Cyber­si­cher­heit ist eine Pflichtaufgabe

Anfang August vermeldete der Bayreuther Hilfsmittelhersteller Medi, dass er Opfer eines Cyberangriffs wurde. Die Folge: kein Versand von bestellten Hilfsmitteln. An diesem in der Branche bekannten, aber auch aktuellen Beispiel lässt sich erkennen, wie wichtig der Schutz vor digitalen Kriminellen ist. Im Gespräch mit Dipl.-Ing. Werner Schmit, IT-Security-Beauftragter und Dozent des Bundestechnologiezentrums für Elektro- und Informationstechnik e. V., hat die OT-Redaktion deshalb das Thema Cybersicherheit in den Blick genommen.

OT: Herr Schmit, kön­nen Sie Cyber­si­cher­heit ein­mal definieren?

Anzei­ge

Wer­ner Schmit: Die Begrif­fe Infor­ma­ti­ons­si­cher­heit, IT-Sicher­heit und Cyber­si­cher­heit wer­den im Sprach­ge­brauch häu­fig syn­onym ver­wen­det, obwohl streng genom­men dif­fe­ren­ziert wer­den muss. Ich wür­de das aber so ste­hen las­sen. Letzt­end­lich geht es hier­bei um den Schutz der Daten und IT-Sys­te­me im Fir­men­netz­werk oder auch im pri­va­ten Netz­werk vor Gefah­ren, die von innen und von außen über das Inter­net drohen.

OT: Wird das The­ma Cyber­si­cher­heit von Unternehmer:innen ernst genommen?

Schmit: Jedes Unter­neh­men, das sich mit dem The­ma Digi­ta­li­sie­rung beschäf­tigt, kommt an Infor­ma­ti­ons­si­cher­heit nicht vor­bei. Digi­ta­li­sie­rung ist ohne IT-Sicher­heit nicht mög­lich. Daher bezeich­net man ger­ne die IT-Sicher­heit auch als häss­li­che Schwes­ter der Digi­ta­li­sie­rung. Das The­ma Infor­ma­ti­ons­si­cher­heit betrifft jedes Unter­neh­men. Über die Medi­en hören wir stän­dig von Hacker­an­grif­fen, Ver­schlüs­se­lung der Fir­men­da­ten, Daten­dieb­stahl etc. Hier­von sind die Klein­be­trie­be genau­so betrof­fen wie die gro­ßen Unter­neh­men. Inso­fern kom­men die­se Nach­rich­ten über­all an. Wie jedoch damit umge­gan­gen wird, wel­che Schlüs­se und Maß­nah­men ich dar­aus als Unternehmer:in zie­he, ist ein ande­res The­ma. In der Umset­zung von Infor­ma­ti­ons­si­cher­heit gibt es gera­de für Klein­be­trie­be noch viel Luft nach oben.

OT: Wo sind Ihrer Mei­nung nach die größ­ten Hemm­schwel­len, sich mit die­sem The­ma auseinanderzusetzen?

Schmit: Infor­ma­ti­ons­si­cher­heit ist ein kom­ple­xes The­men­ge­biet. Hier­bei müs­sen vie­le Din­ge bedacht wer­den und es ist ein ganz­heit­li­cher Ansatz erfor­der­lich. Das schwächs­te Glied in der Sicher­heits­ket­te und wich­tigs­ter Fak­tor ist dabei der Mensch. Daher ist es beson­ders wich­tig, den Mit­ar­bei­ter, die Mit­ar­bei­te­rin mit­zu­neh­men. Dane­ben sind vie­le ande­re Sicher­heits­maß­nah­men aus ande­ren Berei­chen auch wich­tig. Es reicht nicht aus, eine Fire­wall zu kau­fen und Viren­scan­ner zu instal­lie­ren. Infor­ma­ti­ons­si­cher­heit zu schaf­fen ist ein kon­ti­nu­ier­li­cher Pro­zess – also nie fer­tig. Hier­mit sind gera­de Klein­be­trie­be über­for­dert. Hier gibt es meis­tens kei­ne eige­ne IT-Admi­nis­tra­ti­on, fach­li­che Kom­pe­tenz zur IT-Sicher­heit ist oft nicht vor­han­den und ob der IT-Dienst­leis­ter hier­über ver­fügt, ist auch nicht sicher. Wie packe ich die­se The­men an? Wie gehe ich vor? Was kann ich sel­ber machen? Wer unter­stützt mich? Die­se und wei­te­re Fra­gen las­sen sich nur durch eine kom­pe­ten­te Bera­tung und Beglei­tung beant­wor­ten. Hier­für wer­den natür­lich auch Res­sour­cen wie Zeit und Geld benö­tigt. All die­se Fak­ten stel­len nach mei­nen Erfah­run­gen in der Bera­tung von klei­nen Hand­werks­be­trie­ben gro­ße Hemm­schwel­len dar.

