Die Corona-Krise hat noch einmal stark verdeutlicht, wie schnell Cyberkriminelle agieren und wie vielfältig die Risiken für Unternehmen sind. Im Interview mit Hanno Pingsmann, Geschäftsführer von CyberDirekt, erklärt er, wie Unternehmen das mobile Office sicher gestalten können.
Herr Pingsmann, folgt man den aktuellen Cyberangriffen, fragt man sich, wie es bei KMUs immer noch zu solchen hohen Schadenssummen kommen kann?
Hanno Pingsmann: Deutsche Unternehmen stehen nach wie vor im Fokus von Cyberkriminellen. Aktuell rollt eine zweite Emotet-Welle auf den Mittelstand zu, welcher mit hoher Sicherheit zahlreiche Unternehmen treffen wird. Cyber-Angriffe auf die deutsche Wirtschaft werden immer spezialisierter und für die betroffenen Firmen in vielen Fällen teurer. Das Schadenpotenzial weist teilweise extrem hohe Summen auf, gesamtwirtschaftlich ebenso wie für die betroffenen Unternehmen. Dies geht z.B. aus dem aktuellen Hiscox Cyber-Readiness Report hervor. Es lässt sich beobachten wie eine Professionalisierung bei den Cyberkriminellen einsetzt, und lukrative Ziele in vielfältigen Branchen attackiert werden. Von Behörden, Hochschulen, Kliniken und Arztpraxen über Dax-Unternehmen und Konzerne bis hin zum Einzelhandel und Mittelstand – jede Institution kann und wird von Cyberkriminellen ins Visier genommen. Insbesondere für kleine Unternehmen ist das Risiko besonders groß, denn schnell kann ein Cyber-Angriff die wirtschaftliche Existenz gefährden. Häufig fehlt hier ein Risikobewusstsein für die abstrakte Gefahrenlage, sodass nicht selten erst nach einem geglückten Angriff Vorsichtsmaßnahmen oder Absicherungen in Betracht gezogen werden.
Was sind aktuell die größten Sicherheitsrisiken, auf die Unternehmen während des Homeoffice achten sollten?
Hanno Pingsmann: Die Risiken sind vielfältig. Im Homeoffice sind die Einfallstore häufig dadurch geöffnet, dass die Mitarbeiter über private und rudimentär geschützte Internetverbindungen mit dem Firmennetzwerk kommunizieren. Gleichzeitig steht nicht immer ein Firmencomputer zur Verfügung. Entscheidend ist dann, dass strikt und bewusst darauf geachtet wird, dass keine beruflichen Daten über private Software versendet oder geteilt wird. Denn Angreifer versuchen explizit, die aktuelle Situation auszunutzen, in dem sie Mitarbeiter im (weniger geschützten) Homeoffice z.B. mittels Phishing angreifen. Das erfordert ein Bewusstsein von allen Seiten sowie gute Passwort-Hygiene. Mit einem Passwortmanager kann hier schon viel erreicht werden: Großbuchstaben; Ziffern und Sonderzeichen wie auch unterschiedliche Passwörter werden sicher verwahrt. Das gleiche sollte auch für neue Technologien oder Formate wie Telefon- und Videokonferenzen bedacht werden. Hier gilt es den Blick der Mitarbeiter zu schulen. Denn der Mensch wird als Schwachstelle konsequent ausgenutzt, um vertrauliche Personen- und Unternehmensdaten zu stehlen oder sich durch weitere Arten des Betrugs zu bereichern.
Sie sprechen hier auf den viel zitierten Risikofaktor “Mensch” an. Ist das überhaupt noch ein Thema nach der konstanten Aufklärungsarbeit der letzten Jahre?
