Nur wer sich der Risiken bewusst ist und seine Mitarbeiter regelmäßig dafür sensibilisiert, kann auf Hackerangriffe vorbereitet sein (Symbolfoto, unsplash).

Jörg Riether, wie schützt man sich vor Hackern?

Daten sind das neue Gold, Cyber-Attacken die neuen Banküberfälle. Was bei solchen Hackerangriffen passiert und wie sich Unternehmen davor schützen können, erklärt Jörg Riether. Der Gemündener ist Fachautor, Speaker und kümmert sich als Head of IT von Vitos Haina auch um die IT-Sicherheit des Unternehmens.

 

Lieber Herr Riether, Sie leiten einen IT-Verbund und das Rechenzentrum von Vitos Haina und publizieren regelmäßig Fachartikel, wie sieht für Sie ein typischer Arbeitstag aus?

Es gibt für mich keinen typischen Arbeitstag. Nicht selten weiß ich am Morgen nach dem Aufstehen noch nicht, wo ich in zwei Stunden sein oder in welchen Themen oder Gremien ich stecken werde. IT ist heute so vielschichtig und durchdringend geworden, dass im Grunde alle Prozesse mindestens indirekt involviert sind. Gerade dies ist es aber, was meine Arbeit sehr spannend und abwechslungsreich macht. Meine Kolleginnen, Kollegen und ich lernen jeden Tag neue Verfahren, Techniken und Prozesse und alle wirken neben dem operativen Tagesgeschäft in zahlreichen Projekten mit und gestalten gemeinsam jeden Tag Neues.

 

Was sind die größten Herausforderungen für Informationstechnik von kleinen und mittleren Unternehmen?

Stand heute sehe ich persönlich die größte Herausforderung tatsächlich in der Informationssicherheit. Täglich werden Unternehmen über die IT-Systeme und Kommunikationsmedien direkt oder indirekt angegriffen, nicht selten ist dabei die Existenz des gesamten Unternehmens gefährdet. Gerade für kleine und mittelgroße Unternehmen stellt es oft einen erheblichen Aufwand dar, sich nach dem Stand der Technik gegen etwaige Angriffe zu schützen.

 

Was passiert, wenn sich Hacker Zugriff auf Unternehmensdaten verschaffen?

Hier sind mannigfaltige Szenarien denkbar, einen großen Teil machen sicherlich Betrug, Diebstahl, Spionage und Sabotage aus. Nach prominenten Beispielen der letzten Jahre könnte man annehmen, dass es meist um Lösegeld geht: Hacker verschlüsseln Unternehmensdaten (inklusive ihrer elektronisch zugänglichen Sicherungen) und fordern eine Geldzahlung, für die Entschlüsselung der Daten.

Darauf haben viele Unternehmen reagiert und sichern täglich ihre Daten – ausgelagert, etwa in einem Tresor und komplett getrennt von jeder Elektronik. So können Unternehmen im Fall eines Angriffs ihre Daten zuweilen in korrekter Integrität und kurzer Zeit wiederherstellen. Deswegen gehen Angreifer heute oft weiter: Sie stehlen die Daten vor der Verschlüsselung und erpressen die Unternehmen dann, indem sie mit Offenlegung sämtlicher gestohlener Daten drohen.

 

Wie können Unternehmen ein solches Szenario verhindern?

Gänzlich verhindern lässt sich das in meinen Augen nicht. Aber man kann vieles dafür tun, das Risiko zu mindern. Etwa 20 Prozent eines hohen „Angriffsrisikos“ für Unternehmen hängen meiner persönlichen Einschätzung nach mit der Organisation und Technik zusammen. Hier gibt es unzählige Ansätze und Möglichkeiten, sich zu schützen. Einige Beispiele sind:

  • die sehr zeitnahe Installation von aktuellen Updates der Hersteller,
  • Codeeinschränkungen („Application Whitelisting“) und
  • mathematische, verhaltensbasierte („Sandboxing“) oder musterbasierte Analyse von externen Daten, insbesondere Web-Links.
  • Essentiell sind zudem gute Datensicherungsprozesse, welche idealerweise tägliche Komplettsicherungen von sämtlichen Daten im Unternehmen und deren ebenso tägliche Auslagerung, abseits von jeder Elektronik, vorsehen.

