Mit einer registrierten E-Mail-Adresse kannst du deinen Fortschritt speichern.
Für die Ausstellung von Zertifikaten benötigen wir zusätzlich deinen Namen und dein Geburtsdatum.
Ein Projekt von
Sebastian Brose ist Leiter Produktmanagement „Produkte & Unternehmen“ bei der VdS Schadenverhütung GmbH
Die Anzahl an Cyber-Angriffen gegen Unternehmen steigt Jahr für Jahr an. Gerade mit der Ausweitung von Homeoffice im Zuge der Corona-Pandemie haben sich noch einmal zusätzliche Einfallstore für Hacker:innen aufgetan.
Laut Statista kam es 2021 zu mehr als 113.000 Fällen von Computerbetrug in Unternehmen. Zum Vergleich: 2018 lag dieser Wert noch bei rund 66.000. Auch der aktuelle DsiN-Praxisreport 2021/2022 kommt zu dem Ergebnisse, dass 86 Prozent der KMU verletzbar sind beim Thema IT-Sicherheit.
Wir haben mit dem Sicherheitsexperten Sebastian Brose von der VdS Schadensverhütung GmbH darüber gesprochen, welche Unternehmen besonders gefährdet sind und welchen Stellenwert die digitale Kompetenz einzelner Mitarbeiter:innen für die Sicherheit hat.
DiFü-News: Was genau macht ein Unternehmen für einen Cyber-Angriff attraktiv?
Sebastian Brose: Im Grunde ist prinzipiell erst einmal jedes Unternehmen für Cyber-Kriminelle interessant. Die Angriffe sind vielfach breit gestreut und differenzieren nicht, ob sich daraus ein lohnendes Ziel entwickelt. Dabei werden systematisch Schwachstellen identifiziert und ausgenutzt.
Sobald eine Schwachstelle erkannt wird, werden die Angriffe intensiviert, da das ein starkes Signal dafür ist, dass ein Unternehmen seine Hausaufgaben im Bereich IT-Sicherheit offenbar nicht gründlich erledigt hat. Diese Unternehmen geraten in der Folge ganz besonders in den Fokus.
Es ist ein Irrglaube, anzunehmen, dass ein Unternehmen nicht attraktiv genug ist, um angegriffen zu werden. Denn es ist nicht die Frage, ob ein Unternehmen attackiert wird, sondern nur wann.
Welche sind die größten Fehler, die Unternehmen bezogen auf Cyber-Sicherheit derzeit machen?
Der größte Fehler ist die Annahme, dass das eigene Unternehmen kein lohnendes Angriffsziel ist. Denn daraus entsteht oft genug eine Trägheit, die das Abarbeiten der Aufgaben im Bereich Informationssicherheit verhindert. Die Arbeitsprozesse in praktisch jedem Unternehmen sind von den IT-Systemen abhängig, sodass zumindest eine Betriebsunterbrechung einkalkuliert werden muss.
Kommt der Diebstahl sensibler Daten hinzu – und dazu gehören nahezu alle personenbezogenen Daten – vergrößert sich auch der Schaden. Das reicht dann bis zu schwerwiegenden Haftungsfragen, wenn Informationen von Kunden oder anderen externen Geschäftspartnern betroffen sind.
Deshalb muss IT-Sicherheit ganzheitlich gedacht werden. In der Konsequenz gehört dazu ein Plan für den Ernstfall oder die Schulung der Mitarbeiterinnen und Mitarbeiter, die für den Bereich IT-Sicherheit sensibilisiert werden müssen.
Wie sehen die Top 3 Erste-Hilfe-Maßnahmen im Ernstfall aus?
Im Idealfall greift ein zuvor entwickelter Notfallplan. Wie in nahezu jeder Krisensituation gilt jedoch der erste Grundsatz: Ruhe bewahren. In einem zweiten Schritt sollte der IT-Notfall gemeldet werden, damit die IT-Sicherheitsexpert:innen entsprechende Sofortmaßnahmen einleiten können. Dabei sollte man schildern, was und wann etwas beobachtet wurde und welche Systeme betroffen sind.
Im dritten Schritt sollte die Arbeit am befallenen System unverzüglich eingestellt werden. In der Folge ist es hilfreich, Beobachtungen zu dokumentieren und Maßnahmen nur auf Anweisung einzuleiten.
Hat Corona einen Effekt auf die Gefahrenlage von Unternehmen? Hat sich diese gegebenenfalls weiter zugespitzt?
Ja, das kann man sagen. Die Corona-Situation hat zu einer sehr starken Zunahme des Homeoffice geführt, das oft extrem spontan umgesetzt werden musste. Als dann alles lief, war das Thema scheinbar erledigt. Das heißt: In der Regel wurden die Sicherheitsüberlegungen nicht angepasst und keine ausreichende Sicherheitsstruktur geschaffen, vorhandene Regelungen nicht umgesetzt oder adaptiert.
Mal Hand aufs Herz: Wer hat sich schon darum gekümmert, dass die vielen privaten Geräte, die für die Arbeit genutzt wurden, auch ausreichend geschützt sind? Den Trend, die eigenen Geräte zu nutzen, gibt es unter dem Schlagwort „Bring your own device (BYOD)“ ja schon länger. Aber: Das kann nur gut gehen, wenn entsprechende Sicherheitsstrategien entwickelt und implementiert sind.
