OT: Herr Schmit, können Sie Cybersicherheit einmal definieren?
Werner Schmit: Die Begriffe Informationssicherheit, IT-Sicherheit und Cybersicherheit werden im Sprachgebrauch häufig synonym verwendet, obwohl streng genommen differenziert werden muss. Ich würde das aber so stehen lassen. Letztendlich geht es hierbei um den Schutz der Daten und IT-Systeme im Firmennetzwerk oder auch im privaten Netzwerk vor Gefahren, die von innen und von außen über das Internet drohen.
OT: Wird das Thema Cybersicherheit von Unternehmer:innen ernst genommen?
Schmit: Jedes Unternehmen, das sich mit dem Thema Digitalisierung beschäftigt, kommt an Informationssicherheit nicht vorbei. Digitalisierung ist ohne IT-Sicherheit nicht möglich. Daher bezeichnet man gerne die IT-Sicherheit auch als hässliche Schwester der Digitalisierung. Das Thema Informationssicherheit betrifft jedes Unternehmen. Über die Medien hören wir ständig von Hackerangriffen, Verschlüsselung der Firmendaten, Datendiebstahl etc. Hiervon sind die Kleinbetriebe genauso betroffen wie die großen Unternehmen. Insofern kommen diese Nachrichten überall an. Wie jedoch damit umgegangen wird, welche Schlüsse und Maßnahmen ich daraus als Unternehmer:in ziehe, ist ein anderes Thema. In der Umsetzung von Informationssicherheit gibt es gerade für Kleinbetriebe noch viel Luft nach oben.
OT: Wo sind Ihrer Meinung nach die größten Hemmschwellen, sich mit diesem Thema auseinanderzusetzen?
Schmit: Informationssicherheit ist ein komplexes Themengebiet. Hierbei müssen viele Dinge bedacht werden und es ist ein ganzheitlicher Ansatz erforderlich. Das schwächste Glied in der Sicherheitskette und wichtigster Faktor ist dabei der Mensch. Daher ist es besonders wichtig, den Mitarbeiter, die Mitarbeiterin mitzunehmen. Daneben sind viele andere Sicherheitsmaßnahmen aus anderen Bereichen auch wichtig. Es reicht nicht aus, eine Firewall zu kaufen und Virenscanner zu installieren. Informationssicherheit zu schaffen ist ein kontinuierlicher Prozess – also nie fertig. Hiermit sind gerade Kleinbetriebe überfordert. Hier gibt es meistens keine eigene IT-Administration, fachliche Kompetenz zur IT-Sicherheit ist oft nicht vorhanden und ob der IT-Dienstleister hierüber verfügt, ist auch nicht sicher. Wie packe ich diese Themen an? Wie gehe ich vor? Was kann ich selber machen? Wer unterstützt mich? Diese und weitere Fragen lassen sich nur durch eine kompetente Beratung und Begleitung beantworten. Hierfür werden natürlich auch Ressourcen wie Zeit und Geld benötigt. All diese Fakten stellen nach meinen Erfahrungen in der Beratung von kleinen Handwerksbetrieben große Hemmschwellen dar.
OT: Was sind die einfachsten Maßnahmen, um sich vor Cyberangriffen zu schützen?
Schmit: Ich möchte nur einige benennen, auf die ich aber jetzt nicht im Detail eingehen kann. Maßnahme eins: Mitarbeitersensibilisierung; Maßnahme zwei: „gelebtes“ Back-up und Archivierung; Maßnahme drei: aktuelle und abgesicherte IT-Systeme (patchen, patchen, patchen!); Maßnahme vier: IT-Sicherheitsrichtlinie für Mitarbeiter:innen; Maßnahme fünf: Unternehmensfirewalllösung zum Internet.
OT: Wie können Mitarbeiter:innen geschult werden?
Schmit: Da Mitarbeiter:innen, wie schon erwähnt, die größte Gefahr für die Daten und IT-Systeme im Unternehmen darstellen, müssen wir uns natürlich besonders um sie kümmern. Nicht nur Software braucht Updates, auch Mitarbeiter:innen müssen stets auf dem aktuellen Stand des Wissens sein. Dazu gehören zum einen sichere und aktuelle Endgeräte für die Mitarbeiter:innen, also „Werkzeuge“ für den Berufsalltag, und zum anderen Schulungsmaßnahmen zur Sensibilisierung der Mitarbeiter:innen, sogenannte Security-Awareness-Schulungen. Awareness umfasst die unterschiedlichsten Methoden. Zu den Formaten zählen zum Beispiel Livehacking, IT-Sicherheitstraining, Onlinetraining, Vortragsveranstaltung, Phishing-Simulationen, Infoplakate, Flyer, Verhaltenstraining wie z. B. Versand von E‑Mails mit typischen Angriffsszenarien, spezielle Schulungen zum Verhalten bei Notfällen und Vorgaben zum Verhalten in sozialen Netzwerken. Ziel soll die „Härtung des Menschen“ zur „Human Firewall“ sein.
OT: Sehen Sie eine grundsätzliche Bereitschaft von kleineren und mittelgroßen Betrieben, sich dem Thema zu widmen?
