„Wer schon einmal auf eine Phishing-Mail geklickt hat, weiß, wie Hacker in die Falle locken. Dieses Risiko lässt sich durch konsequente Schulungen begrenzen“. Franz Obermayer, Geschäftsführer FOXiT und FOX Group
Schulung am IT-Arbeitsplatz gegen Cyberangriffe
Der nachlässige Klick auf eine E-Mail kann Unternehmen teuer zu stehen kommen, wenn Hacker Daten verschlüsseln und Lösegeld für die Freischaltung erpressen wollen. Lernen Mitarbeiter die Cybergefahren regelmäßig kennen, lässt sich das Risiko so genannter Phishing-Angriffe deutlich senken.
Ein unachtsamer Klick auf einen Link in einer E-Mail oder das Öffnen eines Anhangs, und schon ist es passiert. Ein Computervirus breitet sich im IT-Netzwerk eines Unternehmens aus, richtet Schäden mit ganz unterschiedlichen Zielen an. So genannte Späh-Malware greift sensible Unternehmensdaten ab, wie etwa Dateien aus der Konstruktionsabteilung, Kundenlisten, Zugangsdaten zum Online-Banking des Unternehmens. Oder eine Schadsoftware beginnt mit der Verschlüsselung von Dateien, auf die Mitarbeiter dann keinen Zugriff mehr haben. Bekannt als Ransomware fordert der Erpressungstrojaner seine Opfer auf, für einen Entschlüsselungscode Lösegeld zu zahlen – meist in der Kryptowährung Bitcoin, damit die Spuren der Cyberkriminellen nicht zurückverfolgt werden können. Die Konsequenzen für betroffene Unternehmen, Krankenhäuser oder kommunale Verwaltungen sind gravierend: Sie müssen ihre Arbeit zeitweise einstellen, Patienten abweisen oder Mitarbeiter in der Produktion nach Hause schicken, so wie kürzlich beim Babynahrungsmittelhersteller Hipp geschehen. Ein Cyberangriff kann jede Firma oder Organisation treffen. „Einen 100-prozentigen IT-Schutz gibt es leider nicht“, sagt Franz Obermayer. Er ist seit rund 30 Jahren Geschäftsführer der FOXiT aus Tittmoning und berät Firmen bei der IT-Sicherheit.
Sicherheitsrisiko Mensch
Neun von zehn Firmen sind bereits Opfer von Cyberangriffen geworden, berichtet der IT-Verband Bitkom. Schadsoftware, so genanntes Phishing, bei dem auch Passwörter abgegriffen oder eben Ransomware verteilt werden, kann enorme Schäden anrichten. Unglaubliche 223 Milliarden Euro Schäden für 2021 durch kriminelle Cyberattacken schätzt der Bitkom. Sie liegen damit mehr als doppelt so hoch wie noch in den Jahren 2018/2019. Und das, obwohl die IT-Security-Branche technologisch immer ausgefeiltere Sicherheitssoftware entwickelt und die Unternehmen in den letzten Jahren viel Geld in ihre IT-Sicherheitssysteme investiert haben. Aber Technologie ist nur ein, wenn auch sehr wichtiger Baustein in einem modernen und sicheren IT-Betriebskonzept. „Das kann nur so gut sein wie das schwächste Glied in der IT-Security-Kette. Und das ist der Mensch“, berichtet Obermayer. Der Klick auf eine gut gemachte Phishing-Mail könne „leider sehr oft alle technischen Schutzbemühungen zunichtemachen“.
Wenn Daten von Hackern verschlüsselt sind, dann rücken Obermayer und sein Team aus. „Incident Response“ heißen in der Fachsprache solche Feuerwehreinsätze von IT-Experten bei gehackten Unternehmen. Sie sollen das Schlimmste verhindern und die lahm gelegte IT schnellstmöglich wieder in den Betrieb bringen. Obermayer indes wünscht sich solche Notfälle erst gar nicht. Sie wären teils auch vermeidbar, wenn IT-Nutzer besser Bescheid wüssten über die Methoden von Cyberkriminellen. Und zwar nicht nur theoretisch, sondern ganz praktisch, wenn sie im Arbeitsalltag sensibilisiert wären, wie man potenziell gefährliche E-Mails erkennen kann.
Obacht – wörtlich genommen
Stichwort: Lernen am negativen Beispiel. Obermayer ließ „Fox Obacht“ entwickeln. Das ist eine Softwareplattform, mit der Phishing-Angriffe simuliert und anschließend die Klicks auf präpartierte E-Mails ausgewertet werden. Zuvor werden Mitarbeiter freilich geschult, wie raffiniert bisweilen Hacker Spam verteilen und wie sie gefährliche E-Mails erkennen können. Das Gelernte wird dann über Fox Obacht quasi wie in einem Flugsimulator eingeübt. Es gehe dabei nicht darum, „jemanden als ‚Schwarzes Schaf‘ dastehen zu lassen, sondern vor den Gefahren der Cyberkriminalität regelmäßig zu sensibilisieren“, sagt der FOXiT-Chef.
Es geht um Aufklärung durch Schulung des Personals, was Obermayer zufolge leider noch viel zu selten passiere. Obwohl der Einsatz von Fox Obacht „die Klickrate auf entsprechende Risikomails deutlich senkt“, sagt er.
Obermayer und Hacker haben übrigens eines gemeinsam: Sie wissen genau, wann es sich lohnt, Phishing-Mails auszusenden. Nämlich vor der Urlaubszeit und vor Weihnachten, wenn alle schnell nach Hause und alles erledigt haben wollen. „Hektik ist der größte Feind der Sicherheit“, sagt Obermayer und wirkt, trotz des gar nicht lustigen Themas, sehr gelassen.
