Die Rolle von Führungskräften für die Cybersicherheit in Unternehmen

Haben Sie bei einem Hotelaufenthalt schon einmal Ihre Zimmerkarte achtlos irgendwo liegen lassen – zum Beispiel auf dem Tresen der Hotelbar? Wenn in einem solchen Moment ein anderer Gast scheinbar unbeabsichtigt sein Handy auf Ihre Karte legt, bemerken Sie das vielleicht gar nicht. Und doch könnte es sein, dass Sie dadurch Opfer eines Hackerangriffs werden und in der Folge zahlreiche Ihrer Daten, Passwörter und Accountzugänge in die Hände von Cyberkriminellen gelangen.

Dieses Beispiel präsentierten Berthold Kerl und Christian Schülke von der KuppingerCole Analysts AG in ihrem Gastvortrag auf der Mitgliederversammlung von HessenChemie am 22. Juni in Wiesbaden. Unter dem Titel „Die Rolle von Führungskräften bei der Förderung einer sicheren Cyberkultur“ machten sie deutlich, dass Hackerangriffe kleine, mittlere und große Unternehmen in gleichem Maße treffen können. Die Einfallstore sind vielfältig und oft spielt mangelndes Sicherheitsbewusstsein der Mitarbeiter eine Rolle – etwa, wenn ein E-Mail-Link angeklickt wird, weil angeblich die Reservierung für ein Tagungshotel bestätigt werden muss.

Auch im Fall des Cyberangriffs auf die Continental AG im vergangenen Sommer war die Ursache laut Continental vermutlich eine getarnte Schadsoftware, die ein Mitarbeiter versehentlich ausführte. Hacker erbeuteten so rund 40 Terabyte Daten, darunter auch persönliche Daten von Mitarbeitern und Kunden.

Viele Unternehmen unterschätzen dieses Risiko. Berthold Kerl und Christian Schülke zitierten eine Studie des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV e.V.), nach der fast drei Viertel der Befragten annehmen, dass „Cyberkriminalität“ für mittelständische Unternehmen in Deutschland ein „eher hohes oder sehr hohes Risiko“ darstelle. Doch nur ein Drittel schätze die Gefahr für das eigene Unternehmen als „eher hoch oder sehr hoch“ ein. Gleichzeitig wiesen fünf von sechs KMU Lücken in ihrer IT-Sicherheit auf. „Gerade diese Kombination aus mangelndem Risikobewusstsein und unzureichender IT-Security macht die Unternehmen besonders angreifbar“, sagte Berthold Kerl.

Die Schäden solcher Angriffe können enorm sein. Malware kann Server verschlüsseln und dafür sorgen, dass Systeme heruntergefahren werden müssen oder die Produktion zum Erliegen kommt. Die Wiederherstellung von Daten kann erhebliche Ressourcen binden. Sind Kunden- und Vertragsdaten abhandengekommen, ist zudem mit entsprechenden Anwaltskosten zu rechnen. Hinzu kommt der Imageschaden, der allenfalls durch verstärkte Marketingmaßnahmen gemildert werden kann.

Selbst Firmenangehörige, die täglich mit dem Thema Datensicherheit zu tun haben, fallen mitunter auf einschlägige Tricks herein, wie die Experten betonten. Jeder dritte Nutzer klicke in Phishing Mails auf schädliche Inhalte, jeder zweite davon gebe sensible Daten preis. Die Wahrscheinlichkeit, dass so genannte Digital Natives dies tun, sei noch höher als bei älteren Nutzern. „Jede zweite Organisation wurde in den vergangenen drei Jahren Opfer eines erfolgreichen Cyberangriffs“, so Berthold Kerl. Eine Entspannung der Situation sei nicht zu erwarten.

Erfolgreiche Phishing Mails charakterisieren sich laut Kerl und Schülke unter anderem durch

• eine täuschend echte Absenderadresse
• eine überzeugende Betreffzeile
• authentisch wirkenden Inhalt, der unter Umständen auch persönliche Informationen aus dem Umfeld des Nutzers einbezieht
• das Vortäuschen von Handlungsbedarf

Lese ein Nutzer eine relevante Nachricht in einer Stresssituation, steige das Risiko, darauf hereinzufallen, weiter an – ebenso wie beim Lesen auf dem Handy, wo Links nicht mit der Mouseover-Funktion überprüft werden können.

Was aber können Unternehmen tun? Dazu der eindringliche Rat der Experten: „Um entsprechende Risiken zu minimieren und wirkungsvoll gegen Angreifer vorgehen zu können, dürfen Führungskräfte das Thema Cybersicherheit nicht allein der IT-Abteilung überlassen.“ Die wichtigsten Aufgaben für Unternehmenslenker fassten sie wie folgt zusammen:

• Cyberkriminalität verstehen und Schwachstellen identifizieren.
• Eine Cybersecurity-Strategie in Bezug auf Prävention, Erkennung und Reaktion erarbeiten, die die Sicherheitslage in der gesamten Organisation umfasst.
• Ressourcen bereitstellen, unter anderem für Technologie und Mitarbeiterschulungen sowie die Beschäftigung von Sicherheitsexperten.
• Sicherheitskultur auf allen Ebenen schaffen und Richtlinien im Umgang mit sensiblen Daten festlegen.
• Auf Krisenmanagement im Fall eines Cyberangriffs vorbereitet sein – darunter die Aufstellung von Notfallteams und Maßnahmenplänen sowie interne und externe Krisenkommunikation.

Darüber hinaus sollte das Management die entsprechenden Sicherheitsmaßnahmen kontinuierlich überwachen und anpassen, sodass sie stets angemessen funktionieren. So machten die Experten deutlich: Cybersicherheit im Unternehmen ist eine Managementaufgabe.

Die Autorin