Der Mensch als Schwachstelle in IT-Systemen Wenn Mitarbeiter die Sicherheit gefährden
Stuttgart/Köln · Unternehmen geraten vermehrt ins Visier von Hackern. Die größten Schwachstellen in den firmeneigenen IT-Systemen sind in den meisten Fällen die Angestellten. Sie sind häufig nicht ausreichend auf die Gefahren im Internet vorbereitet.
Plötzlich ließ sich der Hochofen nicht mehr steuern: Über das Büronetzwerk eines deutschen Stahlwerks hatten sich Angreifer bis in die Produktionsnetze vorgearbeitet – und nahmen Einfluss auf die Steuerung der Anlage. Diese Hackerattacke sorgte vor einigen Jahren für Schlagzeilen. Massive Schäden waren die Folge, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Bericht über den Angriff dokumentiert hat.
Dieses Beispiel zeigt, dass Firmen in Zeiten zunehmender Vernetzung über das Internet immer verwundbarer werden. Das nimmt Unternehmen in die Pflicht, ihre IT-Infrastruktur entsprechend zu schützen. Dabei müssen sie unbedingt ihre Mitarbeiter einbinden. „Das größte Einfallstor stellt aus meiner Sicht der Mensch dar“, sagt Ingo Legler, IT-Sicherheitsexperte bei Dekra.
Auch bei dem viel beachteten Zwischenfall in dem Stahlwerk setzten die Angreifer bei den Mitarbeitern an. Sie gingen gewieft vor – mit zwei Methoden. Zum einen schickten sie Phishing-E-Mails an bestimmte Mitarbeiter. Phishing ist eine englische Wortkomposition, die sich mit „abfischen“ übersetzen lässt. Mit gefälschten Internetseiten oder E-Mails wird versucht, Zugangsdaten abzugreifen. Häufig sähen diese manipulierten Inhalte täuschend echt aus, so das BSI.
Zum anderen nutzen die Angreifer die Auskunftsfreudigkeit einzelner Mitarbeiter aus. Im Fall des Stahlwerks sei das „ausgefeilt“ angewendet worden, sagt das BSI. Manchmal funktioniert diese Methode schon, wenn sich Hacker am Telefon als Techniker ausgeben und nach bestimmten Zugangsdaten fragen.
Die Zeiten, in denen dubiose E-Mails an ihren zahlreichen Rechtschreibfehlern oder unglaubwürdigen Betreffzeilen erkennbar waren, sind vorbei. Weil im Internet immer mehr persönliche Informationen abrufbar seien, werde die Ansprache präziser, sagt Ingo Legler. An dieser Stelle hilft eine gesunde Portion Skepsis gegenüber Anfragen von vermeintlichen IT-Mitarbeitern, die nach Zugangsdaten fragen – und ein Anruf beim Vorgesetzten, wenn man von der Maßnahme nichts weiß. Allerdings lässt sich auch so nicht jede Falle identifizieren. „Ein immer größeres Risiko sind die sogenannten Drive-by-Downloads“, sagt Legler. Von manipulierten Internetseiten werden dabei Sicherheitslücken im Browser oder in dessen Zusatzprogrammen (Plug-ins) ausgenutzt. Schutz dagegen bietet nur, den Browser sicher zu konfigurieren. „Dabei kann im Büro die IT-Abteilung helfen.“
Doch nicht nur über das Internet drohen Gefahren für das Firmennetzwerk. Auch USB-Sticks oder externe Festplatten, die Beschäftigte an ihren PC schließen, können Schadsoftware enthalten. Viele Unternehmen verbieten das bereits, doch nicht alle. Legler rät Mitarbeitern hier generell zur Vorsicht. Auch wenn man die Speichermedien problemlos am heimischen Computer genutzt habe, könne sich Schadsoftware auf ihnen verstecken.
In Zeiten der Digitalisierung überrascht es, dass es immer noch Unternehmen ohne jegliche IT-Regeln gibt. Das geht zumindest aus einer Forsa-Umfrage im Auftrag von Dekra unter Beschäftigten hervor, die beruflich am PC arbeiten. Zwölf Prozent gaben an, dass es für sie gar keine Vorgaben gebe. Rund ein Drittel hat nach eigenen Angaben IT-Regeln zu befolgen. Doch auf deren Einhaltung werde nicht genau geachtet. 48 Prozent der Befragten gaben an, zum Thema IT-Sicherheit überhaupt nicht geschult worden zu sein.
Aus Sicht von Legler sollten Beschäftigte schon während der Einarbeitung sensibilisiert werden, welche Regeln dazu in der Firma gelten. Etwa zu Fragen wie: „Worauf hat man Zugriff, welche Dokumente darf man bearbeiten?“ Wer IT-Regeln nicht explizit erklärt bekommt, sollte im Zweifel selbst danach fragen.
Klare Weisungen können zum Beispiel in Aushängen oder Betriebsvereinbarungen festgehalten sein. Wer dagegen verstoße, riskiere Abmahnungen und in extremen Fällen sogar Kündigungen und Schadenersatzforderungen, sagt die Kölner Arbeitsrechtlerin Nathalie Oberthür. „Wenn die Weisungslage nicht klar ist, ist es für das Unternehmen natürlich schwieriger, Sanktionen auszusprechen.“
IT-Regeln sind nicht alles, viele Probleme lassen sich mit gesundem Menschenverstand vermeiden. Oberthür schildert ein Beispiel: Ein Mitarbeiter, der „bewusst im Internet auf dubiosen Seiten herumsurft und sich dort einen Virus einfängt, der das Firmennetzwerk schädigt“, könne für grob fahrlässiges Verhalten Konsequenzen zu erwarten haben. Wie so oft kommt es auf den Einzelfall an. So sei etwa der Klick auf eine manipulierte E-Mail im hektischen Alltag wohl allenfalls einfach fahrlässig. Für einen Schaden könnte der Mitarbeiter dann nicht haftbar gemacht werden.
Firmen dürfen auch verbieten, Fotos vom Arbeitsplatz in sozialen Netzwerken zu veröffentlichen. Denn solche Details könnten Cyber-Kriminellen Anhaltspunkte liefern, etwa über die Art der Telefonanlage, erklärt Ingo Legle.
Eine Grundregel gebe es dagegen überall: Wer seinen Arbeitsplatz verlässt, sollte stets den PC sperren – damit niemand anders darauf zugreifen kann.
