Dabei infizieren die Täter einen Computer mit Schadsoftware, die sie zum Beispiel in manipulierten E-Mails verstecken. Die Folge ist in der Regel die Verschlüsselung wichtiger Daten und die Erpressung von Lösegeld. Das kann jedes Unternehmen treffen und ist kein fragwürdiges größerer Firmen oder Institutionen der kritischen Infrastruktur. Cyberverbrechen werden in der Regel von gutorganisierten kriminellen Banden durchgeführt, sodass es heute mehr denn je darauf ankommt, umfassende Schutzmaßnahmen zu ergreifen“, sagt Sven Stelzer, Geschäftsführer von IT-Guard aus Geilenkirchen und Willich (www.itguard-gmbh.de). Das IT-Unternehmen hat sich unter anderem auf IT-Sicherheit im Mittelstand und bei öffentlichen Institutionen spezialisiert.

Neben einem professionellen technischen Schutz der IT beispielsweise über Firewalls, eine laufende externe Datensicherung und Notfallpläne kommt es laut Sven Stelzer vor allem darauf an, die Mitarbeiter für die Risiken zu sensibilisieren. Er hat festgestellt, dass viele IT-Risiken dadurch entstehen, dass Mitarbeiter in die Falle von Kriminellen tappen. „Das passiert unbewusst und ungewollt. Ein typisches Beispiel ist der Versand einer Verschlüsselungssoftware in einer E-Mail, die als Bewerbung getarnt ist und sehr seriös aussieht. Wird diese E-Mail geöffnet, infiziert die Schadsoftware das Netzwerk. Der Trick dabei: Diese getarnte E-Mail wird nicht an die Personalabteilung oder Geschäftsführung geschickt, sondern an einen Mitarbeiter, der mit Bewerbungen nichts zu tun hat. Dass dieser trotzdem die Anhänge öffnet, hat schlicht und ergreifend mit Neugier zu tun. Und dann ist der Schaden groß.“

Oder der sogenannte CEO Fraud. Das ist eine Betrugsmasche, bei der Firmen unter Verwendung falscher Identitäten zur Überweisung von Geld manipuliert werden. Dabei versuchen Täter, entscheidungsbefugte Personen in Unternehmen zu manipulieren, indem sie ihnen vorgaukeln, der Auftrag käme unmittelbar vom Chef des Unternehmens. Laut dem nordrhein-westfälischen Landeskriminalamt haben Kriminelle mit dieser Masche bereits im Jahr 2017 mehr als sieben Millionen Euro erbeutet, und der Trend setze sich fort. Das zeige laut Sven Stelzer auch, dass auch Führungskräfte Opfern von Kriminellen werden könnten. Ein Weg, um sich zu schützen, könne also sein, bei ungewöhnlichen Zahlungsanweisungen vor Veranlassung der Zahlung Kontrollen durchzuführen und beispielsweise die E-Mail genau auf Absenderadresse und korrekte Schreibweise zu prüfen und die Zahlungsaufforderung beim vermeintlichen Auftraggeber durch einen Rückruf oder eine schriftliche Rückfrage zu verifizieren.

Sven Stelzer rät Unternehmen und anderen Organisationen daher dazu, durch gezielte Workshops auf die Gefahren von Hackerangriffen aufmerksam zu machen und die Bandbreite der Risiken zu erläutern. Die Fake-Bewerbung und der CEO Fraud seien nur zwei Beispiele unter vielen. Sogenannte Awareness-Schulungen und die professionelle Strukturierung von Abwesenheitsregelungen und internen Kontrollmechanismen könnte viele Angriffsversuche von vornherein unterbinden. Und sollte doch einmal eine Schadsoftware oder ein Trojaner den Weg ins Netzwerk finden, seien die technischen Sicherheitsmechanismen in der Regel in der Lage, Attacken abzuwehren. „Zudem sind kontinuierliche Back-ups ein wesentliches technisches Kriterium. So können die Datenbestände unmittelbar vor dem Angriff wieder her- und die Arbeitsfähigkeit schnell wieder sichergestellt werden. Das verhindert den langfristigen Ausfall einer Organisation, der sonst auch einmal Wochen dauern kann.“