Frage: Herr Piotraschke, welche Firmen und Branchen sind Ihrer Erfahrung nach besonders von Cyberangriffen betroffen? Und kennen Sie auch Handwerksbetriebe – vielleicht sogar aus der Kältebranche –, die attackiert wurden?
Piotraschke: Cyberangriffe können Unternehmen über alle Branchen und Größen hinweg treffen. Die Digitalisierung öffnet Kriminellen laufend neue Einstiegstore in Unternehmensnetzwerke. Ohne mit dem Finger auf bereits betroffene Unternehmen zeigen zu wollen: Die Gothaer hat vor kurzem eine Studie veröffentlicht, laut der bereits jedes fünfte kleine und mittelständische Unternehmen selbst zum Opfer eines Cyberangriffs geworden ist. In unserem jährlichen Report, dem Human Risk Review, haben sogar ein Drittel aller Organisationen angegeben, dass sie selbst oder ein Dienstleister schon getroffen wurden. Das Handwerk kann sich hier also nicht in Sicherheit wiegen.Bei Unternehmen aus der Kältebranche kommt verschärfend hinzu, dass sie oft in einem Partner- oder Lieferantennetzwerk mit Organisationen der Kritischen Infrastruktur (KRITIS) wie Krankenhäusern oder Wasser- und Energieversorgern zusammenarbeiten. Die KRITIS ist ein beliebtes Ziel für Cyberkriminelle, weil sie sich hier hohe Gewinne ausmalen. Bei einem Angriff steht hier die gesellschaftliche Versorgung mit wichtigen Dienstleistungen oder Gütern auf dem Spiel. Lösegelder werden also eher gezahlt. Da Cyberkriminelle über die Lieferkette mittlerweile oft gleich mehrere Unternehmen angreifen, erhöht sich die Gefahr für Handwerksbetriebe aus der Kältebranche damit zusätzlich und die Absicherung wird zu einem echten Drahtseilakt.
Frage: Welche Formen von Angriffen gibt es vor allem? Und was sind die häufigsten Einfallstore in Firmennetzwerke?
Piotraschke: Die Anzahl an verschiedenen Angriffsmethoden ist heute fast unbegrenzt – Cyberkriminelle sind höchst innovativ. Viele Angriffe machen sich zwar unzureichend technisch abgesicherte Systeme zunutze, zum Beispiel Schwachstellen in nicht aktualisierter Software. Aber der Großteil der Angriffe involviert den Faktor Mensch, laut Verizon mehr als 80 Prozent. Das ist nicht verwunderlich, denn Menschen können auch unabhängig von technologischen Entwicklungen immer auf ähnliche Art und Weise angegriffen werden: über emotionale Manipulation. Cyberkriminelle setzen so beispielsweise auf Phishing-Mails, um ihre Opfer zu täuschen, sensible Daten abzugreifen und Zugriff auf die Unternehmenssysteme zu bekommen. Auch Angriffe mit Erpressungssoftware starten oft mit einer solchen E-Mail. Im Anschluss verschlüsseln die Angreifenden sensible Daten, die sie nur gegen Zahlung eines Lösegelds freigeben. Wir sehen, dass diese Phishing-Mails immer ausgeklügelter werden. Beim sogenannten Spear Phishing sammeln die Cyberkriminellen beispielsweise genaueste Informationen über ihre Opfer, um die Inhalte der Mail individuell anzupassen und noch gezielter anzugreifen. Inhalte mit Bezug auf gesellschaftliche Entwicklungen – beispielsweise die aktuelle Energiekrise – lassen die E-Mails noch realistischer erscheinen, machen sie gefährlicher und auch erfolgreicher. Viele Trends im Bereich Cybercrime stützen sich zudem auf Künstliche Intelligenz. Kriminelle imitieren etwa über KI-Tools die Stimmen von Vorgesetzten, um so vermeintliche Anweisungen an Mitarbeitende zu kommunizieren – leider oft mit kostspieligen Folgen. Grundsätzlich gilt es in dieser dynamischen Lage also vor allem, die menschliche Komponente in der Informationssicherheit zu stärken. Denn geschulte Mitarbeitende sind im Ernstfall für die innovativen Tricks sensibilisiert und die Angriffe bleiben erfolglos.
Frage: Mit welchen Problemen haben die Firmen anschließend zu kämpfen?
Piotraschke: Im besten Fall werden Angriffe schnell entdeckt und größere Schäden können verhindert werden. Integrierte Reporting-Tools wie unser SoSafe Phishing-Meldebutton machen es Mitarbeitenden zum Beispiel leichter, potenzielle Angriffe direkt aus dem Mailprogramm zu melden und verkürzen so den Weg von Angriff bis Neutralisierung, weil die Mail firmenweit als Phishing erkannt wird und dementsprechend gehandelt werden kann, bevor andere Mitarbeitende darauf hereinfallen. Ist es dafür bereits zu spät, haben Unternehmen oft lange mit einem Cyberangriff zu kämpfen. Handwerksbetriebe müssen mit Betriebsausfällen rechnen, weil Systeme in Folge des Zugriffs nicht mehr funktionieren oder zum Schutz vor größeren Schäden heruntergefahren werden müssen. Denn viele Geräte und Operational Technology wie Maschinen und Anlagen sind heute miteinander vernetzt. Ein Betriebsausfall geht natürlich mit finanziellen Folgen einher. Dazu kommen Kosten für Wiederaufbau der Infrastruktur. Auch der Imageschaden in einem solchen Fall ist nicht zu unterschätzen. Es gibt Fälle von großen Unternehmen, die in Folge einer Cyberattacke wichtige Kunden verloren haben, weil das Vertrauensverhältnis beschädigt wurde.
