Es gibt keine 100-prozentige Sicherheit – doch durch das Ignorieren selbst einfachster Sicherheitsgrundlagen öffnen Unternehmen Hackern und anderen Internet-Kriminellen Tür und Tor. Vor allem der kriminelle Einsatz von Ransomware, mit der Unternehmensdaten gesperrt werden, um Lösegelder zu erpressen, ist schon fast an der Tagesordnung. Und: Immer öfter geraten in Deutschland klein- und mittelständische Unternehmen in das Visier der Kriminellen. Mit diesen erschreckenden Tatsachen wollten die Gastredner des IT-Sicherheitstages des „Wissen schafft Erfolg“-Projekts der Hammer Wirtschaftsförderung IMPULS die Teilnehmenden aufrütteln. Was auch gelang, denn nach der Veranstaltung suchte ein Großteil der knapp 60 Teilnehmenden noch das Gespräch mit den eingeladenen IT-Experten.
Vorreiterfunktion für Hochschulen
Warum die Hochschule genau der richtige Ort für einen IT-Sicherheitstag ist, erläuterten Hochschul-Präsidentin Kira Kastell und Gregor Hohenberg, Leiter der Stabsstelle für Digitalisierung und Wissensmanagement an der HSHL. Denn Hochschulen werden wie auch klein- und mittelständische Unternehmen immer öfter Opfer von Hackerangriffen. Waren es 2019 gerade einmal drei betroffene Universitäten, waren es im vergangenen Jahr schon 13. Und die bisherigen Fallzahlen lassen für 2023 Schlimmes befürchten. „Wir Hochschulen müssen uns also besser schützen – zum Beispiel durch ein ISMS, ein Informationssicherheitsmanagementsystem“, erläuterte Professor Hohenberg. „Dabei müssen wir aber – genau wie Unternehmen – gleichzeitig agil und flexibel sein. Und als Einrichtung für Forschung und Lehre haben wir eine Vorreiterfunktion. Was wir tun und an technischen Innovationen entwickeln, kann von den Studierenden in die freie Wirtschaft getragen werden.“
Und beim Ist-Zustand von Unternehmen im Bereich der IT-Sicherheit kann einen schon das Gruseln packen. Arbnor Memeti von DIGITAL.SICHER.NRW, dem Kompetenzzentrum für Cybersicherheit in der Wirtschaft. DIGITAL.SICHER.NRW bietet –gefördert vom Land NRW – kostenfreie Beratungen und Erste Hilfe für Unternehmen an und hat damit tiefgreifende Einblicke in unternehmenseigene IT-Sicherheit. „Von ‚dafür haben wir keine Zeit‘ über die Unkenntnis, welche Programme überhaupt genutzt werden bis hin zum blinden Vertrauen auf den IT-Dienstleister erleben wir tagtäglich gravierende Mängel in der IT-Sicherheit von Betrieben“, erläutert Arbnor Memeti.
Auch die WhatsApp-Nutzung durch Angestellte oder gleiche Passwörter für alle Mitarbeitenden sind quasi wie eine Einladung an Kriminelle. Und deren Möglichkeiten, Schaden anzurichten, sind praktisch unbegrenzt. Das reicht über das Abgreifen von persönlichen Daten der Mitarbeitenden bis hin zum Sperren ganzer Systeme, um Lösegeld zu erpressen. Arbnor Memeti konnte die Anwesenden gar nicht oft genug darauf hinweisen, dass die Gefahr für JEDES Unternehmen absolut real ist – „wer mit Daten arbeitet – und das tun wir alle – ist gefährdet!“
Ransomware
Dem konnte Tim Rediske von G Data Advanced Analytics, nur zustimmen. Er widmete sich in seinem Vortrag vor allem dem Thema „Ransomware“. Diese Schadsoftware infiltriert zum Beispiel über das Mailprogramm die Unternehmenssoftware und macht Daten unleserlich. Im Schnitt zahlten Unternehmen in Deutschland 2021 255.000 Euro Lösegeld, doch nur 64 Prozent der betroffenen Unternehmen bekamen daraufhin wieder Zugriff auf ihre Daten.
„Oberstes Gebot, um sich zu schützen, sind kontinuierliche System-Updates. So können bereits 80 Prozent aller Angriffe abgewehrt werden“, erklärt Rediske. Dieses sogenannte „Patchen“ (deutsch Flicken) stopft Sicherheitslücken, behebt Programmfehler und verhindert so den Erfolg von Malware-Angriffen. Im Falle eines Falles sollte aber auch ein Back-up-System helfen, Schäden zu minimieren, segmentierte Netzwerke können Schäden ebenfalls eingrenzen. Sinnvolle Passwörter mit mindestens 12 Zeichen, Privilegien nur für einzelne Mitarbeitende oder eine 2-Faktor-Authentifizierung helfen außerdem, das Eindringen von Viren oder Späh-Software zu erschweren.
So richtig erschreckend wurde es dann im letzten Teil der Veranstaltung: dem Live-Hacking. Chris Wojzechowski, Geschäftsführer von AWARE7, nahm die Zuhörerinnen und Zuhörer mit auf eine Reise auf die finstere Seite des Internets. Der IT-Experte verfügt dank Zertifizierung über die „Lizenz zum Hacken“ und zeigte, wie einfach es ist, eine virusbelastete, aber sonst völlig unverfängliche Mail zu platzieren.
Über frei zugängliche Seiten konnte der IT-Experte nicht nur Personen, deren Mailadresse und Passwörter recherchieren, sondern kam darüber auch direkt auf die Seite eines mittelständischen Transportunternehmens, deren Sicherheitszertifikat abgelaufen war. Ein Zufallsfund, der aber gerade bei Klein- und Mittelständlern laut Chris Wojzechowski viel zu häufig vorkommt. Und damit war auch anschaulich erklärt, warum gerade klein- und mittelständische Betriebe immer öfter Opfer von Ransomware werden.
Eine falsche Mailadresse, eine falsche Domain, sogar das passende Virus – alles ist frei im Internet verfügbar. So hätte es Chris Wojzechowski gelingen können, über die Mailadresse für Bewerbungen, eine mit einem Virus infizierte aber sonst völlig unauffällige und nicht nachverfolgbare Bewerbung einzuschleusen. Selbst der Anruf im Unternehmen mit der Telefonnummer eines Mitarbeitenden wäre ohne größere Probleme möglich.
Und die Lösung?
Und die Lösung? Sie kann sicher nicht „Ich nutze nie wieder einen Computer“ sein – auch wenn man das nach einem solchen Vortrag unwillkürlich denkt. Die Lösung liegt darin, sich aktiv dem Problem zu stellen und die IT-Sicherheit in den Blick zu nehmen. Schon einfache Maßnahmen wie regelmäßige Updates, ein sinnvolles Passwortmanagement und ein stets aktuell gehaltenes Backup helfen, das Schlimmste zu verhindern.
Die Veranstaltung war Teil des Projekts „Wissen schafft Erfolg“. Dieses wird gefördert durch Mittel der Europäischen Union und des Landes NRW.