Welchen Stellenwert hat die Digitalkompetenz einzelner Mitarbeiter:innen beim Thema Cyber-Sicherheit für Unternehmen?
Eine ganz wesentliche. Die Auswertung von Cyber-Angriffen zeigt immer wieder, dass die Mitarbeiterinnen und Mitarbeiter zu den größten Schwachstellen für die IT-Sicherheit gehören. In den meisten Fällen kann man das den Kolleginnen und Kollegen noch nicht einmal vorwerfen. Denn die Angriffe, beispielsweise mit Fake-E-Mails, dem sogenannten Phishing, sind so raffiniert, dass für diesen Bereich besonders geschult werden muss.
Die Implementation einer technologisch ausgereiften Sicherheitsarchitektur ist das eine. Aber die größte Schwachstelle bleibt der Mensch. Hier helfen nur gute und regelmäßige Schulung und Aufklärung, um die Digitalkompetenz aufzubauen, zu stärken und zu erhalten.
Wie unterscheiden sich die Sicherheitskompetenzen im privaten Alltag von denen im beruflichen Kontext? Bin ich als digital kompetente Privatperson automatisch auch gewappnet für Cyber-Angriffe im beruflichen Kontext oder werden hier zusätzliche Aspekte wichtig? Wenn ja, welche?
Ich warne davor, die eigenen Fähigkeiten zu überschätzen. Sehen Sie: Nicht jeder, der einen Führerschein besitzt, sollte gleich an einem Formel-1-Rennen teilnehmen. Unternehmensnetzwerke sind vielfach komplexer, als die private IT-Landschaft. Im Idealfall bringen die Mitarbeiterinnen und Mitarbeiter eine gewisse Awareness mit, wenn es um IT-Sicherheitsfragen geht.
Kompetenz entsteht aber erst durch eine grundlegende Informationsvermittlung, die auf die Belange im Unternehmen zugeschnitten ist. Dieses Wissen muss regelmäßig aktualisiert werden, was nur mit regelmäßigen Trainings realisierbar ist.
Zu Hause eine Firewall installiert zu haben, hilft vielleicht im privaten Umfeld, reicht im Unternehmen aber nicht aus. Sie lassen Ihr Dach ja auch nicht vom Heizungsinstallateur decken, nur, weil der mal seine Scheune selbst eingedeckt hat. Hier müssen Profis ran.
Herr Brose, vielen Dank für das Gespräch!
Datenwelt
26.05.2022 10:34 Uhr
Die Datenschutz-Grundverordnung (DSGVO) soll die Privatsphäre der Verbraucher:innen stärken und wird seit mittlerweile vier Jahren angewendet. Mit der Einführung der […]
Internet
26.07.2022 6:00 Uhr
Wenn wir vom Internet sprechen, meinen wir meistens das World Wide Web (www). Hier kaufen wir ein, schauen Filme und […]
Gefahrenschutz
29.04.2022 11:32 Uhr
Angriffe mit Erpresser-Software werden immer häufiger. Das geht aus einer Studie im Auftrag des Sicherheitssoftware-Anbieters Sophos hervor. Demnach waren im […]
Geräte & Tools
16.08.2022 6:00 Uhr
Wenn der Küchenlautsprecher auf Befehl das aktuelle Wetter verrät, wenn der Kühlschrank selbstständig die Milch nachbestellt und die Rollos und […]
16.05.2023 13:30 Uhr
Das Homeoffice ist gekommen, um zu bleiben: Selbst ohne die strengen Corona-Auflagen, die einen Großteil der Arbeitnehmenden dazu brachten, in […]
18.05.2023 13:30 Uhr
difue.de: Wir sprechen heute über das Thema New Work, also eine neue Art des Arbeitens. Was verstehst du unter diesem […]
20.06.2023 12:30 Uhr
Von allen Arten von Malware (englisch für malicious software – bösartige Programme) sind Trojaner vermutlich die am einfachsten nachzuvollziehenden: Wie […]
22.08.2023 12:30 Uhr
Alte Partybilder und Kommentare in sozialen Netzwerken, die Beiträge in einem Online-Forum für ein Multiplayerrollenspiel oder der digitalisierte Artikel der […]
04.12.2023 10:42 Uhr
Fest steht: Ganz ohne Cookies würde das Internet in der Art und Weise, wie wir es verwenden, nicht funktionieren. Der […]
04.04.2024 8:00 Uhr
„Wer etwas zu verbergen hat, sollte es lieber gleich lassen“ – mit diesem Statement sorgte der damalige Google-Chef Eric Schmidt […]
Wir freuen uns, dass Sie sich entschieden haben, einen Kommentar zu hinterlassen. Bitte beachten Sie, dass Kommentare gemäß unserer Kommentarrichtlinien bewertet werden.
Name *
E-Mail *
Website
Meinen Namen, meine E-Mail-Adresse und meine Website in diesem Browser speichern, bis ich wieder kommentiere.
Kommentar abschicken
Was halten Sie vom Digitalführerschein?
Sagen Sie uns Ihre Meinung und helfen Sie unsden Digitalführerschein noch besser zu machen.
Zur Kurzumfrage