Herr Wendt, im August 2022 war die Handelskammer von einem Hackerangriff betroffen. Was genau ist vorgefallen?
Steve Wendt: Der von langer Hand vorbereitete Angriff betraf alle 79 Industrie- und Handelskammern in Deutschland. Dank umfassender Sicherheitsmaßnahmen ist es zum Glück gelungen, ihn rechtzeitig zu erkennen und so größere Schaden zu verhindern. In den vergangenen Monaten haben die Kammern gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) die Schutzmaßnahmen weiter verstärkt, um solche Angriffe künftig zu verhindern.
Eine aktuelle Studie belegt, dass jedes vierte mittelständische Unternehmen in Hamburg schon Opfer von Cyberattacken wurde. War die schnelle Verlagerung der Arbeit ins Homeoffice in der Corona-Krise fatal für die IT-Sicherheit?
Man musste damals viele kreative Lösungen finden, damit die Arbeit weitergehen konnte. Deshalb wurde in Sachen IT-Sicherheit nicht immer nach der „reinen Lehre“ gearbeitet. Plötzlich mussten sich Mitarbeitende mit privaten, zum Teil schlecht gesicherten Laptops oder Smartphones in Firmensysteme einloggen. Das eröffnete natürlich viele Angriffsflächen.
Was können Unternehmen tun, um sich besser zu schützen?
Sie sollten Arbeitsgeräte – ob nun PCs, Notebooks oder Smartphones – strikt von privaten Geräten trennen. Wir hatten beispielsweise früher PCs in den Büros. Heute haben wir alles auf Notebooks umgestellt, sodass auch die Mitnahme ins Homeoffice möglich ist. Wir brauchen diese Flexibilität, denn die neuen Arbeitsmodelle werden bleiben. Ich empfehle aber dringend, den Mitarbeitenden vom Unternehmen gemanagte Arbeitsgeräte mit nach Hause zu geben – wie das auch die Handelskammer praktiziert.
Was ist der Vorteil solcher Geräte?
Bei Firmengeräten besitzt nur die IT des Unternehmens Administrationsrechte. Mitarbeitende sind nicht in der Lage, Software auf solchen Geräten zu installieren, und Fachleute stellen sicher, dass dort immer die neuesten Sicherheitssysteme und Programmversionen aufgespielt sind und die Festplatte verschlüsselt ist. Das macht eine Menge aus.
Der Mensch gilt als größte Schwachstelle der IT-Sicherheit. Weshalb?
Cyberkriminelle nutzen verschiedene Möglichkeiten. Sie können etwa versuchen, über die Website Zugriff auf das System zu erhalten. Investitionen in Hardware, Software und Sicherheitssysteme helfen jedoch, sich dagegen zu schützen. Viel leichter ist es für die Kriminellen, Schadsoftware über die Menschen zu installieren. Vor einigen Jahren noch forderten sie zum Beispiel oft über blöde Mails in gebrochenem Deutsch dazu auf, einen Anhang zu öffnen. Falls jemand das tat, installierte sich heimlich ein Schadprogramm auf dem PC.
Heute sind die Methoden viel heimtückischer. So könnte ein Hacker etwa eine Mail zwischen uns beiden abfangen, sich dann als Sie ausgeben und mir einen Dateianhang mit Schadsoftware zuschicken. Nach dem Motto: „Hier sind noch Informationen für Sie!“ So etwas ist schwer zu durchschauen. Man kann niemandem einen Vorwurf machen, der in eine solche hochprofessionell gebaute Falle tappt.
Heißt das, man kann sich eigentlich gar nicht effektiv schützen?
Doch, bei diesem Beispiel müssten dann Schutzmechanismen greifen, die man im Netzwerk installiert. Außerdem findet nur ein sehr geringer Anteil der Angriffe auf diesem hohen Niveau statt. Viele Versuche, Schadsoftware über Mail-Anhänge zu verschicken, sind immer noch gut erkennbar. Das gilt auch für den Versuch, persönliche Daten über „Phishing“ zu erhalten – also die Aufforderung, zum Beispiel Bankdaten auf einer täuschend echt nachgemachten, aber von den Kriminellen eingerichteten Seite einzugeben.
Ist es schon gefährlich, eine verdächtige Mail zu öffnen, oder ist der Klick auf den Anhang entscheidend?
Gefährlich ist der Anhang oder der Klick auf Links. Das Öffnen der Mail ist in der Regel nicht so dramatisch.
Wie sollten Unternehmen ihre Mitarbeitenden auf solche Gefahren aufmerksam machen?
