Experten-Interview: Cyber Security für Unternehmen

Cybersicherheit ist für jedes Business wichtig

exali:
Das Datenschutzkontor möchte insbesondere kleine und mittelständische Unternehmen auf die zunehmenden Bedrohungen durch Cyberkriminalität vorbereiten und dafür sensibilisieren. Wie gelingt das?

Stefan Köster:
Durch viel Erfahrung. Ich betreibe das Datenschutzkontor gemeinsam mit meinem Geschäftspartner Andreas Bethke. Wir sind beide Informationssicherheits- und Datenschutzbeauftragte. Wir haben viele Kundinnen und Kunden - von kleinen Unternehmen mit zwei Mitarbeiter:innen bis hin zur großen Firma mit 1.000 Angestellten – da haben wir schon Einiges erlebt. Wir haben nicht nur Angriffe bei den Kundinnen und Kunden gesehen, sondern auch etliche Anbieter:innen kennengelernt, die Schulungen zum Thema Cyber Security durchführen. Es geht also um die Herausforderung: Wie werden diese Angriffe durchgeführt und wie kann man für dieses Thema sensibilisieren?

Wir haben uns überlegt: Wir wollen das anders machen - ohne erhobenen Zeigefinger und ohne auf den Nutzer:innen herumzuhacken. Denn woher sollen die Leute das auch wissen? Dementsprechend ist es uns wichtig zu zeigen, wie Angriffstechniken funktionieren und was wirklich bei den Benutzer:innen ankommt. Wie nimmt sie/er zum Beispiel eine E-Mail wahr, mit der eventuell eine Phishing-Attacke gestartet wird?

Wir verzichten dabei auf übermäßig technische Hintergründe. Es ist  zum Beispiel für eine:n Mitarbeiter:in in der Buchhaltung völlig egal, ob es sich um eine Ransomware handelt, hinter der ein Verschlüsselungstrojaner steckt oder ein Wurm, der sich durch das Unternehmen frisst. Das interessiert hier gar nicht. Wir wollen Technik und Komplexität aus dem Thema herausnehmen und außerdem – das ist für uns selbst auch wichtig – dass das Ganze Spaß macht. Und ja, das geht auch bei Cyber Security- und Awareness-Trainings. Das ist unsere Intention und ich glaube das gelingt uns inhaltlich ganz gut.

Natürlich ist das Thema für Unternehmen gerade im Bereich der kritischen Infrastruktur besonders wichtig, denn einige von ihnen sind sogar gesetzlich verpflichtet, Informationssicherheits- und Awareness-Trainings für ihre Mitarbeiter:innen anzubieten, um Risiken zu reduzieren.

Schulungen aus dem Berufsalltag

exali:
Sie haben gesagt, das Ganze soll Spaß machen. Wie schaffen Sie das?

Stefan Köster:
Wir haben zu Schulungszwecken eine fiktive Firma geschaffen -die Krause Energie AG. In den Schulungsvideos begleiten die Kundinnen und Kunden die Protagonist:innen (also die fiktiven Mitarbeiter:innen der Firma) bei ihren Erlebnissen und erhalten so einen guten Einblick in das Thema Cybersicherheit.

Unsere Trainingsvideos sind dabei nach folgendem Schema aufgebaut:

• Kurze Videos mit einer Dauer von etwa drei bis fünf Minuten
• Klare Gliederung in zwei Teile: Eine Geschichte, in der ein Cyberangriff stattfindet und am Ende eine Erklärung, was die Zuschauer:innen aus dieser Angriffstechnik lernen und worauf sie in Zukunft achten sollen.

Es gibt also eine kleine Story, die einen Angriff erklärt und ein Learning, wie man eine Attacke in Zukunft hoffentlich vermeiden kann. Das wird natürlich nicht immer klappen, aber wir streben eine sukzessive Verbesserung an.Die Menschen in unseren Filmen sind Schauspieler:innen, wir haben ein Kamerateam und wir schreiben Texte dazu – das sind immer sehr lustige Produktionen, die viel Spaß machen. Und das ist ja auch wichtig.

Die beste Cybersicherheit für Unternehmen, sind geschulte Mitarbeiter:innen

exali:
Die Mitarbeiter:innen eines Unternehmens sind meist das größte Einfallstor für Cyberattacken. Wie kann ich bei ihnen dafür ein Bewusstsein schaffen, und das im Idealfall so, dass sie dauerhaft anhält?