OT: Was sind die ein­fachs­ten Maß­nah­men, um sich vor Cyber­an­grif­fen zu schützen?

Schmit: Ich möch­te nur eini­ge benen­nen, auf die ich aber jetzt nicht im Detail ein­ge­hen kann. Maß­nah­me eins: Mit­ar­bei­ter­sen­si­bi­li­sie­rung; Maß­nah­me zwei: „geleb­tes“ Back-up und Archi­vie­rung; Maß­nah­me drei: aktu­el­le und abge­si­cher­te IT-Sys­te­me (patchen, patchen, patchen!); Maß­nah­me vier: IT-Sicher­heits­richt­li­nie für Mitarbeiter:innen; Maß­nah­me fünf: Unter­neh­mens­fire­wall­lö­sung zum Internet.

OT: Wie kön­nen Mitarbeiter:innen geschult werden?

Schmit: Da Mitarbeiter:innen, wie schon erwähnt, die größ­te Gefahr für die Daten und IT-Sys­te­me im Unter­neh­men dar­stel­len, müs­sen wir uns natür­lich beson­ders um sie küm­mern. Nicht nur Soft­ware braucht Updates, auch Mitarbeiter:innen müs­sen stets auf dem aktu­el­len Stand des Wis­sens sein. Dazu gehö­ren zum einen siche­re und aktu­el­le End­ge­rä­te für die Mitarbeiter:innen, also „Werk­zeu­ge“ für den Berufs­all­tag, und zum ande­ren Schu­lungs­maß­nah­men zur Sen­si­bi­li­sie­rung der Mitarbeiter:innen, soge­nann­te Secu­ri­ty-Awa­reness-Schu­lun­gen. Awa­reness umfasst die unter­schied­lichs­ten Metho­den. Zu den For­ma­ten zäh­len zum Bei­spiel Live­hacking, IT-Sicher­heits­trai­ning, Online­trai­ning, Vor­trags­ver­an­stal­tung, Phis­hing-Simu­la­tio­nen, Info­pla­ka­te, Fly­er, Ver­hal­tens­trai­ning wie z. B. Ver­sand von E‑Mails mit typi­schen Angriffs­sze­na­ri­en, spe­zi­el­le Schu­lun­gen zum Ver­hal­ten bei Not­fäl­len und Vor­ga­ben zum Ver­hal­ten in sozia­len Netz­wer­ken. Ziel soll die „Här­tung des Men­schen“ zur „Human Fire­wall“ sein.

OT: Sehen Sie eine grund­sätz­li­che Bereit­schaft von klei­ne­ren und mit­tel­gro­ßen Betrie­ben, sich dem The­ma zu widmen?

Schmit: Für jedes Unter­neh­men gilt: Es ist nicht die Fra­ge, ob, son­dern wann ihr Unter­neh­men gehackt wird. Dane­ben muss jedes Unter­neh­men, wel­ches per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, die Daten­schutz­be­stim­mun­gen beach­ten. Bei Miss­ach­tung dro­hen hohe Geld­stra­fen. Daher muss sich zwangs­wei­se jedes Unter­neh­men, egal wie groß, mit dem The­ma Infor­ma­ti­ons­si­cher­heit aus­ein­an­der­set­zen. Außer­dem: Ist ein Unter­neh­men als Zulie­fe­rer für gro­ße Unter­neh­men oder eine Bran­che, z. B. Automobil­industrie, tätig, erle­ben wir immer häu­fi­ger, dass auch der Zulie­fe­rer gewis­se Stan­dards zur IT-Sicher­heit erfül­len muss. Wei­ter­hin gilt: Digi­ta­li­sie­rung ist ohne Infor­ma­ti­ons­si­cher­heit nicht mög­lich. Inso­fern stellt sich gar nicht die Fra­ge der Bereit­schaft. Sie müs­sen sich als Unter­neh­men die­sem The­ma widmen.

OT: Wo kön­nen sich Unter­neh­men infor­mie­ren, wenn sie mehr über das The­ma Cyber­si­cher­heit wis­sen möchten?

Schmit: Hand­werks­be­trie­be kön­nen sich natür­lich über die Hand­werks­kam­mer infor­mie­ren. Dort ste­hen ihnen Digitalisierungsberater:innen und soge­nann­te „IT-Sicherheitsbotschafter:innen“ zur Ver­fü­gung. Ansons­ten ver­wei­se ich ger­ne auf kos­ten­lo­se Ange­bo­te auf der Web­site www.handwerkdigital.de. Hier gibt es Info­ver­an­stal­tun­gen sowohl online als auch in Prä­senz sowie Prä­senz-Work­shops, die für den Hand­werks­be­trieb genau auf die­se The­men zuge­schnit­ten sind und von mir durch­ge­führt werden.

