Experten-Interview: Cyber Security für Unternehmen
Cybersicherheit ist für jedes Business wichtig
exali:
Das Datenschutzkontor möchte insbesondere kleine und mittelständische Unternehmen auf die zunehmenden Bedrohungen durch Cyberkriminalität vorbereiten und dafür sensibilisieren. Wie gelingt das?
Stefan Köster:
Durch viel Erfahrung. Ich betreibe das Datenschutzkontor gemeinsam mit meinem Geschäftspartner Andreas Bethke. Wir sind beide Informationssicherheits- und Datenschutzbeauftragte. Wir haben viele Kundinnen und Kunden - von kleinen Unternehmen mit zwei Mitarbeiter:innen bis hin zur grossen Firma mit 1.000 Angestellten – da haben wir schon Einiges erlebt. Wir haben nicht nur Angriffe bei den Kundinnen und Kunden gesehen, sondern auch etliche Anbieter:innen kennengelernt, die Schulungen zum Thema Cyber Security durchführen. Es geht also um die Herausforderung: Wie werden diese Angriffe durchgeführt und wie kann man für dieses Thema sensibilisieren?
Wir haben uns überlegt: Wir wollen das anders machen - ohne erhobenen Zeigefinger und ohne auf den Nutzer:innen herumzuhacken. Denn woher sollen die Leute das auch wissen? Dementsprechend ist es uns wichtig zu zeigen, wie Angriffstechniken funktionieren und was wirklich bei den Benutzer:innen ankommt. Wie nimmt sie/er zum Beispiel eine E-Mail wahr, mit der eventuell eine Phishing-Attacke gestartet wird?
Wir verzichten dabei auf übermässig technische Hintergründe. Es ist zum Beispiel für eine:n Mitarbeiter:in in der Buchhaltung völlig egal, ob es sich um eine Ransomware handelt, hinter der ein Verschlüsselungstrojaner steckt oder ein Wurm, der sich durch das Unternehmen frisst. Das interessiert hier gar nicht. Wir wollen Technik und Komplexität aus dem Thema herausnehmen und ausserdem – das ist für uns selbst auch wichtig – dass das Ganze Spass macht. Und ja, das geht auch bei Cyber Security- und Awareness-Trainings. Das ist unsere Intention und ich glaube das gelingt uns inhaltlich ganz gut.
Natürlich ist das Thema für Unternehmen gerade im Bereich der kritischen Infrastruktur besonders wichtig, denn einige von ihnen sind sogar gesetzlich verpflichtet, Informationssicherheits- und Awareness-Trainings für ihre Mitarbeiter:innen anzubieten, um Risiken zu reduzieren.
Schulungen aus dem Berufsalltag
exali:
Sie haben gesagt, das Ganze soll Spass machen. Wie schaffen Sie das?
Stefan Köster:
Wir haben zu Schulungszwecken eine fiktive Firma geschaffen -die Krause Energie AG. In den Schulungsvideos begleiten die Kundinnen und Kunden die Protagonist:innen (also die fiktiven Mitarbeiter:innen der Firma) bei ihren Erlebnissen und erhalten so einen guten Einblick in das Thema Cybersicherheit.
Unsere Trainingsvideos sind dabei nach folgendem Schema aufgebaut:
- Kurze Videos mit einer Dauer von etwa drei bis fünf Minuten
- Klare Gliederung in zwei Teile: Eine Geschichte, in der ein Cyberangriff stattfindet und am Ende eine Erklärung, was die Zuschauer:innen aus dieser Angriffstechnik lernen und worauf sie in Zukunft achten sollen.
Es gibt also eine kleine Story, die einen Angriff erklärt und ein Learning, wie man eine Attacke in Zukunft hoffentlich vermeiden kann. Das wird natürlich nicht immer klappen, aber wir streben eine sukzessive Verbesserung an.Die Menschen in unseren Filmen sind Schauspieler:innen, wir haben ein Kamerateam und wir schreiben Texte dazu – das sind immer sehr lustige Produktionen, die viel Spass machen. Und das ist ja auch wichtig.
