Raubrittern und Spionen trotzen

Sollen die Gehälter der Geschäftsführer und der Abteilungsleiter offengelegt werden? Die Frage ging per Mail an alle Mitarbeiter eines Unternehmens für Netzwerkbauteile. Klare Sache. Wollte man schon immer mal wissen. Überhaupt, wahrscheinlich überbezahlt, die Chefs. Viele drückten den „Ja“-Knopf in der Mail. Wäre das Ganze nicht ein Test der Sicherheitsabteilung gewesen, hätte der Klick Cyberkriminellen Zugang zum System des Unternehmens geben können. Die Firma stellt sicherheitsrelevante Teile für Computernetze her. Der Fall zeigt, dass sich selbst Mitarbeiter austricksen lassen, die täglich mit sensiblen Geräten zu tun haben und entsprechend sicherheitsbewusst sind. Das hätte teuer werden können.

Das deutsche Unternehmen, das ungenannt bleiben soll, ist nicht allein mit seinen Sicherheitslücken. Immer wieder werden Fälle bekannt, in denen Cyberkriminelle Unternehmen lahmlegen, weil sie die Daten verschlüsselt haben und Lösegeld fordern. Im Zuge des russischen Angriffs auf die Ukraine kommen vom Aggressor gesteuerte Angriffe über das Netz noch hinzu. Der Branchenverband Bitkom bezifferte den Schaden für die deutsche Industrie für 2022 auf 203 Milliarden Euro. Was tun, um sich zu schützen?

Drei Strategien bieten sich an: Das Unternehmen datentechnisch einmauern, die Mitarbeiter schulen und Diebstahl uninteressant machen. Manches ist einfach, anderes kostet viel Geld – und das können sich kleine und mittlere Unternehmen nicht immer leisten. Nichts zu tun, ist fahrlässig. „Cybersicherheit ist keine Option, sondern Notwendigkeit“, sagt Jannik Schumann vom Beratungsunternehmen Basec. Er hat reichlich Erfahrung, baute er doch die Sicherheitsarchitektur des Online-Wertpapierhändlers Trade Republic mit auf. Die Optionen im Überblick:

• Einmauern: Hierzu zählen Zugangsbeschränkungen zum System, eventuell gegliedert nach Abteilungen, Passwörtern, Computersteckkarten. Antivirenschutzprogramme gehören dazu, wobei Cyberkriminelle inzwischen aufwendiger vorgehen. Sie versuchen, sich Zugang zum Unternehmensnetz zu verschaffen, und nisten sich oft erst einmal ein, nur um später zuzuschlagen, etwa die Daten zu sperren und Lösegeld zu verlangen. Oder sie ziehen unbemerkt und langsam Daten ab oder spionieren. Der zweite Schutzwall sind deshalb Programme, die Anomalien im eigenen System erkennen und rechtzeitig warnen.

• Mitarbeiter schulen: Selbst Unternehmen, die ihre Sicherheitskette recht gut im Griff haben, deren Server geschützt sind und die über die technische Kompetenz im Haus verfügen, können Probleme bekommen. Denn es hängt immer am Mitarbeiter. „Der Mensch ist das schwächste Glied“, sagte Schumann. Zwang hilft nicht, einmauern nur bis zu einem gewissen Grad. Nur mittels Information und Sensibilität sei mehr Sicherheit möglich. „Zehn verschiedene Passwörter braucht niemand. Das ist eher falsch und kontraproduktiv“, sagt Schumann. Auch lange Passwörter, die als besonders sicher gelten, empfiehlt er nicht. „Passwörter mit zwölf Zeichen oder mehr kann sich kaum jemand merken, vor allem wenn man mehrere Passwörter hat. Also schreibt man sie auf, speichert sie womöglich online, was man auf keinen Fall tun sollte.“ Gefährlich auch: dasselbe Passwort für den Betriebszugang und privat für einen Online-Shop zu verwenden. „Wenn es ein kleiner Shop ist und der gehackt wird, kann es sein, dass die Täter auch Zugang zum Betriebsaccount bekommen“, warnt Schumann.
Die Zukunft sieht er nicht in Passwörtern, sondern in Mehrfachauthentifizierung. Viele Konzerne sind so weit, bekannt ist es meist vom Online-Banking. Ein Faktor ist die Anmeldung mit Name und Passwort, der zweite die Eingabe einer Nummer, die per SMS auf ein Smartphone geschickt wird, der dritte die Freigabe per Fingerabdruck oder Gesicht am Smartphone.