Stefan Köster:
Unternehmen behelfen sich im Bereich Cyber Security in erster Linie mit vielen technischen Maßnahmen. Sie bauen eine Firewall auf, installieren Antiviren-Scanner, schützen ihre Anmeldeprozesse…hier lassen sich beliebig viele Vorkehrungen treffen. Den Angriffen, über die wir hier sprechen, ist nur mit Technik aber gar nicht beizukommen. Denn wie bei einem Schweizer Käse gelingt es zum Beispiel der einen oder anderen Phishing-Mail doch, durch diese Sicherheitsschranken hindurch zu schlüpfen – und bei den User:innen zu landen.

Das Hauptrisiko sind dabei die Angriffe, die ganz gezielt auf bestimmte Firmen zugeschnitten sind. Denn Cyberkriminalität bedeutet schon lange nicht mehr, dass irgendwo ein:e lichtscheue:r Teenager:in im Kapuzenpullover im dunklen Kämmerlein sitzt. Es handelt sich heute um professionell organisierte Firmen mit einer Personalabteilung, die Leute einstellt und entlässt. Die „Mitarbeiter:innen“ kommen um acht zur Arbeit, machen Mittagspause und um 16 Uhr gehen sie in den Feierabend – so funktioniert heute Cyberkriminalität.

Diese Organisationen sind aufgebaut wie ein Callcenter in dreistufigen Strukturen. Am Beginn stehen diejenigen, die die Attacken starten. Bei komplexeren Aktionen kommen in der zweiten Stufe weitere personelle und technische Ressourcen hinzu und die dritte Ebene kümmert sich im Anschluss darum das Geld, zum Beispiel von Erpressungen, einzutreiben. Das heißt: Hacker:innen arbeiten nicht willkürlich, sondern greifen ganz präzise die Unternehmen an, die sie für erfolgversprechende Ziele halten (auch im Rahmen der aktuellen politischen Lage).

Hier landen wir dann schnell im Bereich des Social Engineering. Deshalb versuchen wir bei den Mitarbeiter:innen gefährdeter Unternehmen Awareness dafür zu schaffen, dass es nicht nur etwa auf die Phishing-Mail ankommt, sondern auch darauf, was sie in ihrem privaten Umfeld tun. Wie zeigen sie sich zum Beispiel in den sozialen Medien? Denn genau das sind typische Quellen für Cyberkriminelle, wenn es darum geht, zielgerichtet einzelne Leute innerhalb eines Unternehmens zu attackieren. Deshalb ist es so wichtig, dass diese Awareness in Bezug auf Geschäftliches und Privates auch wirklich überall vorhanden ist und dass jeder/jedem bewusst ist, wie solche Attacken aussehen.

Cyber Security braucht ständige Awareness

Ein weiteres Problem besteht darin, dass Unternehmen in der Regel einmal im Jahr eine Schulung zum Thema Cybercrime veranstalten. Da werden dann alle Leute in Präsenz oder online zusammengetrommelt und gezwungen, diese Schulung wahrzunehmen. Was passiert? Man sitzt eine Stunde in einer Schulung und fragt sich, ob das Thema denn wirklich so wichtig ist. Zwar hoffen alle Beteiligten darauf, möglichst viel aus so einer Schulung mitzunehmen, doch im Alltag vergisst man das Gelernte beinahe sofort wieder, die Lernkurve sinkt und die Awareness der User:innen verschlechtert sich stetig – und das schon kurz nach der Schulung!

Deshalb gehen wir die Sache etwas anders an: Unseren Kundinnen und Kunden bieten wir ein Paket mit zwölf Filmen. Die/Der Zuschauer:in bekommt jeden Monat einen Film mit einer Länge von drei bis fünf Minuten. Diese Dauer lässt sich auch noch sehr gut in den Arbeitsalltag einbauen. Auf diese Weise steigt das durchschnittliche Awareness-Level über das gesamte Jahr gesehen wesentlich höher, da die Zuschauer:innen Monat für Monat mit der Thematik konfrontiert werden und im Idealfall jedes Mal einen neuen Aspekt von Cyberkriminalität betrachten.

Wir setzen dabei nicht nur auf die klassischen Angriffs-Learning-Schulungen, sondern wollen die Lernerfahrung künftig auch in eine Gesamtstory einbetten. Die Nutzer:innen sollen den Geschäftsführer unserer fiktiven Krause Energie AG über das ganze Jahr begleiten, im Rahmen einer Story an seinen Erlebnissen teilhaben und so Lust auf die nächste Folge bekommen. Es hat den Charakter einer Vorabendserie.

exali:
Sie haben es bereits erwähnt – Frontalunterricht langweilt die meisten Leute unheimlich schnell. Zumal bei solchen Veranstaltungen viele verschiedene Charaktere zusammenkommen. Die alle gleichermaßen zu begeistern ist alles andere als einfach. Wie sensibilisieren Sie Mitarbeiter:innen ohne sie dabei zu Tode zu langweilen?

