"Hackerangriffe werden in Unternehmen oft nicht erkannt"

×

Das Thema IT-Sicherheit wird von vielen Unternehmen unterschätzt. Dabei ist der Mensch die größte Schwachstelle im Unternehmen, sagt Springer-Autor, Berater und "IT-Comedian" Tobias Schrödel im Interview.

Herr Schrödel, durch den NSA-Skandal wird das Thema IT-Sicherheit in Deutschland derzeit wieder stark diskutiert. Innenminister Thomas de Maizière macht sich vor allem Sorgen um das Ausspähen von Daten für kommerzielle Zwecke und damit auch um die sensiblen Daten von Unternehmen. Wie sicher sind Unternehmensdaten in unserer digitalisierten Welt aus Ihrer Sicht?

Die Frage beantwortet sich fast selbst, wenn wir uns vor Augen führen, dass es Länder gibt, deren Auslandsgeheimdienste Firmen auch in Deutschland „zum Wohle der eigenen Wirtschaft“ ausspionieren müssen – per Gesetz! Eine weitere Gefahr geht von den eigenen Mitarbeitern aus, meist ohne deren Wissen. Das liegt daran, dass sich viele sich um Themen kümmern, für die sie angestellt sind: Verkaufen, Entwickeln oder Personal führen. Die wenigsten erkennen Hackerangriffe überhaupt und können so die Fachleute gar nicht informieren. Also bleibt Datendiebstahl oftmals unbemerkt und man wundert sich, warum die Konkurrenz so aufgeholt hat.

Was sind die größten Fehler von Unternehmen in punkto IT-Sicherheit?

Zu glauben, dass sich niemand für einen interessiert ist ein großer Fehler. Selbst wenn man gar nicht das eigentliche Ziel ist, nutzen Hacker ungeschützte Server, um damit andere zu schädigen oder illegale Online-Shops zu betreiben. Dann noch mangelnde Kommunikation. Wenn die eigenen Mitarbeiter die Vorgaben der IT-Abteilung als Gängelei empfinden, suchen sie sich Schleichwege. Irgendwie wird man die Daten schon auf den USB-Stick bekommen, auch wenn der Anschluss gesperrt wurde. Diese selbstgemachten Schlupflöcher sind problematisch, weil sie keiner mehr kontrolliert. Deshalb muss man den Menschen die Beweggründe erklären, warum man etwas verbietet.

Die meisten deutschen Firmen arbeiten heute mit Windows oder Apple. Warum raten Sie dazu, in sicherheitsrelevanten Bereichen auf Software aus den USA zu verzichten und gibt es Alternativen?

Durch den Patriots Act sind amerikanische Firmen mehr oder weniger verpflichtet worden, Zugriffe auf Systeme zuzulassen. Was man mit so einem Zugriff machen kann, zeigt der Stuxnet-Virus. Damit wurden Geräte zerstört, indem man die Software manipuliert hat. Zentrifugen drehen einfach viel zu schnell, auf dem Kontrollmonitor wird eine langsamere Umdrehung angezeigt und irgendwann ist das Lager kaputt. Alternativen zu amerikanischen Programmen gibt es, wenn auch nicht zu Hauf. Wir haben deutsche Firewalls von genua bei München oder sichere Remote Zugangssoftware von NCP aus Nürnberg – nur um mal zwei Firmen exemplarisch zu nennen.

Welche Sicherheitsrisiken gibt es bei den neuen Medien wie Facebook, Twitter etc. ?

Einfach gesagt sind es die AGBs mit denen wir fast allem zustimmen, was unsere Daten betrifft. Machen wir uns nichts vor: Solange wir einen Vorteil haben, stört uns nichts. Wenn Facebook beispielweise alte Schulkameraden zu Tage fördert ist das System genial. Wenn aber die erste Versicherung einen Berufsunfähigkeitsschutz ablehnt, weil man nachweislich jeden Samstag mit dem Mountainbike die Schotterpisten runterbrettert, wird ein Umdenken stattfinden. Das wird früher oder später passieren, da bin ich mir ganz sicher. Cybermobbing findet ja heute auch statt und Datenschützer haben schon vor Jahren davor gewarnt – und wurden belächelt.

Sie sagen, der Mitarbeiter ist heute die größte Schwachstelle in den Unternehmen. Warum?

Weil es Menschen sind. Menschen machen Fehler, haben Emotionen und sind beeinflussbar. Eine Maschine ist das nicht. Wenn ich keinen Firmenausweis habe, geht eine automatische Türe nicht auf. Steht da ein Pförtner, kann man den vielleicht überreden oder unter Druck setzen. Solche sozialen Angriffe – Social Engineering genannt – werden unterstützt durch technische Maßnahmen wie gefälschten Telefonnummern auf dem Display oder ähnlichem. Ganz ehrlich – ich würde selbst niemals behaupten, davor gefeit zu sein.

Welche Grundregeln sollten Unternehmen beachten, um ihre Daten zu schützen?

Das kommt darauf an, wie viel einem die eigenen Daten wert sind. Allgemein gesagt, gehört ein Grundschutz her, also Sicherheitssysteme auf den Servern und auf den Rechnern. Dann halte ich eine Awareness-Schulung der Mitarbeiter für wichtig. Sie sollen lernen, wie Angriffe auf die IT oder Social Engineering aussehen, und wie sie von statten gehen. Nur dann sind sie in der Lage, diese zu erkennen und die Spezialisten aus der IT-Abteilung zu informieren. Schließlich ist alles weitere dann deren Job und man selbst kann sich wieder gemütlich zurücklehnen.