Neuerdings kapern Hacker die Unternehmens-IT über manipulierte USB-Ladekabel, Multifunktionsdrucker und Steckdosen. Ein intensiver IT-Sicherheitscheck sowie gut geschulte Mitarbeiter schützen den Betrieb.

Text: Frank Wiercks

Die it-sa ist Europas führende Fachmesse für IT-Sicher­heit. Eigentlich ein Pflicht­ter­min für alle Unternehmer, die das The­ma ernst nehmen und ihren Betrieb beziehungsweise ihre Kom­mu­nika­tion vor Angrif­f­en schützen wollen: Sie kön­nten Experten­vorträge zu aktuellen Trends der IT-Sicher­heit hören, mit Spezial­is­ten über Ver­schlüs­selung­stech­nolo­gie und die Abwehr von Cyber­at­tack­en sprechen, sich über all­ge­meine IT-Sicher­heitspakete sowie spezielle Branchen­lö­sun­gen informieren. Aber ver­mut­lich haben die meis­ten Fir­menchefs – oder ihre IT-Leit­er – wieder keine Zeit für einen Abstech­er in Fränkische, weil sie unabkömm­lich ins Tages­geschäft einge­bun­den sind: Aufträge akquiri­eren, Dien­st­pläne schreiben, Pro­duk­tion beauf­sichti­gen, Rech­nun­gen rauss­chick­en. Bleibt nur zu hof­fen, dass sie auch ohne Besuch ein­er Fachausstel­lung wie der it-sa Gele­gen­heit find­en, sich zumin­d­est im Betrieb inten­siv mit dem The­ma IT-Sicher­heit zu beschäfti­gen und ihr Fir­men­net­zw­erk gegen Attack­en zu sichern.

Eine Cyberattacke kostet kleine Betriebe über 20.000 Euro

Die nack­ten Zahlen sprechen jedoch eine andere Sprache – sie lassen ver­muten, dass das The­ma IT-Sicher­heit in vie­len Unternehmen leicht­fer­tig ignori­ert wird. Anders ist kaum erk­lär­bar, dass die Deutschen nicht nur pri­vat Ver­schlüs­selungsmuf­fel sind: Zwei Drit­tel schützen laut „Fak­tencheck: Ver­schlüs­selung“ des Secu­ri­ty-Anbi­eters ESET per­sön­liche Infor­ma­tio­nen wed­er im Inter­net noch auf Spe­icher­me­di­en mit solchen Ver­fahren. Auch jed­er zweite Betrieb hat keine durch­dachte Strate­gie für IT-Sicher­heit, son­dern betreibt nur Stück­w­erk: Geschützt wer­den einzelne Anwen­dun­gen und Sys­teme, nicht aber die IT-Infra­struk­tur als Ganzes. Sechs Prozent der Befragten kon­nten sog­ar nichts zum Sicher­heit­skonzept ihres Unternehmens sagen. Und kaum die Hälfte der Mit­tel­ständler hat laut „G Data Busi­ness IT-Secu­ri­ty Barom­e­ter 2017“ einen IT-Not­fallplan, um sofort auf einen Cyberan­griff zu reagieren. Das Ergeb­nis: Der IT-Branchen­ver­band Bitkom schätzt den jährlichen Schaden für die Wirtschaft durch Hack­er­at­tack­en auf 55 Mil­liar­den Euro und den Schaden für kleine Betriebe auf im Schnitt rund 20.000 Euro pro Angriff – das kann schnell die Exis­tenz gefährden.

Smarte Geräte werden zum enormen Sicherheitsrisiko

Tat­säch­lich wer­den umfassende, durch­dachte Konzepte für die betriebliche wie die pri­vate IT-Sicher­heit zunehmend wichtiger, da es immer mehr Angriff­spunk­te und aus­ge­feil­tere Hack­er­meth­o­d­en gibt. Dass Kred­itkar­tendat­en abge­grif­f­en oder manip­ulierte USB-Sticks als Zugang zur Fir­men-IT genutzt wer­den, ist inzwis­chen zwar einiger­maßen bekan­nt. Dass aber auch die Ver­net­zung smarter Geräte via Inter­net der Dinge an uner­warteten Eck­en zum Sicher­heit­srisiko wird, scheint vie­len noch nicht richtig klar zu sein. Dabei kön­nen Hack­er dadurch Überwachungskam­eras kapern, die eigentlich die Sicher­heit im Unternehmen oder Pri­vathaus erhöhen soll­ten, oder auch medi­zinis­che Hil­f­s­mit­tel wie Herz­schrittmach­er oder Insulin­pumpen – kaum auszu­denken, welch­er Schaden sich durch die Manip­u­la­tion dieser Medi­z­in­tech­nik anricht­en ließe.

Mitarbeiter über Methoden zum Angriff auf IT aufklären

Die Abwehr unbefugter Zugriffe auf das Unternehmen­snet­zw­erk muss darum für jeden Fir­menchef höch­ste Pri­or­ität haben, und zwar durch eine Mis­chung aus tech­nis­chen Lösun­gen und der Aufk­lärung der Mitar­beit­er, welch­es Ver­hal­ten unver­ant­wortlich ist. Zu den tech­nis­chen Schlupflöch­ern, durch die gewiefte Cyberan­greifer ins IT-Netz gelan­gen kön­nen, gehören neuerd­ings smarte Steck­dosen, die ans WLAN angeschlossen, aber nicht genug gesichert sind. Oder Mul­ti­funk­tions­druck­er, auf denen per manip­uliert­er Fax­nachricht ein Spe­icher­fehler aus­gelöst wird, der dem Angreifer den Zugang zum Fir­men­net­zw­erk eröffnet. Oder USB-Ladek­a­bel, die so mit Viren verseucht sind wie früher USB-Sticks – und entsprechend gefährlich. Ger­ade dies Beispiel zeigt, dass auch weit­er in die kon­tinuier­liche Infor­ma­tion der Beschäftigten über neue IT-Bedro­hun­gen investiert wer­den muss. Früher durfte kein unbekan­nter USB-Stick in den Rech­n­er gesteckt wer­den, jet­zt ist auch das Auslei­hen eines Ladek­a­bels während ein­er Messe verboten.

Unbedingt den IT-Sicherheitscheck von DsiN nutzen

Wer keine Gele­gen­heit hat, die it-sa zu besuchen, sollte sich also wenig­stens die Zeit nehmen, mit einem IT-Experten im eige­nen Betrieb die Sicher­heitsvorkehrun­gen zu prüfen sowie die Mitar­beit­er über das richtige Ver­hal­ten in Sachen IT-Sicher­heit zu informieren. Außer­dem ist es garantiert kein Fehler, das aktuelle Schutzsys­tem mit dem IT-Sicher­heitscheck der Ini­tia­tive „Deutsch­land sich­er im Netz“ (DsiN) zu über­prüfen. Ver­mut­lich find­en sich da schon viele Ansätze für das Gespräch mit einem Experten für IT-Sicherheit.

Bei Fra­gen sprechen Sie uns gerne an.

Quelle: www.trialog-unternehmerblog.de, Her­aus­ge­ber: DATEV eG, Nürnberg