Hanno Pingsmann: Leider ja. Ich gebe ihnen ein ganz einfaches Beispiel: Während Corona sind neue Angriffsmuster aufgetreten, welche das Täuschungspotenzial erhöht und die Erkennungsrate für den Mitarbeiter drastisch reduziert haben. Dies wird ermöglicht, indem die Absender-E-Mail-Adressen durch den Angreifer verändert werden und in den Betreffzeilen interne Information genutzt werden, wie zum Beispiel der Bezug auf Corona-Fälle innerhalb der Firma. Diese zielgenaue Abstimmung der Informationen und Absenderadressen, macht es sehr schwierig hier erste Anzeichen eines Angriffes auszumachen. Dieses Beispiel zeigen, wie perfide die Attacken sind und dass es für MItarbeiter immer schwieriger wird. Da fast 90 Prozent aller gezielten Angriff im Internet über Phishing-Attacken generiert werden und 46 Prozent der Cybervorfälle durch menschliche Fehler verursacht werden, wird klar, dass der “Faktor Mensch” weiterhin im Sicherheitsdenken nicht zu vernachlässigt ist.
Was würden Sie folglich als wichtige Präventions- und Schulungsmaßnahmen für Unternehmen empfehlen?
Hanno Pingsmann: Wichtig ist hier zwischen kurzfristigen Maßnahmen wie die schon beschriebene Trennung von privaten und beruflichen Kommunikationskanälen zu und langfristigen Maßnahmen wie der Sensibilisierung der Mitarbeiter zu unterscheiden. Letzteres sollte gerade jetzt geschehen, da eine aktuelle YouGov Studie belegt, dass 75 Prozent der Mitarbeiter auch nach der Pandemie gerne weiterhin die Möglichkeiten haben wollen im Homeoffice arbeiten zu können – und damit auch das Cyber-Risiko bleibt. Das heißt konkret KMU sollten die Nutzung offener Internetzugängen und mobiler Geräten ausreichend absichern und gleichzeitig in Online-Schulungen investieren. Wir haben bei unseren Online-Schulungen die Erfahrung gemacht, dass es wichtig ist auf drei unterschiedlichen Ebene anzusetzen. Einerseits gilt es die eigenen Verhaltensweisen zu schulen, gleichzeitig ist es wichtig ein technisches Verständnis über die Infrastrukturen wie das Social Engineering zu erhalten und drittens die Vorgehensweisen der Hacker zu verstehe und zu simulieren. Beispielsweise können mit einem Phishing-Simulationstest realitätsnahe Angriffsszenarien durchgeführt werden, um die Reaktion der eigenen Mitarbeiter zu messen. Gleichzeitig hat es den Effekt, dass die Sensibilisierung gegenüber dem Risiko ansteigt, wenn man als Nutzer selbst auf die Täuschung rein gefallen wäre. Diese Maßnahmen können schon viel abfedern, doch ganz abgesichert ist man am besten mit einer Cyberschutzversicherung.
Welche Cyber-Versicherungen werden auch im neuen mobile Office unterstützen und wann greifen sie?
Hanno Pingsmann: Das Risiko eines Hackerangriffs lässt sich mit einer Cyber-Versicherung grundsätzlich auch bei Arbeit aus dem Homeoffice absichern, jedoch ist dies nicht in jedem Tarif gegeben. Unternehmen sollten das nun dringend abklären und sich im Zweifel diesbezüglich beraten lassen. Dazu muss beim Gegenstand der Versicherung zunächst auf die Definition der IT-Systeme geachtet werden. In erster Linie werden Virenschutz und Firewalls von jeder Cyber-Versicherung gefordert und müssen auf allen IT-Systemen eines Versicherten vorhanden sein. Außerdem ist es üblich, dass alle Versicherer eine regelmäßig Datensicherung fordern. Das gilt genauso für die Inhalte auf denen im Home-Office eingesetzten Geräten. Gleichzeitig ist es immer ratsam die Verbindungen mit dem Firmennetzwerk durch einen VPN-Client zu schützen.
Vielen Dank für das Gespräch!