Risikofaktor Mensch

Jedes zweite deutsche Unternehmen erlebte laut einer Studie des Digitalverbands Bitkom in den vergangenen zwei Jahren einen Fall von digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. Nach Berechnungen des Verbands beläuft sich der entstandene Schaden für die gesamte deutsche Wirtschaft auf rund 51 Milliarden Euro pro Jahr.

Wollen Unternehmen Cyberspione abwehren, reichen technische Schutzmaßnahmen alleine nicht aus. Vielmehr kommt es auf das richtige Zusammenspiel von Technologien, Prozessen und Menschen an. Virenscanner und moderne Firewalls haben selbstverständlich noch ihre Daseinsberechtigung. Aber gerade weil viele Unternehmen in Sicherheitstechnologien investieren, ist der Mitarbeiter als vermeintlich schwächstes Glied der Kette in den Fokus gerückt. Social Engineering heißt der bevorzugte Ansatz der Cyberspione, also die Ausnutzung des Faktors Mensch zur Erlangung vertraulicher Informationen.

Die wirksame Gegenmaßnahme heißt „Sensibilisierung“ zum Thema Informationssicherheit. Security-Trainings, Hacking Days, Videos im Intranet, simulierte Phishing-Angriffe: All diese Maßnahmen haben zum Ziel, dass Mitarbeiter eine persönliche Betroffenheit spüren, eine gesunde Skepsis entwickeln und verdächtige Vorgänge an den IT-Helpdesk melden. Damit können Unternehmen den Cyberspionen ihre Arbeit deutlich erschweren. Denn auf solche Meldungen können sie im Ernstfall reagieren, Abwehrmaßnahmen einleiten und somit den Schaden reduzieren.

Ganz wichtig: Sicherheitsbewusstes Verhalten beginnt in den Chefetagen. Denn in der Praxis bedeutet Sicherheit auch geringfügigen Mehraufwand wie zum Beispiel PC sperren, E-Mails verschlüsseln, vertrauliche Unterlagen wegsperren. Hier müssen Führungskräfte mit gutem Beispiel vorangehen und sicherheitsbewusstes Verhalten vorleben. Denn: Wenn es der Chef nicht macht, warum sollten es dann die Mitarbeiter tun?

Frank von Stetten ist Mitgründer und Senior Consultant des Security-Spezialisten HvS-Consulting. Neben der Beratung mittelständischer Unternehmen und großer Konzerne zu Informationssicherheit, Prävention von Industriespionage sowie Sensibilisierung von Mitarbeitern ist er nebenbei auch als als „professioneller Spion“ zur Simulierung von Industriespionage-Angriffen auf Unternehmen im Einsatz.

Social Engineering umfasst eine Vielzahl von Techniken, mit denen Cyber-Spione ihre Opfer manipulieren, um an vertrauliche Daten zu gelangen. Beispiele sind:

• Phishing/Spear Phishing: Mitarbeiter erhalten professionell aufbereitete E-Mails, deren Inhalt beispielsweise typischen Geschäftsvorgängen entspricht und damit Vertrauen erweckt. Klickt der Empfänger dann auf einen Link oder Anhang der E-Mail, infiziert er seinen Computer mit Schadsoftware. Beim besonders perfiden Spear Phishing sammeln Cyber-Angreifer im Vorfeld Informationen über bestimmte Personen, um die E-Mail genau an deren „Bedürfnisse“ anzupassen.
• Kontaktaufnahme via Telefon: Ein vermeintlicher IT-Administrator kontaktiert einen Mitarbeiter und verlangt für die Behebung eines technischen Problems dessen Passwort. Mit den Zugangsdaten seines Opfers kann der Cyberspion in das Unternehmensnetz vordringen und sensible Informationen ausspähen.
• Herrenloser USB-Stick: Mitarbeiter finden USB-Sticks in der Cafeteria, an Raucherecken, vor dem Werkstor oder in Tiefgaragen. Vorsicht, dahinter stecken oft Cyber-Angreifer. Sie setzen auf neugierige Menschen, die den USB-Stick an ihren PC stecken. Der Stick ist meist mit einem Trojaner präpariert.