Stefan Köster:
Wir reduzieren die Komplexität. Statt komplizierte Vorgänge durchzukauen,  vermitteln wir eine spaßige Geschichte, die Aufmerksamkeit und Bindung schafft und die man zusätzlich wie eine Vorabendserie über das ganze Jahr verfolgen kann. Wir haben uns damals vom Produktionsteam eine Serie im Stil von Stromberg gewünscht. Unser fiktiver Geschäftsführer der Krause Energie AG ist immer etwas unsicher, vermittelt aber auf eine charmante und persönliche Art die Inhalte, die wir letztendlich auch den Zuschauer:innen weitergeben wollen. Ich bin überzeugt davon, dass das auch wirklich Spaß in die Sache bringt und diese Resonanz erhalten wir ebenfalls von unseren Kundinnen und Kunden. Die Leute sehen sich diese Filme gerne an, weil sie professionell produziert sind, über eine unterhaltsame Story verfügen und auch inhaltlich gut aufbereitet sind. Das halte ich für einen großen Vorteil gegenüber anderen Anbieter:innen.

Cybersicherheit – auch für Lieferketten

exali:
Wir kamen vorhin auf das Thema Social Engineering zu sprechen. Angriffe in diesem Bereich finden immer häufiger und leider auch oft mit großem Erfolg statt – was auch daran liegt, dass der Schutz vor Cybercrime bei vielen Unternehmen an der eigenen Haustür endet. Gerade Lieferketten werden bei Sicherheitsmaßnahmen immer wieder außer Acht gelassen, es kommt zu sogenannten Supply-Chain-Attacken. Welchen Bedrohungen setzen sich Unternehmen hier aus und wie kann man ihnen vorbeugen?

Stefan Köster:
Genau aus diesem Grund richten wir unser Angebot auch an Freelancer:innen. Bei einem amerikanischen Einzelhandelsunternehmen fand vor einigen Jahren ausgerechnet am umsatzstarken Black Friday eine Cyberattacke statt. Die Hacker:innen haben dabei unzählige Kreditkartendaten erbeutet und dem Unternehmen einen Schaden von 220 Millionen Dollar beschert. Und das, obwohl die Firma selbst sehr gut gegen Cyberkriminalität geschützt war und das Thema quasi in ihrer DNA verankert hatte! Der Hack erfolgte über einen Dienstleister, nämlich den Klimaanlagenbauer. Der musste für Wartungsarbeiten natürlich per Netzwerkzugang auf die einzelnen Klimaanlagen zugreifen. Und auf diesem Weg haben sich die Kriminellen Zugang verschafft anstatt den großen Einzelhändler direkt anzugreifen.

Dieser Supply-Chain-Angriff zeigt ganz deutlich, dass niemand – auch große Unternehmen Cyber Security nicht mehr allein leisten können. Das heißt Firmen müssen darauf achten, dass auch Zuliefer:innen ein Mindestmaß an Sicherheitsmaßnahmen umgesetzt haben. Denn innerhalb der Lieferkette ist die- beziehungsweise derjenige das schwächste Glied, die/der sich am angreifbarsten macht. Ich hatte bereits eingangs erwähnt, dass es sich bei Angreifer:innen längst nicht mehr nur um einzelne Personen, sondern um komplette Callcenter handelt. Deren Angriffe erfolgen nicht einfach auf gut Glück und wenn sie bei einem Unternehmen keinen Erfolg haben, dann ziehen sie weiter. Kriminelle sind mittlerweile imstande ihre Attacken über vier oder fünf Stufen doch noch erfolgreich zum Ziel zu führen.

Cyberschulungen als Zertifikat

Das zeigt sich auch im Automotive-Umfeld. Dort gibt es ein Zertifikat namens TISAX. Diese Zertifizierung gibt an, dass die/der Dienstleister:in der/des Automobilhersteller:in ein Mindestmaß an Cybersicherheit nachweisen kann. Die Auotmobilhersteller:innen haben nämlich längst festgestellt, dass sie diese Sicherheit alleine nicht gewährleisten können und auch ihre Lieferkette dazu verpflichten müssen. Ich bin der festen Überzeugung, dieses Vorgehen wird nicht im Automotive-Bereich bleiben – diese Situation betrifft jede:n und wird künftig auch für die/den einzelne:n Freelancer:in, Start-ups oder kleine Handwerksbetriebe eine Rolle spielen.