• Diebstahl uninteressant machen: Das wichtigste Gut eines Unternehmens sind meist Daten, ob das Konstruktionszeichnungen sind, Kundendaten oder Kontoinformationen. Nur wenn sie ungeschützt vorliegen, können Diebe etwas damit anfangen. Sind die Daten verschlüsselt, sind sie für Kriminelle wertlos. Es lohnt sich dann nicht, durch die Cyberschutzmauern und über die Mitarbeiter ins Unternehmen einzudringen, denn es gibt nichts Wertvolles zu stehlen. Hier setzt zum Beispiel Comforte aus Wiesbaden an. Die Technik des Unternehmens verwandelt Klardaten in sogenannte Token. Stark vereinfacht ausgedrückt: Die Daten der Kreditkarte von Susanne Müller werden in sinnlose Zeichen umgewandelt. Diese sind weiterhin nur ihr zuzuordnen und können auch verschlüsselt genutzt werden. Außerdem hat ein Token die Form der Ausgangsdaten: Die verschlüsselte Kundenummer hat genauso viele Stellen wie die unverschlüsselte. Bezahlt Frau Müller per Karte an der Tankstelle, werden ab dem Terminal nur noch Token verschickt und verarbeitet. Die Klardaten sind nicht nötig – auch bei weiterer Nutzung und Speicherung in der Cloud.

Die Technik der Wiesbadener nutzen Mastercard und Visa sowie der US-Handelsriese Macy’s. Doch sie ist nicht auf Zahlungsverkehr beschränkt. „Das Konzept ist unabhängig davon, um welche Daten es sich handelt: Mail-Adressen, Währungen, Kontonummern, Messergebnisse“, sagt Comforte-Chef Michael Deissner. Wer jetzt denkt, die Verschlüsselung der Daten reiche, liegt falsch. „Man braucht auch andere Maßnahmen. Nur im Zusammenspiel reicht der Schutz“, sagt Deissner. „Wenn alles in einer Wohnung gesichert ist, lassen Sie dennoch nicht die Tür auf.“

Ein weiterer Vorteil: Token schützen bis zu einem gewissen Grad auch vor Cyberkriminellen im eigenen Haus, unzufriedenen Mitarbeitern oder Kollegen, die gehen und noch schnell Interna mitnehmen wollen. Denn nicht jeder hat die Berechtigung, um Token in Klardaten zu verwandeln. In der Regel sind weitere Sicherheitsabfragen eingebaut. Und bei Zugriffen zu ungewöhnlichen Zeiten oder an unüblichen Stellen wird automatisch gewarnt.

Daten direkt zu verschlüsseln, wird aus Sicht des Comforte-Chefs wichtiger, weil die Datenströme durch das Internet der Dinge zunehmen, in dem der Kühlschrank bei Amazon selbsttätig nachbestellt oder das Auto mit der Werkstatt kommuniziert. „Solche Datenströme sind mit herkömmlichen Methoden nicht schützbar“, sagt Deissner. Zumal es zwischen Kühlschrank und Amazon überall Schnittstellen gibt, an denen Täter eindringen könnten.

Ist das alles eher etwas für Großkonzerne, weil es für kleine und mittelgroße Betriebe zu teuer oder kompliziert ist? Basec-Chef Schumann verneint: „Oft haben die einfachen Sachen eine große Wirkung.“ Ist das Unternehmen digital aufgestellt, sodass Kunden Aufträge online abwickeln, empfiehlt er eine regelmäßige Sicherung der gesamten Internetseite. Klar sollte sein, was passiert, wenn die Webseite nicht erreichbar ist: wer informiert wird, wer als Sicherheitsexperte ansprechbar ist, wo Unterstützung herkommt. Auch vermeintlich einfache Fragen sollten geklärt sein – etwa: Ist klar, wie wir eine Sicherung wieder aufspielen?

Besonders für Betriebe ohne große IT-Abteilungen haben mehrere Organisationen und Firmen einen Cybersicherheitscheck entwickelt. Federführend war das Bundesamt für die Sicherheit in der Informationstechnologie (BSI). Beteiligt waren 20 Partner, unter anderem Schumann, die eine eigene Norm entwickelt haben. Anhand der DIN SPEC 27076 können IT-Dienstleister jetzt Firmen zu mehr Sicherheit verhelfen. Vorgesehen ist ein bis zu zweistündiges Interview, in dem 27 Anforderungen daraufhin geprüft werden, ob das Unternehmen sie erfüllt. Als Ergebnis gibt es einen Bericht mit Handlungsempfehlungen, sortiert nach Dringlichkeit. Das Unternehmen bekommt auch Hinweise, ob und wie der Staat nötige Investitionen fördert.