Jeder einzelne von uns stellt das größte Risiko für die Sicherheit des IT-Systems unseres Unternehmens dar. “Wenn ich jemanden angreifen möchte, dann tue ich das typischerweise über die Mitarbeiter. Das ist viel einfacher, als die Technik zu überlisten.” sagt Peter Leppelt, Geschäftsführer und Co-Gründer von Praemandatum. Fast jeder 2. Hack geht auf Fehler von Menschen zurück. Eine beliebte Methode dabei ist das E-mail spoofing. Man tut so, als wäre man jemand anders. Eine andere Methode ist, USB sticks die auf Parkplätzen ausgelegt werden und dann in Firmenrechner gesteckt werden. Auch das Versenden von kompromittierten PDF-Dateien, z.B. als Bewerbung, die dann ausgedruckt werden und den Drucker übernehmbar machen, sind eine Möglichkeit IT-Systeme anzugreifen. Über das Hacken von Mitarbeitern kann sich Zugang zu Patenten oder Geschäftsideen verschafft werden. Hacking ist so profitabel wie nie. Der geschätzte Schaden liegt bei 600 Milliarden Dollar pro Jahr (Schätzung von McAfee). Sogar Aktienkurse von Unternehmen können stark beeinflusst werden. Beim Aluminiumhersteller Norsk Hydro verschwanden 40 $ Mio. an der Börse durch einen Hackerangriff. Bei der Hotelkette Mariott stahlen Hacker Daten von 327 Mio. Gästen, darunter auch Kreditkarten und Passnummern. Spektakuläre Hacks bleiben im Idealfall unbermerkt von den Betroffenen.
Hacker haben vor allem zwei Ziele. Sie möchten möglichst unbemerkt Informationen abziehen oder Epressung. Durch eine Schadsoftware wird das System lahmgelegt und nur bei Bezahlung kann man wieder eine Freigabe erhalten. Zu beobachten ist, dass das Social Engineering stark zunimmt. Mitarbeiter werden animiert ihre Passwörter freizugeben, z.B. durch Mails, die von vermeintlich seriösen Anbietern kommen und die Passwörter abfragen. Auch in den sozialen Medien wird oft mehr preisgegeben, als gut ist. Hacker sind durchaus in der Lage aus den Informationen, die dort verfügbar sind (z.B. Geburtstage, Namen von Kindern oder Haustieren), Passwörter abzuleiten. Neben der Tatsache das, wenn man als Mitarbeiter gehackt wurde, dem Arbeitgeber Schaden zugeführt wird, macht man sich auch als Mittäter schuldig.
Was hilft dagegen?
Viele Mitarbeiter sind sich der Gefahren gar nicht bewusst. Das heißt, man muss es in ihr Bewusstsein rücken durch Aufklärung. Das kann in Schulungen oder regelmäßigen Newslettern zu dem Thema passieren. Auch hilfreich für die Sensibilisierung sind Phishing-Simulationen. Das Unternehmen sendet fingierte, ungefährliche E-Mails, die betrügerischen oder bösartigen E-Mails ähneln. Geht der Mitarbeiter den Aufforderungen aus der Mail nach, erhält er eine Notiz, dass es sich um eine Phishing-Mail hätte handeln können und klärt auf, worauf er zu achten hat. Weiterhin sollte der Mitarbeiter sichere Passwörter wählen. Die Passwörter sollten mindestens 8 Zeichen lang sein, aus Groß- und Kleinbuchstaben sowie Sonderzeichen bestehen und in keinem Wörterbuch zu finden sein oder mit Ihnen in Verbindung stehen.