Deshalb haben wir vor Kurzem entschieden, dass wir ein Self-Service-Portal zur Verfügung stellen werden, in dem auch Freelancer.innen und kleine Unternehmen ein Schulungspaket buchen können, damit sie nachweisen können: „Wir haben uns mit diesem Thema auseinandergesetzt“. Das ist ein wichtiger Weg. Denn die großen Unternehmen wollen vor allem vermeiden, dass sie Bußgelder bezahlen müssen und dass ihre Reputation leidet. Das ist fast noch teurer als die Bußgelder, die man meist noch irgendwie auffangen kann. Aber ein Reputationsschaden ist mit das größte Risiko für Firmen. Deswegen möchten Freelancer:innen, wie ich ja auch selber einer bin, nicht dafür verantwortlich sein, dass ihre Kundschaft gehackt wurde. Wenn wir diese Denkweise möglichst vielen Freelancer:innen vermitteln, wird die ganze Welt ein bisschen sicherer und die „bösen Jungs“, die uns so viel Ärger machen, haben es etwas schwerer.

Cybersicherheit ist für jedes Unternehmen möglich

exali:
Wenn Sie neu mit einem Unternehmen zusammenarbeiten: Haben Sie ein paar Tipps, die für jede:n umsetzbar sind, um sich gegen Cyberkriminalität zu schützen?

Stefan Köster:
Wenn ich jeder/jedem nur eine Sache aus dem Maßnahmen-Baukasten der Cybersecurity ans Herz legen könnte, dann wäre das die Multi-Faktor-Authentifizierung. Das ist tatsächlich eine hervorragende Möglichkeit, um Angriffe erheblich zu reduzieren. Denn Angreifer:innen haben es primär auf Zugangsdaten wie Benutzernamen und Passwörter abgesehen. Entweder sie eignen sich zum Beispiel innerhalb eines Unternehmens immer höhere Berechtigungen an, oder sie bewegen sich erst einmal „seitwärts“ auf einer Ebene durch unterschiedliche Accounts bis sie sich die angestrebten Zugangsdaten ergaunert haben und schließlich die Daten stehlen können, die sie haben wollen.

Die Multi-Faktor-Authentifizierung ist gerade im Onlinebanking nichts Ungewöhnliches. Dort ist es ganz üblich, dass ich eine Transaktion noch einmal separat über eine App freigebe. Und genau diesen Prozess kann ich für alle meine Accounts aufsetzen. Das geht für Microsoft, Amazon, Google, Facebook – also egal welche Dienste ich habe. Deshalb meine Empfehlung: Nutzen Sie die Multi-Faktor-Authentifizierung.

Ansonsten hilft vor allem das Übliche: Aktuelle Updates, Virenscanner und auch Dinge hinterfragen. Wenn ich zum Beispiel eine E-Mail bekomme, sollte man innehalten und überlegen, ob die Inhalte tatsächlich plausibel sind. Es gibt recht eindeutige Merkmale an denen man erkennen kann, ob es sich um eine Phishing-Mail handelt. Dazu gehören zum Beispiel E-Mails von unbekannten Absender:innen. ABER: auch bekannte Absender:innen sind nicht unbedingt ein Sicherheitsmerkmal –so etwas kann ein:e Cyberkriminelle:r ebenfalls fälschen. Deshalb empfehle ich ein gesundes Misstrauen.

So ein Erlebnis hatte ich letztens selbst: ich wusste, dass ein Kunde plante, für mich in seinem System einen Account anzulegen. Ich bekam eine entsprechende E-Mail, in der ich Benutzername und Passwort eingeben sollte. Diese Mail kam allerdings völlig aus dem Nichts eine Woche später, sodass ich mich gefragt habe: Stammt das wirklich von meinem Kunden? Es gab nichts, das darauf schließen ließ, dass diese Mail wirklich von ihm gesendet wurde. Also habe ich das Ganze hinterfragt und dann entschieden: Ich lösche das. Wenn die Nachricht von meinem Kunden stammt, wird er sich schon melden.

Seien Sie also lieber etwas vorsichtiger, hinterfragen Sie Dinge. Es gibt mittlerweile wesentlich fiesere Maschen als den nigerianischen Prinzen, der einem fünf Millionen Dollar vererben möchte. Die Attacken sind sehr perfide, daher ist ein hohes Maß an Vorsicht angebracht. Deswegen sorgen Sie für eine Multi-Faktor-Authentifizierung, aktuelle Virenscanner und Firewalls und hegen Sie ein gesundes Misstrauen gegenüber den Dingen, mit denen Sie tagtäglich konfrontiert sind.