Die beste Cybersicherheit für Unternehmen, sind geschulte Mitarbeiter:innen
exali:
Die Mitarbeiter:innen eines Unternehmens sind meist das grösste Einfallstor für Cyberattacken. Wie kann ich bei ihnen dafür ein Bewusstsein schaffen, und das im Idealfall so, dass sie dauerhaft anhält?
Stefan Köster:
Unternehmen behelfen sich im Bereich Cyber Security in erster Linie mit vielen technischen Massnahmen. Sie bauen eine Firewall auf, installieren Antiviren-Scanner, schützen ihre Anmeldeprozesse…hier lassen sich beliebig viele Vorkehrungen treffen. Den Angriffen, über die wir hier sprechen, ist nur mit Technik aber gar nicht beizukommen. Denn wie bei einem Schweizer Käse gelingt es zum Beispiel der einen oder anderen Phishing-Mail doch, durch diese Sicherheitsschranken hindurch zu schlüpfen – und bei den User:innen zu landen.
Das Hauptrisiko sind dabei die Angriffe, die ganz gezielt auf bestimmte Firmen zugeschnitten sind. Denn Cyberkriminalität bedeutet schon lange nicht mehr, dass irgendwo ein:e lichtscheue:r Teenager:in im Kapuzenpullover im dunklen Kämmerlein sitzt. Es handelt sich heute um professionell organisierte Firmen mit einer Personalabteilung, die Leute einstellt und entlässt. Die „Mitarbeiter:innen“ kommen um acht zur Arbeit, machen Mittagspause und um 16 Uhr gehen sie in den Feierabend – so funktioniert heute Cyberkriminalität.
Diese Organisationen sind aufgebaut wie ein Callcenter in dreistufigen Strukturen. Am Beginn stehen diejenigen, die die Attacken starten. Bei komplexeren Aktionen kommen in der zweiten Stufe weitere personelle und technische Ressourcen hinzu und die dritte Ebene kümmert sich im Anschluss darum das Geld, zum Beispiel von Erpressungen, einzutreiben. Das heisst: Hacker:innen arbeiten nicht willkürlich, sondern greifen ganz präzise die Unternehmen an, die sie für erfolgversprechende Ziele halten (auch im Rahmen der aktuellen politischen Lage).
Immer wieder sind es die eigenen Mitarbeiter:innen, die Hacker:innen unbeabsichtigt Zugang zu sensiblen Unternehmensdaten verschaffen. Das geschieht meist mittels Social Engineering. Was es damit auf sich hat, verraten wir im Artikel Social Engineering: Wenn der Mensch zum Risiko wird.
Hier landen wir dann schnell im Bereich des Social Engineering. Deshalb versuchen wir bei den Mitarbeiter:innen gefährdeter Unternehmen Awareness dafür zu schaffen, dass es nicht nur etwa auf die Phishing-Mail ankommt, sondern auch darauf, was sie in ihrem privaten Umfeld tun. Wie zeigen sie sich zum Beispiel in den sozialen Medien? Denn genau das sind typische Quellen für Cyberkriminelle, wenn es darum geht, zielgerichtet einzelne Leute innerhalb eines Unternehmens zu attackieren. Deshalb ist es so wichtig, dass diese Awareness in Bezug auf Geschäftliches und Privates auch wirklich überall vorhanden ist und dass jeder/jedem bewusst ist, wie solche Attacken aussehen.
Cyber Security braucht ständige Awareness
Ein weiteres Problem besteht darin, dass Unternehmen in der Regel einmal im Jahr eine Schulung zum Thema Cybercrime veranstalten. Da werden dann alle Leute in Präsenz oder online zusammengetrommelt und gezwungen, diese Schulung wahrzunehmen. Was passiert? Man sitzt eine Stunde in einer Schulung und fragt sich, ob das Thema denn wirklich so wichtig ist. Zwar hoffen alle Beteiligten darauf, möglichst viel aus so einer Schulung mitzunehmen, doch im Alltag vergisst man das Gelernte beinahe sofort wieder, die Lernkurve sinkt und die Awareness der User:innen verschlechtert sich stetig – und das schon kurz nach der Schulung!