Frage: Was sollte ein Unternehmen tun, um sich bestmöglich zu schützen?
Piotraschke: Zum einen gilt es, auch weiterhin technische Schutzvorkehrungen zu treffen. Dazu gehören regelmäßige Sicherheitsupdates und Backups von Daten sowie zeitnahe Software Patches. Im Hinblick auf die steigende Anzahl an Angriffen auf die Menschen hinter den Bildschirmen sollten Organisationen aber auch ihre Mitarbeitenden mit an Bord holen und für Informationssicherheit sensibilisieren. Ein solches Security Awareness Training wird mittlerweile auch von vielen Industrie-Frameworks vorgeschrieben. Dabei durchlaufen die Mitarbeitenden ein Trainingsprogramm, damit sie Angriffe erkennen und abwehren können. Wir bei SoSafe legen viel Wert darauf, dass bei unserer Awareness-Plattform der Lernerfolg garantiert wird und optimieren das Training deshalb auf Basis lernpsychologischer Erkenntnisse. Das macht das vermeintlich trockene Thema Informationssicherheit zugänglicher. Die Mitarbeitenden durchlaufen interaktive und kurzweilige Lernmodule und Quiz-Formate, die sich einfach in den Alltag integrieren lassen und zum Lernen motivieren. Zusätzlich bieten wir Phishing-Simulationen an, die das sichere Verhalten direkt am Objekt schulen. Letztlich sind die Mitarbeitenden die letzte und wichtigste Schutzbarriere, bevor es zu einem fatalen Angriff kommen kann. Ziel sollte es also sein, eine starke Sicherheitskultur in der Organisation aufzubauen, die Cyberkriminellen keinen Spielraum für Angriffe lässt.
Frage: Man denkt bei Cyberangriffen meist nur an Bedrohungen durch Externe. Wie oft kommt es vor, dass eigene Mitarbeiter die Übeltäter sind? Und welche Sicherheitsmaßnahmen sollten Betriebe für diesen Fall ergreifen?
Piotraschke: Der Großteil von Cyberangriffen erfolgt durch Externe, oft durch professionelle Gruppen von Cyberkriminellen. Aber: Sie suchen wie schon erwähnt oft den Weg über Interne. So kommt es vor, dass Mitarbeitende auf einen Link in einer Phishing-Mail klicken und so den Weg für einen Angriff freimachen. In diesem Fall würden wir aber niemals von den Mitarbeitenden als “Übeltäter” sprechen. Das ist das falsche Framing und auch im Sinne des Lernerfolgs nicht hilfreich. Die “Übeltäter” bleiben die Cyberkriminellen. Der Fokus sollte immer auf der Stärkung der Awareness liegen, damit es erst gar nicht zu unsicherem Verhalten auf Seiten der Mitarbeitenden kommen kann. Intern sollten Unternehmen natürlich trotzdem entsprechende Sicherheitsvorkehrungen treffen und sensible Daten beispielsweise mit starken Passwörtern oder bestenfalls Multi-Faktor-Authentifizierung absichern. Das ist auch hinsichtlich der geltenden Datenschutzstandards und der DSGVO ratsam.
Frage: Wie unterstützt die SoSafe GmbH Betriebe, um ihre Cybersicherheit zu optimieren?
Piotraschke: Wir möchten Organisationen dabei unterstützen, ihre Sicherheitskultur zu stärken. Das heißt, dass wir uns ganz klar auf den Faktor Mensch in der Cybersicherheit fokussieren. Unsere Awareness-Plattform verbindet interaktives E-Learning zu Informationssicherheit und Datenschutz mit einer realitätsnahen Phishing-Simulation, die das sichere Verhalten von Mitarbeitenden im Arbeitsalltag trainiert. Wichtig ist uns dabei, dass das Gelernte auch wirklich hängen bleibt. Wir wissen, dass die Thematik für viele Mitarbeitende nicht so leicht zu verstehen oder auch einfach nicht interessant ist. Das kann unter Umständen aber in kostspieligen Cyberangriffen enden. Deshalb sorgen wir mit verschiedensten Elementen wie Gamification oder personalisierten Lernpfaden dafür, dass das Lernerlebnis motivierend ist und die Mitarbeitenden in ihrem Arbeitsalltag abholt. Spannend für die Sicherheitsverantwortlichen: Admins können sich über ein Dashboard einen Eindruck von den Cyberrisiken innerhalb der Organisation machen und den Erfolg der Awareness-Maßnahmen messen. So können sie die Maßnahmen laufend optimieren, damit sich die Risiken auf ein Minimum reduzieren. Mitarbeitende, die Cybergefahren erkennen und abwehren, sind der beste Schutz für Organisationen angesichts der dynamischen Bedrohungslage. Wir sprechen dabei gerne von einer “menschlichen Firewall”.