Wie die Minimierung der Gefahren zu bewerkstelligen ist, war Thema der ZDH-Informationsveranstaltung "Cyber-Sicherheit im Handwerk".
Regelmäßige Updates
So sollten Handwerker, die sich der digitalen Welt anvertrauen, Vorsorge für einen erforderlichen Neustart aller Systeme treffen. Es gilt, sensible und Kundendaten isoliert von den betrieblichen Internet-Abläufen zu sichern und damit auch nach einem Angriff aus dem Netz auf sie Zugriff haben. Im Falle der immer wieder erforderlichen Software-Updates auf Rechnern und Mobilgeräten gilt es zu überprüfen, ob sie im System tatsächlich wirken.
Es gilt ferner, darauf zu achten, dass ein äußerlich gut gesichertes Unternehmen nicht Schwachstellen zulässt, die dann doch dem Eindringen von Schadsoftware Vorschub leisten. Beispiel: Wer Fotos versendet, sollte wissen, dass damit – im Hintergrund - sehr viele Zusatzinformationen verbunden sind. Diese so genannten Meta-Daten können in der Regel aber ausgeschaltet werden.
Sichere Passwörter
Bei der Festlegung des Passwortes sollten grundsätzlich keine mit der eigenen Person eng verbundenen Begriffe oder Daten gewählt werden (Name, Name der Kinder, Geburtsdatum), ja es sollte überhaupt kein im Wörterbuch eingetragener Begriff als Passwort Verwendung finden. Zu nutzen sei die Groß- und Kleinschreibung bei Buchstaben, ferner Zahlen, weiterhin auch andere Schriftzeichen.
Unternehmer müssen darauf achten, dass Mitarbeiter mit Zugriffsrechten bei der Passwortwahl nicht nachlässig sind. Vorsicht ist geraten bei der Preisgabe von eigenen Daten wie Namen, Adresse, beruflicher Werdegang, Geburtsdatum. Vor allem nicht in Kombination. Sie dienen gelegentlich dazu, via elektronischer Post Bekanntschaften vorzutäuschen und Vertrauen zu erschleichen, um Informationen auf diese Weise abzusaugen.
Allianz für Cybersicherheit:
Die BSI-Vertreter warben eindringlich dafür, zum Schutz der Unternehmen das Angebot der "Allianz für Cyber-Sicherheit" zu nutzen. Sie wurde vor fünf Jahren vom Bundesamt für Sicherheit in der Informationstechnik gegründet, ihr gehören derzeit rund 2.500 Mitglieder an.
Zu den Angeboten der Allianz zählen der Überblick über aktuelle Bedrohungsszenarien und erprobte Ansätze zum Schutz von Unternehmenswerten. Sie sollen individuell die Frage beantworten, was muss ich als Bürger, als Kleinunternehmer an Schutzmaßnahmen umsetzen?
Die recht umfangreiche Anleitung für den digitalen Grundschutz wurde vereinfacht, modernisiert und übersichtlicher gestaltet. Gegenwärtig werden dort so genannte Schablonen (Module, Bausteine) erstellt für Unternehmen mit vergleichbaren Ansprüchen. Bis Jahresende, so hoffen die Initiatoren, werde man 5.000 Mitglieder gewonnen haben.
Das Problem der Haftung
Wie der BSI-Vertreter Timo Hauschild bei der Konferenz sagte, wird Software heutzutage oft so entwickelt, dass sie "unreif ausgeliefert" wird. Sicher, es würden Updates angeboten. Handwerker aber fürchten die Gefahr, dass nach dem Einspielen die Funktionsweise beeinträchtigt ist. Nicht zuletzt gehen anbietende Softwarefirmen auch schnell einmal technisch in die Insolvenz, "um der Haftung zu entgehen".
Zum Problemkreis für den Handwerker gehört auch die Frage, inwieweit er für Kunden derjenige ist, der beim Versagen oder im Falle des "Hackens" als der Errichter einer Anlage haftbar ist. Kann es eine Lösung sein, den IT-mäßigen Anschluss beispielsweise einer Garage, die von Smartphone aus bedient werden soll, einfach zu verweigern?
