Ein Kommentar von Rainer Seidlitz, Leiter Produkt-Management Safety & Security, TÜV SÜD Akademie zum Tag der Computersicherheit am 30. November.
Die Bedeutung von Cybersecurity und eines sicheren digitalen Öko-Systems wächst weiter. Ständig werden Netzwerke von Angriffen auf eine harte Probe gestellt. Während Malware-Distributoren und Hacker sich professionalisieren und ihre Dienste mittlerweile as-a-Service zur Miete anbieten, hinken jedoch besonders kleine und mittlere Unternehmen (KMU) bezüglich der Gegenmaßnahmen hinterher. Zwar achten viele mehr auf die Absicherungen von Netzwerk- und Cloud-Infrastrukturen gegen externe Angriffe, doch sie versäumen es, ihre Mitarbeiter über die Bedrohungen und Gegenmaßnahmen zu unterrichten, um sie als menschliche Firewall zu stärken.
E-Mails sind Einfallstore
Der beliebteste Weg, um sich unerlaubten Zutritt zu einem Unternehmensnetzwerk zu verschaffen, ist und bleibt die E-Mail, was diverse Studien zeigen. Die Nachrichten enthalten in der Regel eine mit Malware verseuchte Datei als Anhang oder den Link zu einer betrügerischen Internet-Seite, die im Rahmen von Phishing die Zugangsdaten stehlen soll. Besonders beliebt sind die digitalen Auftritte von Online-Versandhändlern, Banken und Paketdiensten – oftmals sind die Mails sogar personalisiert. Auch vor dem Ausnutzen möglicher Ängste ihrer Opfer schrecken die Hacker nicht mehr zurück – von vermeintlichen Informationen rund um die Corona-Pandemie bis zu Anträgen für dringend benötigte Sozialhilfen wurde alles bereits missbraucht. Wer bei solchen E-Mails nicht auf verdächtige Absenderadressen oder seltsame Webseiten-URLs achtet, der landet schnell in den Fängen von Kriminellen.
Mehr Homeoffice verlangt mehr Verantwortung
Wie lange die Krise uns beschäftigen wird, lässt sich nicht bestimmen. Das Homeoffice als Arbeitsweise ist nun allerdings in der Gesellschaft verankert. Mobiles Arbeiten bringt allerdings neue Herausforderungen für die IT-Sicherheit mit sich und fordert gleichzeitig von der Belegschaft, mehr Verantwortung für die Absicherung des Netzwerkes zu übernehmen. Dabei reicht es nicht aus, die Mitarbeiter lediglich über die Bedrohungslage aufzuklären. Es gilt, im Unternehmen ein Bewusstsein für IT-Sicherheit bis hin zur Führungsebene zu etablieren und den Mitarbeitern zu vermitteln, dass sie ein wichtiger Teil der Cyberabwehr sind. Hierfür braucht es regelmäßige Übungen, wie Simulationen im Alltag, wenn die Mitarbeiter ihrer gewohnten Arbeit nachgehen. Dadurch ist man für den Ernstfall gewappnet und kann die Abläufe festlegen, um einen Krisenplan zu erstellen.
Bewusstsein für IT-Sicherheit schaffen
Alle Beteiligten eines Unternehmens müssen wissen, wie bedroht ihre Firma ist und welche Rolle sie bei einem Angriff übernehmen sollen. Remote Work mit vielen Endgeräten und Zugangspunkten zum Unternehmensnetzwerk erhöht den Druck. Da es aber besonders den KMU oft an Fachkräften und Ressourcen fehlt, um sich gut vorzubereiten, lohnt sich die Einbindung externer Experten von unabhängiger Seite, die bei entsprechender Ausbildung und Eignung gegebenenfalls. auch als Informationssicherheits- oder Datenschutzbeauftragte benannt werden können. IT-Sicherheit besteht eben nicht nur aus Hard- und Software, sondern ebenso aus geschulten Mitarbeitern.
#TÜVSÜD