OT: Was für Fol­gen kön­nen Cyber­at­ta­cken haben?

Schmit: Die Fol­gen sind kurz erläu­tert: Sie rei­chen von Pro­duk­ti­ons- oder Lie­fer­ver­zö­ge­run­gen über Pro­duk­ti­ons­aus­fall, Auf­trags­ver­lust, Kun­den­ver­lust, Image­scha­den, spür­ba­re finan­zi­el­le Ein­bu­ßen bis zur Insolvenz.

OT: Wie wer­den aktu­ell Cyber­an­grif­fe durchgeführt?

Schmit: Cyber­an­grif­fe gel­ten aktu­ell als welt­weit größ­tes Risi­ko für die Exis­tenz des Unter­neh­mens. Über 50 Pro­zent aller Angrif­fe auf Unter­neh­mens­net­ze nut­zen die Schwach­stel­le Mensch als Ein­falls­tor aus. Cyber­kri­mi­nel­le set­zen zuneh­mend auf Angrif­fe, bei denen nicht Schwach­stel­len in Soft­ware aus­ge­nutzt wer­den, son­dern die Leicht­gläu­big­keit von Per­so­nen. Dies geschieht z. B. über „gefak­te“ E‑Mails oder mani­pu­lier­te Webseiten.

OT: Wel­ches Ver­hal­ten emp­feh­len Sie Unter­neh­men nach einem erfolg­ten Cyberangriff?

Schmit: Ich emp­feh­le den Unter­neh­men, sich recht­zei­tig auf die­sen Fall vor­zu­be­rei­ten. Durch Not­fall­pla­nung und Not­fall­vor­sor­ge mit Wie­der­an­lauf nach dem Worst Case. Wie schon gesagt, es ist nicht die Fra­ge, ob, son­dern wann ihr Unter­neh­men gehackt wird. Der Not­fall­plan ent­hält kon­kre­te Maß­nah­men und Vor­ge­hens­wei­sen, wie in einem sol­chen Fall vor­zu­ge­hen ist. Natür­lich muss im Vor­feld auch der Not­fall „geprobt“ werden.

OT: Befas­sen sich die Men­schen im Pri­vat­le­ben auch mit dem The­ma digi­ta­le Sicherheit?

Schmit: Da der Angrei­fer, von mir immer als „Hacker Joe“ bezeich­net, nicht zwi­schen Fir­men- und Pri­vat­net­zen dif­fe­ren­ziert, soll­te sich jeder Mensch Gedan­ken zur IT-Sicher­heit in sei­nem Umfeld machen.

OT: Wäre es in einer digi­ta­len Welt nicht drin­gend nötig, bereits in der Schu­le über das The­ma digi­ta­le Sicher­heit zu reden?

Schmit: Digi­ta­li­sie­rung ist ohne IT-Sicher­heit nicht mög­lich. Daher müs­sen in Schu­len und ande­ren Bil­dungs­ein­rich­tun­gen grund­le­gen­de Kennt­nis­se zur Infor­ma­ti­ons­si­cher­heit ver­mit­telt wer­den. Hier­für sind aber auch ent­spre­chen­de Qua­li­fi­ka­tio­nen mit fort­lau­fen­der Aktua­li­sie­rung der Lehr­kräf­te erfor­der­lich. Das The­ma Infor­ma­ti­ons­si­cher­heit ist halt sehr kom­plex und im ste­ti­gen Wan­del. Gleich­zei­tig muss jeder von uns sein eige­nes Ver­hal­ten im Netz kri­tisch hin­ter­fra­gen. Ich den­ke dabei nur an den Umgang mit dem Mes­sen­ger Whats­App“. Wir brau­chen sowohl für pri­va­te Net­ze als auch im Klein­be­trieb stan­dar­di­sier­te Vor­ge­hens­wei­sen zur Ein­rich­tung, Umset­zung, Auf­recht­erhal­tung und Ver­bes­se­rung von Infor­ma­ti­ons­si­cher­heit. Dazu zählt natür­lich auch die Not­fall­vor­sor­ge. Lang­fris­tig benö­ti­gen wir dazu in Deutsch­land einen IT-Sicher­heits­stan­dard für Mini­mal­schutz auf der Basis vom Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik, der zen­tra­len Behör­de zu die­sem The­men­ge­biet. Hier müs­sen noch eini­ge Din­ge auf den Weg gebracht werden.

Die Fra­gen stell­te Hei­ko Cordes.

Erfah­ren Sie mehr zum „Cyber­an­griff auf Medi”.

Tei­len Sie die­sen Inhalt