Den Ernstfall bedenken
Dass sowohl der Chef als auch die oft mit der innerbetrieblichen Organisation betraute Chefin sich dieser Fragen annehmen sollten, darauf machte Frauke Greven (BSI) aufmerksam. Sie empfahl die Handlungsfolge: Sicherheitsziele festlegen, klare Zuständigkeit herstellen, Ressourcen einplanen (IT-Schutz kostet Geld und immer kostet er auch Zeit), die Beschäftigten mitnehmen.
Bei diesen Entscheidungen ist zu beachten, dass Mitarbeiter über Wissen verfügen und vielleicht irgendwann nicht mehr die eigenen Mitarbeiter sind. Unbedingt sei ein "Plan für den Ernstfall" zu erstellen. Der müsse vorsehen, wer in diesem Fall erreichbar ist und wer auf welcher Ebene Entscheidungen treffen darf. Zeit ist hier Geld und Gefahr im Verzuge.
Kundenvertrauen durch Datensicherheit
Schließlich sprach Greven das Thema der "Kronjuwelen" an. Immer gebe es neben den wichtigen Daten die höchst wichtigen. Sie müssen den allergrößten Schutz genießen. Belohnt werde ein Unternehmen, das sich die Datensicherheit etwas kosten lasse, zum einen mit Sicherheit und weitgehender Ungestörtheit. Zum anderen stelle sich auf diesem Wege auch Kundenvertrauen ein.
Fazit: Ohne Digitalisierung ist wirtschaftlicher Erfolg heute kaum mehr zu denken. Der Schutz ist unabdingbar für den Bestand eines Unternehmens und dafür, dass es wachsen kann.
Welche Gefahren gibt es?
BSI-Vertreter Hauschild sprach von "immer wieder neue Angriffsformen" und Angriffswegen, die der Einzelne gar nicht immer im Blick haben könne. Monatlich würden rund 52.000 E-Mails abgefangen, die Träger von Schad-Software sind. Es gebe heute Schwachstellen, die zu Angriffen führen, "die wir uns vor zehn Jahren noch nicht vorstellen konnten". Regelmäßig Opfer werde "der mit der schwächsten Eingangstür oder der offenen Gartentür".
Warum gerade deutsche Unternhmen Ziel von Hackerangriffen sind, schilderte Patrick Jung, section GmbH. Der langanhaltende Wirtschaftsboom habe für gefüllte Geldkassen gesorgt. Firmeninhaber, die auf diese Weise erpresst würden, seien nicht selten bereit, schnell zu zahlen. Hinzu komme, dass Geräte vielfach ungenügend gesichert seien und es kein Problem darstelle, über das Internet Schaden anzudrohen bzw. auch anzurichten.
Bekannt geworden ist die unmittelbare Erpressung. Unerkannt verteilt sich Schad-Software im Unternehmensnetz – mit einem Schlag wird alles verschlüsselt, dem Zugriff der Betreiber entzogen. Der Erpresste soll zahlen, dann – so die Behauptung – werde das System wieder freigegeben. Jung erwähnte eine besonders perfide Variante, bei der ein erpresster Unternehmer zwei potenzielle Opfer benennen soll, um die Herrschaft über sein eigenes Unternehmen digital zurückzubekommen.
Eine weitere Gefahr besteht im so genannten Phishing. Bei dieser Methode werden vertrauenswürdige und bekannte Web-Seiten geklont und dem Angegriffenen präsentiert mit dem Ziel, ihn zur Preisgabe von sensiblen Daten bzw. Passwörtern zu verleiten. Sind die erst einmal übergeben, hat der Hacker leichtes Spiel.
Schließlich besteht auch die Gefahr, dass ein sich in die inneren Prozesse einschleichender Hacker ausspionierte Mailadressen (Absender) dazu einsetzt, Geldüberweisungen zu veranlassen. Hierbei sollte man sich auf eine kritische Buchhaltung verlassen können.
Jung schilderte weitere verschiedene Möglichkeiten – u. a. lasse sich im Internet die "Dienstleistung" kaufen, eine Website total zu überlasten, um sie so in eine Situation zu versetzen, in der die Nutzbarkeit nicht mehr gegeben ist. Für einen Handwerker, der einer solchen oder anderen Attacke ausgesetzt ist, besteht zwar keine Meldepflicht, doch bittet das BSI um entsprechende Informationen.
Text:
Rainer Fröhlich /
handwerksblatt.de
Kommentar schreiben