Hafenarbeiter am Heck eines Schiffs

Hafenarbeiter als Teil der Lieferkette: Mitarbeiter sollten für mehr Sicherheit geschult werden. (Bild: Idanupong/Adobestock)

In Zeiten der Corona-Pandemie scheint es manchmal, als würden sich die Räder des wirtschaftlichen Uhrwerks ein wenig langsamer drehen als sonst. Da könnte man auch meinen, dass auch Cyberkriminelle ihr Handwerk „mit angezogener Handbremse“ verrichten. Doch das Gegenteil ist der Fall.

Für Hacker ist die Unsicherheit, in der sich Unternehmen und Arbeitnehmer befinden geradezu ideal, um ihre Opfer finanziell zu schädigen. So ist das Corona-Virus die Basis für die wohl größten Kampagnen mit einem einzigen thematischen Schwerpunkt, die bisher überhaupt stattgefunden haben. Das sagt der US-amerikanische Cybersecurity-Spezialisten Proofpoint.

Mehr Information der Mitarbeiter für weniger Risiko

Aber Unternehmen und Organisationen stehen Cyberattacken nicht schutzlos gegenüber. Mit dem richtigen Ansatz lässt sich das Wissen und die Sensibilität der Mitarbeiter für die digitale Sicherheit signifikant verbessern.

Dies ist auch dringend nötig, denn wie schlecht es um das Wissen über potenzielle Bedrohungen steht, haben die Experten von Proofpoint erst kürzlich in ihrem jährlichen Bericht „State of the Phish“ aufgezeigt.

Hier wurden mehr als 3.500 berufstätige Erwachsene aus Deutschland, Frankreich, Spanien, den Vereinigten Staaten, Großbritannien, Japan und Australien zu ihren Kenntnissen über Cybersicherheit befragt.

Dazu gehört das Wissen um typische Cybersicherheits-Begriffe wie Phishing oder Ransomware und das Verständnis über die Grenzen technischer Schutzmaßnahmen. Außerdem gingen die Analysten der Frage nach, ob jüngere Mitarbeiter gegenüber ihren älteren Kollegen über einen Vorsprung verfügen.

Fehlendes Know-how über IT-Sicherheit weltweit

Dabei gab es bereits bei einfachen Begriffen wie Phishing, Ransomware oder Malware große Lücken. So beantwortete lediglich die Hälfte der Befragten in den USA die Frage, was Phishing ist, richtig.

In Deutschland waren es immerhin 66 Prozent, damit aber immer noch recht wenig. Unter Ransomware konnten sich nur 31 Prozent etwas vorstellen – in Deutschland lediglich 23 Prozent.

Im Gegensatz dazu konnten 66 Prozent aller Befragten weltweit mit dem Begriff Malware etwas anfangen. Hier waren knapp ein Drittel der US-Befragten tatsächlich der Meinung, Malware wäre eine Art Hardware, die WLAN-Signale verstärkt.

So wenig das Bewusstsein für die Gefahren entwickelt ist, so kritisch ist auch der oft laxe Umgang mit der IT-Infrastruktur zu bewerten. Zwar setzt beispielsweise die Mehrheit auf die Absicherung ihrer Smartphones und Tablets, aber zehn Prozent nutzen noch immer keinerlei Sperre auf ihrem Gerät. Dabei reicht es vollkommen aus, Zugriff auf ein einziges Gerät zu erlangen, um auf vertrauliche und unternehmensinterne Informationen zugreifen zu können.

Lieferketten besonders gefährdet

In einer Lieferkette kann das fatale Folgen haben. Oft sind die IT- und OT-Systeme eines Herstellers mit externen Partnern integriert. Das sind etwa Logistik-Dienstleister, Zulieferer oder gegebenenfalls die Unternehmen, die für die nächsten Produktionsschritte verantwortlich sind.

Die Kommunikation zwischen internen oder auch externen Partnern der Supply Chain zu infiltrieren ist eine noch relativ junge Masche Cyberkrimineller. Doch sie kann großen Schaden anrichten. Das passiert spätestens dann, wenn Gelder durch gefälschte Rechnungen oder manipulierte Kontoangaben auf die Konten der Angreifer umgeleitet werden.

 

Unterschied zwischen IT- und OT-Systemen

IT, also Informationstechnologie, ist das gesamte Spektrum an Technologien zur Datenverarbeitung. Das umfasst beispielsweise Software, Hardware, Kommunikationstechnologien und damit verbundene Services. Allerdings wird unter IT in der Regel nicht eingebettete Technologien verstanden, die keine Daten für den Einsatz im Unternehmen generieren.

