Prof. Christoph Meinel, Leiter des Lehrstuhls „Internet-Technologien und Systeme“ am Hasso-Plattner-Institut (HPI), Foto: HPI/Kay Herschelman

Mehr als 100.000 Cyberattacken registrierte das BKA im Jahr 2019, seinerzeit ein Höchstwert. Als Unternehmen coronabedingt dieses Frühjahr begannen, ihre Belegschaften ins Homeoffice zu schicken, wurde welt-weit eine Flut an Phishing-E-Mails und neu entwickelter Malware verzeichnet. Kein Wunder, denn bei der Auslagerung wurde vielerorts improvisiert. Mitarbeiter wählten sich außerhalb der Firewall von zu Hause ins Firmennetz ein, nicht selten aus schlecht abgesicherten WLAN-Netzwerken und oft auch mit privaten Rechnern. Ein Eldorado für Cyberkriminelle, welche die vielerorts aufpoppenden Sicherheitslücken schamlos ausnutzen.

„Überall ist jetzt die Rede von einem Digitalisierungsschub. Ich würde da vorsichtiger sein und erstmal von einem Erkenntnisschub sprechen, denn so richtig weit vorangekommen sind vor allem die kleineren Mittelständler in Sachen IT-Sicherheit seit dem Frühjahrslockdown leider nicht“, konstatiert Prof. Christoph Meinel, Leiter des Lehrstuhls „Internet-Technologien und Systeme“ am Hasso-Plattner-Institut (HPI) in Potsdam. Bei vielen hapere es immer noch an einer professionell konfigurierten Firmenausrüstung und sicheren Zugängen ins Firmennetzwerk, beklagt er und mahnt, dass die Zeit der Improvisation nun vorbei sein müsse. „Jetzt braucht es fundierte Risikoanalysen und Security Policies, um Unternehmensdaten zu schützen und Datenschutzanforderungen gerecht zu werden“, sagt Meinel. Voraussetzung hierfür sei eine Sensibilisierung aufseiten der Unternehmen und ihrer Mitarbeiter. Grundlage eines solchen Konzeptes ist eine systematische IT-Risikoanalyse, die kritische Vermögenswerte und Geschäftsprozesse identifiziert und die Risiken von Daten- oder Funktionsverlusten bewertet.

„Der Mensch ist wahrscheinlich das größte Cybersecurity-Risiko“, weiß der Informatiker. Weiterbildung ist deshalb ein wichtiger Baustein jedes Sicherheitskonzeptes. Das fängt damit an, dass jeder Mitarbeiter den Passwortschutz ernst nimmt und besser noch mit einer Zwei-Faktor-Identifizierung digital unterwegs ist. Dann gehört es zum Pflichtprogramm im Homeoffice, dass auf den dort benutzten Rechnern aktuelle Virenscanner installiert sind und sämtliche Softwaresysteme regelmäßig Updates erhalten. Diese Updates müssen installiert werden, weil Hersteller damit aufgedeckte Sicherheitslücken schließen, die ansonsten von Angreifern genutzt werden können, um Zugang zu Systemen zu erlangen oder anderweitig Schaden anzurichten.

Mitarbeiterschulungen zur IT-Sicherheit und neue Hard- oder Software zum Schutz der IT-Systeme und Daten im Unternehmen kosten viel Geld. Deshalb stehen die Unternehmen vor der Herausforderung, in pandemiebedingt ungewissen Zeiten die dafür nötigen Investitionen zu mobilisieren. „Fatal ist, dass bereits beschlossene Investitionen aufgrund wirtschaftlicher Unsicherheit zurückgestellt werden“, bedauert Meinel. An Sicherheit dürfe aber nicht gespart werden, insbesondere in Zeiten, in denen der Betrieb oft nur dank funktionierender IT-Systeme aufrechterhalten werden kann. Dass hier zu sparen eine Milchmädchenrechnung ist, verdeutlichen auch Zahlen des Branchenverbandes Bitkom. So entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von über 100 Milliarden Euro durch Cyberkriminalität.

Denn die Hacker haben ihre Hausaufgaben gemacht und agieren immer professioneller und organisierter. Mit immer neuen Tricks tarnen sie ihre Schadsoftware, um nicht von Anti-Malware-Tools entdeckt zu werden. Der Wettlauf mit den Hackern hat nur dann Aussicht auf Erfolg, wenn alle Mitarbeiter eines Unternehmens dessen fundiertes Sicherheitskonzept mittragen.