IT-Sicherheit fängt in den Köpfen der Mitarbeiter an. Nur wer ausreichend trainiert ist, kann Cyber-Attacken früh erkennen. Die Bremer Trust-IT GmbH schult Angestellte darin, ein Bewusstsein für den sicheren Umgang mit dem Internet zu entwickeln und hilft so, potenzielle Schäden zu verhindern.
Stellen Sie sich vor: Sie steigen auf dem Firmenparkplatz aus dem Auto, finden einen USB-Stick, beschriftet mit Ihrem Firmenlogo und der Aufschrift „Projektdaten“. Würden Sie ihn nicht mitnehmen, um nachzuschauen, welche Dateien sich darauf verbergen und wer ihn verloren hat? Schon sind Sie Opfer eines IT-Angriffs geworden!
Während sich früher Cyberattacken vor allem gegen die IT-Infrastruktur richteten, sind heute die Mitarbeiterinnen und Mitarbeiter Zielscheibe von Hackern. Sie nutzen Neugier, Unwissen und Gutmütigkeit aus. Gezielt suchen sie sich über soziale Netzwerke ihre Opfer aus, häufig im Rechnungswesen oder die Finanzabteilung.
Angreifer nutzen Emotionen aus, um die IT-Sicherheit auszuhebeln
„Früher war es die Mail vom unverhofften Geldgewinn aus Nigeria, heute ist es die perfekt fingierte Nachricht aus unmittelbarer Nähe. Die Qualität der Angriffe ist enorm gestiegen“, weiß Jan Bischoff, Geschäftsführer der Trust-IT GmbH. Das Bremer Unternehmen hat sich auf die IT-Sicherheit von Unternehmen spezialisiert.
„Ein Beispiel: Die Sekretärin erhält Freitagabends kurz vor Feierabend – der Chef ist schon aus dem Haus – eine Mail von der Unternehmensleitung. Sie soll eine große Geldsumme vertraulich auf das Konto eines Lieferanten überweisen, mit der Bitte um dringende Bearbeitung. Was sie nicht weiß: Die Mail ist täuschend echt gefälscht, nur die IBAN ist eine andere. Die Angreifer nutzen hier bewusst Emotionen aus – den Wunsch nach Feierabend, die drängende Bitte des Chefs, den Zeitfaktor, die Verschwiegenheitsbitte – um Druck aufzubauen“, schildert Bischoff ein reales Szenario. Da helfen auch kein Virenscanner und keine Firewall mehr.
IT-Sicherheit: Den Angestellten in den Fokus rücken
Dabei ist das Thema durchaus im Bewusstsein der Öffentlichkeit. Im Mai 2017 schlugen Berichte um den WannaCry-Kryptovirus große Wellen in den Medien. Trotzdem wissen bisher nur vier von zehn Deutschen um die Gefahr von sogenannter Ransomware, so eine aktuelle Studie des Branchenverbandes Bitkom. Für Bischoff ist das völlig normal: „Man kann von anderen Usern nicht die eigene Affinität zum Thema IT-Sicherheit erwarten“, sagt er. Will heißen: Was für den einen wichtig ist, vergisst der andere schnell wieder. Das Erkennen und der richtige Umgang mit potenziellen Angriffen muss deshalb regelmäßig trainiert werden. „Die beste Alarmanlage bringt nichts bei offenen Fenstern“, sagt Bischoff schmunzelnd. Aus diesem Grund haben er und sein Team ein mehrstufiges Awareness-Training – eine Sensibilisierungskampagne für Unternehmen – entwickelt.