Operational Technology (OT) ist dagegen ein relativ neuer Begriff. Die IT-Beratung wie Gartner erklärt ihn wie folgt:

OT ist Hardware und Software, die eine Änderung durch die direkte Überwachung und/oder Kontrolle von physikalischen Geräten, Prozessen und Ereignissen im Unternehmen erkennen oder verursachen.

Gefälschte Mails als solche erkennen

So sind beispielsweise Mails im Umlauf, die eine dringende Anfrage eines Geschäftspartners vorgaukeln. Sie handeln zum Beispiel von einer vorzeitigen Begleichung anstehender Zahlungen an ein anderes Konto.

Als weiteres Beispiel dient der Lieferant aus Fernost, der finanzielle Mittel benötigt um plötzlich auftauchende Probleme mit Zertifikaten zu lösen. Dabei wird häufig Druck auf einen Sachbearbeiter aufgebaut, der in dieser Situation vermeintlich schnell und ohne Rücksprache reagieren muss.

Die Cyberkriminellen gehen hier raffinierter vor, als es sich die meisten vorstellen können und spionieren ihre Opfer detailliert aus. Unter anderem nutzen sie die sozialen Medien, um in Erfahrung zu bringen, ob etwa bestimmte Vorgesetzte sich im Urlaub befinden.

Dann verwenden sie entweder E-Mail-Adressen bei freien Anbietern und täuschen einen Mail-Versand von einem „privat genutzten“ Mail-Account des Vorgesetzten vor. Oder sie gehen noch geschickter vor, indem sie auch das Format des dienstlichen E-Mail-Kontos täuschend echt nachahmen (es „spoofen“). So erzeugen sie den Anschein von Legitimität.

Mitarbeiter müssen gegen Cyber-Attacken sensibilisiert werden

Man kann Täuschungsversuche und kriminelle Aktivitäten aber auch rechtzeitig erkennen. Moderne Technologie kann einen gewissen Schutz bieten.

Zusätzlich müssen die Arbeitnehmer allerdings hinsichtlich der Gefahrenlage sensibilisiert werden, denn von allein ist es schwer, verdächtige Vorgänge richtig einzuordnen. So müssen Unternehmen ihre Mitarbeiter im Rahmen von kontinuierlichen Schulungsmaßnahmen auf Gefahrensituationen vorbereiten.

Doch eine Informationsveranstaltung ist oft schon nach kurzer Zeit vergessen. Daher ist es sinnvoll, zusätzlich praktische Übungen durchzuführen, etwa simulierte Angriffe mit Betrugs-E-Mails, um die Reaktion der Beschäftigten zu testen und zu verbessern.

Wie sich zweifelsfrei nachweisen lässt, bleibt das Erlernte weitaus besser im Gedächtnis und wird angewandt, wenn dies in praktischen Übungen trainiert, als wenn dies nur in Form von Vorträgen, sei es on- oder offline vorgetragen wird.

Gerade in Lieferketten ist es wichtig, dass alle Beteiligten in ein übergreifendes Cybersicherheitskonzept mit gemeinsamen IT-Sicherheitsstandards eingebunden sind. Dabei ist der Grund der Cyber-Attacke egal, das kann Erpressung, die Umleitung von Geldern oder Spionage sein.

Denn nur so, zusammen mit der Sensibilisierung der Mitarbeiter, kann eine Produktion von Anfang bis zum Ende nachhaltig und effizient abgesichert werden

Gut zu wissen

  • Etwa 50 Prozent lassen Freunde und Familie auf unternehmenseigene Geräte zugreifen.
  • Nur 23 Prozent der deutschen Befragten konnten etwas mit dem Begriff Ransomware anfangen.
  • Nur 20 Prozent der deutschen Umfrageteilnehmer schätzen Risiken bei öffentlichen WLANs richtig ein.
  • Bei 46 Prozent der Befragten wurde bereits ein erfolgreicher Phishing-Angriff durchgeführt.

Quelle: State of the Phish, Proofpoint

Immer informiert mit den Newsletter von TECHNIK+EINKAUF

Hat Ihnen gefallen, was Sie gerade gelesen haben? Dann abonnieren Sie unseren Newsletter. Zwei Mal pro Woche halten wir Sie auf dem Laufenden über Neuigkeiten, Trends und Wissen rund um den technischen Einkauf - kostenlos!

Newsletter hier bestellen!

Sie möchten gerne weiterlesen?