Wir haben für alle Mitarbeitenden verpflichtende Sensibilisierungsschulungen durchgeführt. Unsere Schulung in „Awareness“ erstreckte sich über ein Jahr. Es ging um den Umgang mit Passworten, Datenschutz, Social Engineering oder Schadsoftware. Erst bekam man Informationen, zu einem späteren Zeitpunkt folgte ein Online-Test. Ich glaube, dieses Paket hat das Bewusstsein für Sicherheitsrisiken unter den Mitarbeitenden enorm erhöht. Das kann man unter anderem daran festmachen, dass unsere IT-Hotline seitdem signifikant öfter kontaktiert wird, wenn Mitarbeitende verdächtige Dinge entdecken oder Fragen haben. Genau diese Sensibilität wollten wir erreichen.
Zahlreiche Informationen zum Datenschutz von Betrieben finden Sie auf der Internetseite der Handelskammer. Das Online-Tool „Sec-O-Mat“ hilft, die IT-Sicherheit im eigenen Unternehmen zu prüfen. Wie Sie einen Passwort-Manager benutzen, erklärt das Bundesamt für Sicherheit in der Informationstechnik. Es informiert auch zur Zwei-Faktor-Authentifizierung. Informationen zu Awareness-Schulungen und Einzelfallberatungen gibt das LKA in Hamburg.
Was empfehlen Sie kleinen Betrieben, die vielleicht noch nicht mal eine eigene IT-Abteilung haben?
Eine Schulung kann man sich online einkaufen. Weil sich der Preis meist nach der Zahl der zu schulenden Mitarbeitenden richtet, bezahlt ein kleines Unternehmen entsprechend seiner Größe weniger. Was ein faires Modell ist, wie ich finde.
Ein wichtiges Thema sind auch die Passwörter für den Zugriff auf Konten. Was sollten Unternehmen hier beachten?
Natürlich müssen die Mitarbeitenden ihre Passwörter selbst wählen, schon um Datenmissbrauch zu verhindern. Aber der Betrieb sollte Vorgaben machen. Damit sich die Passwörter möglichst schwer knacken lassen, sollten sie mindestens zehn Zeichen, Sonderzeichen, Zahlen, Groß- und Kleinschreibung enthalten müssen. Sie dürfen auf keinen Fall auf dem Gerät gespeichert werden. Übrigens: Für Privatgeräte empfehle ich den Einsatz einer Password-Safe-Software – also einer App, die Passwörter für neu angelegte Accounts automatisch erzeugt und speichert. Die Nutzer müssen sich dann nur noch das Generalpasswort merken.
Was können Sie sonst noch empfehlen, um Systeme von Nutzerseite aus sicherer zu machen?
Ein gutes Tool ist auch die Zwei-Faktor-Authentifizierung. Wir haben sie jetzt auch in der Handelskammer nach der Attacke eingeführt. Das heißt: Wenn ich mich bei einem System anmelden will, ist eine Bestätigung über eine App notwendig, bevor die Anmeldung funktioniert. Sie kennen das vielleicht von Ihrem Online-Banking. Falls man das nicht für alle Mitarbeitenden einführen will, sollte man es zumindest für die Administratoren in Erwägung ziehen. Diese haben die meisten Rechte, entsprechend ist hier auch der sensibelste Bereich für Attacken, die großen Schaden verursachen können.
Können auch kleine Unternehmen dieses Verfahren einsetzen?
Das hängt davon ab, welche Systeme es nutzt. Ein einfaches System wird wahrscheinlich keinen zweiten Faktor ermöglichen. Wenn der Betrieb weitverbreitete Anwendungen nutzt, kann er sich jedoch beraten und helfen lassen.
Fassen wir zusammen: Man sollte von Firmen gemanagte Geräte einsetzen, die Sensibilität der Mitarbeitenden schulen und auf kritische Bereiche wie Passworte und Logins achten. Gibt es noch weitere wichtige Punkte?
Eine Sache halte ich noch für wichtig: Ich empfehle jedem Unternehmen, sich einen strikten Leitfaden zu verordnen, in dem festgelegt wird, was bei IT-sicherheitsrelevanten Vorfällen zu tun ist. Wenn zum Beispiel ein Firmen-Notebook oder ein Smartphone verloren geht, muss festgelegt sein, wer informiert wird und welche Schritte danach zu gehen sind. Also: Welche Bereiche sollen danach auf fremde Zugriffe überprüft, welche Systeme gesperrt werden? So einen Sicherheitsprozess aufzusetzen, kostet durchaus Zeit und Mühe. Dennoch ist das gerade für größere Unternehmen sehr sinnvoll und kann großen Schaden vermeiden helfen.