Deshalb gehen wir die Sache etwas anders an: Unseren Kundinnen und Kunden bieten wir ein Paket mit zwölf Filmen. Die/Der Zuschauer:in bekommt jeden Monat einen Film mit einer Länge von drei bis fünf Minuten. Diese Dauer lässt sich auch noch sehr gut in den Arbeitsalltag einbauen. Auf diese Weise steigt das durchschnittliche Awareness-Level über das gesamte Jahr gesehen wesentlich höher, da die Zuschauer:innen Monat für Monat mit der Thematik konfrontiert werden und im Idealfall jedes Mal einen neuen Aspekt von Cyberkriminalität betrachten.
Wir setzen dabei nicht nur auf die klassischen Angriffs-Learning-Schulungen, sondern wollen die Lernerfahrung künftig auch in eine Gesamtstory einbetten. Die Nutzer:innen sollen den Geschäftsführer unserer fiktiven Krause Energie AG über das ganze Jahr begleiten, im Rahmen einer Story an seinen Erlebnissen teilhaben und so Lust auf die nächste Folge bekommen. Es hat den Charakter einer Vorabendserie.
exali:
Sie haben es bereits erwähnt – Frontalunterricht langweilt die meisten Leute unheimlich schnell. Zumal bei solchen Veranstaltungen viele verschiedene Charaktere zusammenkommen. Die alle gleichermassen zu begeistern ist alles andere als einfach. Wie sensibilisieren Sie Mitarbeiter:innen ohne sie dabei zu Tode zu langweilen?
Stefan Köster:
Wir reduzieren die Komplexität. Statt komplizierte Vorgänge durchzukauen, vermitteln wir eine spassige Geschichte, die Aufmerksamkeit und Bindung schafft und die man zusätzlich wie eine Vorabendserie über das ganze Jahr verfolgen kann. Wir haben uns damals vom Produktionsteam eine Serie im Stil von Stromberg gewünscht. Unser fiktiver Geschäftsführer der Krause Energie AG ist immer etwas unsicher, vermittelt aber auf eine charmante und persönliche Art die Inhalte, die wir letztendlich auch den Zuschauer:innen weitergeben wollen. Ich bin überzeugt davon, dass das auch wirklich Spass in die Sache bringt und diese Resonanz erhalten wir ebenfalls von unseren Kundinnen und Kunden. Die Leute sehen sich diese Filme gerne an, weil sie professionell produziert sind, über eine unterhaltsame Story verfügen und auch inhaltlich gut aufbereitet sind. Das halte ich für einen grossen Vorteil gegenüber anderen Anbieter:innen.
Cybersicherheit – auch für Lieferketten
exali:
Wir kamen vorhin auf das Thema Social Engineering zu sprechen. Angriffe in diesem Bereich finden immer häufiger und leider auch oft mit grossem Erfolg statt – was auch daran liegt, dass der Schutz vor Cybercrime bei vielen Unternehmen an der eigenen Haustür endet. Gerade Lieferketten werden bei Sicherheitsmassnahmen immer wieder ausser Acht gelassen, es kommt zu sogenannten Supply-Chain-Attacken. Welchen Bedrohungen setzen sich Unternehmen hier aus und wie kann man ihnen vorbeugen?
Stefan Köster:
Genau aus diesem Grund richten wir unser Angebot auch an Freelancer:innen. Bei einem amerikanischen Einzelhandelsunternehmen fand vor einigen Jahren ausgerechnet am umsatzstarken Black Friday eine Cyberattacke statt. Die Hacker:innen haben dabei unzählige Kreditkartendaten erbeutet und dem Unternehmen einen Schaden von 220 Millionen Dollar beschert. Und das, obwohl die Firma selbst sehr gut gegen Cyberkriminalität geschützt war und das Thema quasi in ihrer DNA verankert hatte! Der Hack erfolgte über einen Dienstleister, nämlich den Klimaanlagenbauer. Der musste für Wartungsarbeiten natürlich per Netzwerkzugang auf die einzelnen Klimaanlagen zugreifen. Und auf diesem Weg haben sich die Kriminellen Zugang verschafft anstatt den grossen Einzelhändler direkt anzugreifen.
