James Bond hat seine Informationen in den Betten schöner Frauen ergattert. Moderne Geheimagenten belauschen Smartphones, zapfen E-Mail-Programme an und schnüffeln in Datenbanken. Die Cyber-Kriminalität hat im Jahr 2015 in Deutschland Schäden von mehr als 40 Millionen Euro verursacht. Was Betriebe für die Informationssicherheit tun können, zeigt die Handwerkskammer für Oberfranken.
Nicht nur Weltkonzerne werden Opfer von Datendiebstahl, Computersabotage oder -betrug. Immer öfter nehmen die Verbrecher kleine und mittlere Unternehmen ins Visier. In einer repräsentativen Studie des Branchenverbandes Bitkom gibt fast die Hälfte der befragten Unternehmen, Opfer eines Cyberangriffes geworden zu sein. Doch nur 20 Prozent der Betroffenen meldeten den Angriff.
Besonders perfide sind Angriffe, die etwa als Bewerbungsschreiben getarnt seien, sagt Johanna Erlbacher, die bei der Handwerkskammer in Bayreuth für das Kompetenzzentrum Digitales Handwerk zuständig ist. Ihr Kollege Michael Pfister, der bei der HWK Unterfranken Firmen bei der Digitalisierung berät, ergänzt: „Sie sollten sich an drei Grundsätze halten.
1. Sicherheit ist Chefsache.
2. Sicherheit geht alle an.
3. Sicherheit ist kein Selbstzweck.“
Schützenswert seien zunächst die Daten an sich, egal ob Kundendaten oder Informationen aus dem Unternehmen selbst. Aber auch Vertraulichkeit und Authentizität der Informationen müssten gewährleistet werden. Gefahr drohe nicht nur vor sogenannten Hackern: „Auch frustrierte oder entlassene Mitarbeiter können Ihre Daten angreifen.“ Sicherheitsmaßnahmen umfassten technische Dinge wie das Netzdesign und den Schutz der Netzgrenzen durch Firewalls und Anti-Virenprogramme. Pfister identifiziert als gefährlichsten Mitarbeiter des gesamten Unternehmens – ausgerechnet den Azubi: „Der wandert durch alle Abteilungen, überall bekommt er Zugriff auf den Computer. Denken Sie daran, diese Berechtigungen an die tatsächlichen Aufgaben des Auszubildenden anzupassen.“
Für den Umgang mit Passwörtern gibt Pfister folgende Tipps:
1. Sie müssen täuschen und verfälschen: Also weder den Namen der Frau, des Hundes oder des Fußballvereins als Passwort wählen noch andere Daten, die sich leicht erraten lassen.
2. Verwenden Sie ein Werkzeug wie Keepass: Das ist eine Software, mit deren Hilfe man die unterschiedlichsten Passwörter leicht verwalten kann.
3. Passwörter niemals auf Zetteln notieren, die im Schreibtisch oder unter der Tastatur aufbewahrt werden.
4. Mobile Datenträger wie USB-Sticks verschlüsseln. Software dafür und zur Verschlüsselung des Mail-Verkehrs gibt’s gratis im Netz.
Ähnlich wie Pfister sieht Evren Yildirim, auf Cyber-Verbrechen spezialisierter Mitarbeiter der Bayreuther Kriminalpolizei, den Menschen im Unternehmen als größtes Risiko: Datenklau durch Mitarbeiter liegt bei etwa 40 Prozent der angezeigten Taten. Datenschutz sei daher ein Mittelweg „zwischen Bequemlichkeit und Sicherheit“. Im Fall des Falles, wenn also Aktivitäten einer Schadsoftware festzustellen sind, solle man „den Netzstecker ziehen“, rät Yildirim. Lieber Daten eines Rechners verlieren als das ganze Firmennetzwerk zu gefährden, ist sein Motto. Er fordert strikte Regeln für die Mitarbeiter mit Netzzugang: „Auch kostenlose MP3-Dateien und Filme haben ihren Preis.“ Soll heißen: Downloads bergen viele Gefahren. Wie schlimm es tatsächlich ist, zeigt der Polizist mit einer Zahl: Von Oktober 2015 bis Februar 2016 hat sich die Zahl der Angriffe durch sogenannte Ransomware in Deutschland verzehnfacht.
Schon mit einfachen Maßnahmen lässt sich eine Basis-Sicherheit in den Betrieben schaffen.
1. Setzen Sie Firewalls ein
2. Nutzen Sie Antivirenlösungen
3. Patchmanagement: Schließen Sie Sicherheitslücken in Betriebssystemen und Anwendungssoftware
4. Sorgen Sie für eine sichere Authentifizierung, zum Beispiel durch starke Passwörter
5. Erstellen Sie regelmäßig Sicherheitskopien
6. Halten Sie Notfallanweisungen bereit
7. Sensibilisieren Sie Ihre Mitarbeiter
8. Legen sie klare Regeln für die Nutzung von mobilen Endgeräten fest.
Industrieanlagen sind denselben Cyberangriffen ausgesetzt wie konventionelle IT. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nennt als besonders kritische Bedrohungen:
1. Social Engineering und Phishing
2. Einschleusen von Schadsoftware über Wechseldatenträger
3. Infektion mit Schadsoftware über Internet und Intranet
4. Einbruch über Fernwartungszugänge
5. Menschliches Fehlverhalten und Sabotage
Info: Die Internetseite www.bsi.de zeigt, wie man Cyber-Bedrohungen begegnet und gibt allgemeine Tipps zum Datenschutz.