Rein subjektiv betrachtet sehe ich den größten Risikofaktor  – etwa 80 Prozent des Risikos – aber tatsächlich bei der Awareness, also dem Bewusstsein, aller Personen im Unternehmen.


Was genau meinen Sie mit „Bewusstsein“?

Beim Bewusstsein geht es darum, dass Menschen stets aufmerksam sein sollten und alle Situationen, etwa beim Lesen von Mails oder beim Stöbern im Internet, mit gesundem Misstrauen kritisch hinterfragen sollten. Auch fremde Datenträger, welche man etwa auf der Straße findet oder ein betrügerischer Anruf sind oft Ausgangssituationen fataler Szenarien. Unzählige weitere Beispiele sind denkbar, etwaige Angreifer können hier in puncto Kreativität aus dem Vollen schöpfen.

Man sollte also grundsätzlich vorsichtig sein und sich vor allem nicht von Emotionen dazu verleiten lassen, einen Link zu klicken, ein Dokument zu öffnen, einen fremden Datenträger zu benutzen oder auf einen betrügerischen Anrufer oder Besucher hereinzufallen, um nur einige wenige Beispiele zu nennen. Dies alles sagt sich leichter als es getan ist.

Cyber-Angriffe sind eine große Herausforderung für kleine und mittlere Unternehmen (Symbolfoto, unsplash).Professionelle Angreifer gehen zum Teil äußerst holistisch, intelligent, situationsbezogen und menschlich-fokussiert vor, so dass selbst erfahrenes Personal bei dem einen oder anderen emotionalen Auslöser schwach werden könnte. Die ständige Sensibilisierung und Schulung aller Personen im Unternehmen ist also essentiell und mit Abstand die wichtigste Barriere für den Schutz vor Angriffen und Schadsoftware.

 

Und wenn ich alle diese Punkte beachte, bin ich dann vor einem Angriff sicher?

Absolute Sicherheit gibt es meines Erachtens nie. In meinen Augen müssen wir eines – Stand heute – zwingend anerkennen: Auch wenn wir unsere Netzwerke noch so gut schützen, besitzt ein angreifender Staat, Organisation oder sonstige Individuen quasi unbegrenzte fachliche, logistische und finanzielle Möglichkeiten, wird immer ein Weg zu finden sein, in ein Unternehmensnetzwerk einzudringen.

Das ist hart. Aber kein Unternehmen ist gut damit beraten, sich eine Situation schön zu malen oder einer Illusion von falscher oder trügerischer Sicherheit zu erliegen. Man kann mit zahlreichen Maßnahmen Risiken reduzieren, komplett abstellen kann man diese hingegen nicht. Meine persönliche Erfahrung und Einschätzung ist die, dass Systeme, welche von Menschen erdacht wurden, auch von Menschen gebrochen oder überlistet werden können.

Vielen Dank für das Interview!

Jörg Riether (Vitos Haina gGmbH)

Zur Person

JÖRG RIETHER

Jahrgang 1974

Ich arbeite aktuell als Leiter eines IT-Verbunds und Rechenzentrums bei der Vitos Haina gGmbH und bin in Personalunion Hauptansprechpartner für Informationssicherheit im Vitos Konzern

Nach meinem Abitur wurde ich bei Viessmann zum Datenverarbeitungskaufmann ausgebildet und fast 20 Jahre später studierte ich an der FH Burgenland mit MBA-Abschluss, meine Masterarbeit befasst sich mit Datensicherungsstrategien für Unternehmen.

Meine Heimat und mein Zuhause ist Gemünden

Mein Lieblingsort in Waldeck-Frankenberg ist überall, wo es Wald gibt, da ich die Natur und insbesondere den Wald sehr mag – von beidem gibt es in unserem Landkreis glücklicherweise reichlich

 

Buchtipps vom IT-Experten Jörg Riether

Für Laien: „Switch“ von Chip und Dan Heath sowie „Thinking, Fast and Slow“ von Daniel Kahneman

Für Fortgeschrittene: Ein Klassiker – „Kuckucksei“ von Clifford Stoll