Schmit: Für jedes Unternehmen gilt: Es ist nicht die Frage, ob, sondern wann ihr Unternehmen gehackt wird. Daneben muss jedes Unternehmen, welches personenbezogene Daten verarbeitet, die Datenschutzbestimmungen beachten. Bei Missachtung drohen hohe Geldstrafen. Daher muss sich zwangsweise jedes Unternehmen, egal wie groß, mit dem Thema Informationssicherheit auseinandersetzen. Außerdem: Ist ein Unternehmen als Zulieferer für große Unternehmen oder eine Branche, z. B. Automobilindustrie, tätig, erleben wir immer häufiger, dass auch der Zulieferer gewisse Standards zur IT-Sicherheit erfüllen muss. Weiterhin gilt: Digitalisierung ist ohne Informationssicherheit nicht möglich. Insofern stellt sich gar nicht die Frage der Bereitschaft. Sie müssen sich als Unternehmen diesem Thema widmen.
OT: Wo können sich Unternehmen informieren, wenn sie mehr über das Thema Cybersicherheit wissen möchten?
Schmit: Handwerksbetriebe können sich natürlich über die Handwerkskammer informieren. Dort stehen ihnen Digitalisierungsberater:innen und sogenannte „IT-Sicherheitsbotschafter:innen“ zur Verfügung. Ansonsten verweise ich gerne auf kostenlose Angebote auf der Website www.handwerkdigital.de. Hier gibt es Infoveranstaltungen sowohl online als auch in Präsenz sowie Präsenz-Workshops, die für den Handwerksbetrieb genau auf diese Themen zugeschnitten sind und von mir durchgeführt werden.
OT: Was für Folgen können Cyberattacken haben?
Schmit: Die Folgen sind kurz erläutert: Sie reichen von Produktions- oder Lieferverzögerungen über Produktionsausfall, Auftragsverlust, Kundenverlust, Imageschaden, spürbare finanzielle Einbußen bis zur Insolvenz.
OT: Wie werden aktuell Cyberangriffe durchgeführt?
Schmit: Cyberangriffe gelten aktuell als weltweit größtes Risiko für die Existenz des Unternehmens. Über 50 Prozent aller Angriffe auf Unternehmensnetze nutzen die Schwachstelle Mensch als Einfallstor aus. Cyberkriminelle setzen zunehmend auf Angriffe, bei denen nicht Schwachstellen in Software ausgenutzt werden, sondern die Leichtgläubigkeit von Personen. Dies geschieht z. B. über „gefakte“ E‑Mails oder manipulierte Webseiten.
OT: Welches Verhalten empfehlen Sie Unternehmen nach einem erfolgten Cyberangriff?
Schmit: Ich empfehle den Unternehmen, sich rechtzeitig auf diesen Fall vorzubereiten. Durch Notfallplanung und Notfallvorsorge mit Wiederanlauf nach dem Worst Case. Wie schon gesagt, es ist nicht die Frage, ob, sondern wann ihr Unternehmen gehackt wird. Der Notfallplan enthält konkrete Maßnahmen und Vorgehensweisen, wie in einem solchen Fall vorzugehen ist. Natürlich muss im Vorfeld auch der Notfall „geprobt“ werden.
OT: Befassen sich die Menschen im Privatleben auch mit dem Thema digitale Sicherheit?
Schmit: Da der Angreifer, von mir immer als „Hacker Joe“ bezeichnet, nicht zwischen Firmen- und Privatnetzen differenziert, sollte sich jeder Mensch Gedanken zur IT-Sicherheit in seinem Umfeld machen.
OT: Wäre es in einer digitalen Welt nicht dringend nötig, bereits in der Schule über das Thema digitale Sicherheit zu reden?
Schmit: Digitalisierung ist ohne IT-Sicherheit nicht möglich. Daher müssen in Schulen und anderen Bildungseinrichtungen grundlegende Kenntnisse zur Informationssicherheit vermittelt werden. Hierfür sind aber auch entsprechende Qualifikationen mit fortlaufender Aktualisierung der Lehrkräfte erforderlich. Das Thema Informationssicherheit ist halt sehr komplex und im stetigen Wandel. Gleichzeitig muss jeder von uns sein eigenes Verhalten im Netz kritisch hinterfragen. Ich denke dabei nur an den Umgang mit dem Messenger „WhatsApp“. Wir brauchen sowohl für private Netze als auch im Kleinbetrieb standardisierte Vorgehensweisen zur Einrichtung, Umsetzung, Aufrechterhaltung und Verbesserung von Informationssicherheit. Dazu zählt natürlich auch die Notfallvorsorge. Langfristig benötigen wir dazu in Deutschland einen IT-Sicherheitsstandard für Minimalschutz auf der Basis vom Bundesamt für Sicherheit in der Informationstechnik, der zentralen Behörde zu diesem Themengebiet. Hier müssen noch einige Dinge auf den Weg gebracht werden.
Die Fragen stellte Heiko Cordes.
Erfahren Sie mehr zum „Cyberangriff auf Medi”.
- Dynamische Unterschenkelorthese in Prepreg-Technik nach Hafkemeyer – Konstruktionsmerkmale, Indikationen, Variationsmöglichkeiten — 3. April 2024
- Bringt die Stand- und Schwungphasenkontrolle einen Vorteil bei KAFO-Trägern? Ergebnisse einer internationalen randomisiert-kontrollierten Studie — 3. April 2024
- Dynamische CDS-Knieredressionsorthesen bei Kindern und Jugendlichen mit Cerebralparese GMFCS-Level II–III — 3. April 2024