Dieser Supply-Chain-Angriff zeigt ganz deutlich, dass niemand – auch grosse Unternehmen Cyber Security nicht mehr allein leisten können. Das heisst Firmen müssen darauf achten, dass auch Zuliefer:innen ein Mindestmass an Sicherheitsmassnahmen umgesetzt haben. Denn innerhalb der Lieferkette ist die- beziehungsweise derjenige das schwächste Glied, die/der sich am angreifbarsten macht. Ich hatte bereits eingangs erwähnt, dass es sich bei Angreifer:innen längst nicht mehr nur um einzelne Personen, sondern um komplette Callcenter handelt. Deren Angriffe erfolgen nicht einfach auf gut Glück und wenn sie bei einem Unternehmen keinen Erfolg haben, dann ziehen sie weiter. Kriminelle sind mittlerweile imstande ihre Attacken über vier oder fünf Stufen doch noch erfolgreich zum Ziel zu führen.
Cyberschulungen als Zertifikat
Das zeigt sich auch im Automotive-Umfeld. Dort gibt es ein Zertifikat namens TISAX. Diese Zertifizierung gibt an, dass die/der Dienstleister:in der/des Automobilhersteller:in ein Mindestmass an Cybersicherheit nachweisen kann. Die Auotmobilhersteller:innen haben nämlich längst festgestellt, dass sie diese Sicherheit alleine nicht gewährleisten können und auch ihre Lieferkette dazu verpflichten müssen. Ich bin der festen Überzeugung, dieses Vorgehen wird nicht im Automotive-Bereich bleiben – diese Situation betrifft jede:n und wird künftig auch für die/den einzelne:n Freelancer:in, Start-ups oder kleine Handwerksbetriebe eine Rolle spielen.
Deshalb haben wir vor Kurzem entschieden, dass wir ein Self-Service-Portal zur Verfügung stellen werden, in dem auch Freelancer.innen und kleine Unternehmen ein Schulungspaket buchen können, damit sie nachweisen können: „Wir haben uns mit diesem Thema auseinandergesetzt“. Das ist ein wichtiger Weg. Denn die grossen Unternehmen wollen vor allem vermeiden, dass sie Bussgelder bezahlen müssen und dass ihre Reputation leidet. Das ist fast noch teurer als die Bussgelder, die man meist noch irgendwie auffangen kann. Aber ein Reputationsschaden ist mit das grösste Risiko für Firmen. Deswegen möchten Freelancer:innen, wie ich ja auch selber einer bin, nicht dafür verantwortlich sein, dass ihre Kundschaft gehackt wurde. Wenn wir diese Denkweise möglichst vielen Freelancer:innen vermitteln, wird die ganze Welt ein bisschen sicherer und die „bösen Jungs“, die uns so viel Ärger machen, haben es etwas schwerer.
Der Ruf Ihres Unternehmens kann enorm leiden, wenn Sie Opfer eines Datendiebstahls werden. Wie Sie Ihr Business dagegen schützen können, erfahren Sie im Artikel Cyber-Risiko Datendiebstahl: So leidet der Ruf Ihres Business.
Cybersicherheit ist für jedes Unternehmen möglich
exali:
Wenn Sie neu mit einem Unternehmen zusammenarbeiten: Haben Sie ein paar Tipps, die für jede:n umsetzbar sind, um sich gegen Cyberkriminalität zu schützen?
Stefan Köster:
Wenn ich jeder/jedem nur eine Sache aus dem Massnahmen-Baukasten der Cybersecurity ans Herz legen könnte, dann wäre das die Multi-Faktor-Authentifizierung. Das ist tatsächlich eine hervorragende Möglichkeit, um Angriffe erheblich zu reduzieren. Denn Angreifer:innen haben es primär auf Zugangsdaten wie Benutzernamen und Passwörter abgesehen. Entweder sie eignen sich zum Beispiel innerhalb eines Unternehmens immer höhere Berechtigungen an, oder sie bewegen sich erst einmal „seitwärts“ auf einer Ebene durch unterschiedliche Accounts bis sie sich die angestrebten Zugangsdaten ergaunert haben und schliesslich die Daten stehlen können, die sie haben wollen.
Die Multi-Faktor-Authentifizierung ist gerade im Onlinebanking nichts Ungewöhnliches. Dort ist es ganz üblich, dass ich eine Transaktion noch einmal separat über eine App freigebe. Und genau diesen Prozess kann ich für alle meine Accounts aufsetzen. Das geht für Microsoft, Amazon, Google, Facebook – also egal welche Dienste ich habe. Deshalb meine Empfehlung: Nutzen Sie die Multi-Faktor-Authentifizierung.
Was Sie beim Thema Passwortsicherheit beachten sollten, haben wir in folgendem Artikel für Sie zusammengefasst: 5 Tipps für gutes Passwortmanagement im Business
Ansonsten hilft vor allem das Übliche: Aktuelle Updates, Virenscanner und auch Dinge hinterfragen. Wenn ich zum Beispiel eine E-Mail bekomme, sollte man innehalten und überlegen, ob die Inhalte tatsächlich plausibel sind. Es gibt recht eindeutige Merkmale an denen man erkennen kann, ob es sich um eine Phishing-Mail handelt. Dazu gehören zum Beispiel E-Mails von unbekannten Absender:innen. ABER: auch bekannte Absender:innen sind nicht unbedingt ein Sicherheitsmerkmal –so etwas kann ein:e Cyberkriminelle:r ebenfalls fälschen. Deshalb empfehle ich ein gesundes Misstrauen.
So ein Erlebnis hatte ich letztens selbst: ich wusste, dass ein Kunde plante, für mich in seinem System einen Account anzulegen. Ich bekam eine entsprechende E-Mail, in der ich Benutzername und Passwort eingeben sollte. Diese Mail kam allerdings völlig aus dem Nichts eine Woche später, sodass ich mich gefragt habe: Stammt das wirklich von meinem Kunden? Es gab nichts, das darauf schliessen liess, dass diese Mail wirklich von ihm gesendet wurde. Also habe ich das Ganze hinterfragt und dann entschieden: Ich lösche das. Wenn die Nachricht von meinem Kunden stammt, wird er sich schon melden.
Seien Sie also lieber etwas vorsichtiger, hinterfragen Sie Dinge. Es gibt mittlerweile wesentlich fiesere Maschen als den nigerianischen Prinzen, der einem fünf Millionen Dollar vererben möchte. Die Attacken sind sehr perfide, daher ist ein hohes Mass an Vorsicht angebracht. Deswegen sorgen Sie für eine Multi-Faktor-Authentifizierung, aktuelle Virenscanner und Firewalls und hegen Sie ein gesundes Misstrauen gegenüber den Dingen, mit denen Sie tagtäglich konfrontiert sind.
Stefan Köster steht für pragmatische Lösungsvorschläge zur Umsetzung der Datenschutzgrundverordnung (DSGVO) sowie als externer Datenschutzbeauftragter für kleine und mittelständische Unternehmen (KMU). Diese Kompetenz verbindet er mit seiner Expertise im Bereich „Security & Compliance in Microsoft 365“ sowie seinen praxiserprobten Methoden zur Umsetzung von regulatorischen Anforderungen in Microsoft 365 sowie die Einführung von Microsoft Teams. Stefan Köster hat über 20 Jahre in führenden Unternehmensberatungen DAX-Konzerne bei der Digitalisierung ihrer dokumentenbasierten Geschäftsprozesse beraten und ist seit 2015 als Freiberufler tätig.