Rund 200 Partner besuchten in Bochum den 6-Techday von G Data und Ionos.
Der 6. Techday von G Data in der Firmenzentrale in Bochum war erst seit wenigen Stunden zu Ende, noch im Zug nach München poppte im E-Mail-Account des CRN-Redakteurs eine Nachricht von "Oskar Hoffmann" auf, der sich als Anwalt seiner Firma ausgab und den Adressaten dringend bat: "Sie sollten so schnell wie möglich bezahlen". Der Link "Strafzettel 758234" war der Mail beigefügt. Ein Klick darauf hätte wahrscheinlich die Daten auf dem Notebook verschlüsselt, vielleicht aber auch einen schlafenden Trojaner installiert, der erst dann aktiv geworden wäre, wenn sich der PC mit dem Firmennetzwerk verbunden hätte. Der Spam-Filter hatte die Phishing-Mail nicht aussortiert, die technische Security versagte also. Nicht aber der gesunde, beziehungsweise vor Cybergefahren zuvor sensibilisierte Menschenverstand.
Erst wenige Stunden ist es her, dass G Data den Partnern auf dem Techday seine Awareness-Tools vorgestellt hat, mit denen Mitarbeiter geschult werden, um auf solche Phishing-Angriffe nicht hereinzufallen. Warum Unternehmen bisweilen nur ihre Top-Manager und Führungskräfte diesbezüglich resilient machen, ist G Data-Gründer Andreas Lüning ein Rätsel. "Security-Awareness-Schulungen nach Hierarchieebenen durchzuführen, ist doch absurd," sagt er.
Jeder, der vor einem Computer sitzt, müsse wissen, wie Cyberkriminelle vorgehen und wie sie ihre Opfer zu manipulieren verstehen, so Lüning. Angriffe auf ausgewählte Personen - Stichwort Sozial Engineering - sei mittlerweile weit verbreitet. "Hacker haben die Spam-Gießkanne weggelegt, sie greifen gezielt Personen an, von denen sie zuvor Informationen gesammelt haben." IT-Sicherheit ist keine Frage des ausschließlichen Einsatzes von Technologien, wie leider noch zu viele Firmen glauben. Das stärkste Glied in der Kette zahlreicher Security-Systeme kann kein Firmennetzwerk schützen, wenn Mitarbeiter nicht geschult werden. Das hat mittlerweile sogar der Gesetzgeber erkannt. Jeder kann es in der neuen Ausgabe von "IT-Security in Zahlen" von G Data nachlesen, wie CRN zuvor berichtete.
NIS2 kommt in einem Jahr
Die NIS-2-Richtlinie, so zusagen die Weiterentwicklung der KRITIS-Richtlinie, soll bis Oktober 2024 in nationales Recht übertragen werden. Noch liegt nur ein Entwurf vor, der aber sieht neben verschärften Regelungen wie der Aufstellung eines Notfallplans auch verpflichtende Security-Awareness-Schulungen vor. Schätzungen zufolge werden in Deutschland 35.000 bis 40.000 Unternehmen von NIS-2 betroffen sein, also wesentlich mehr als nur Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) hohe Sicherheitsstandards erfüllen müssen wie Energieversorger oder Krankenhäuser.
"Wir können Firmen dabei unterstützen, das eigene Risiko zu ermitteln. Wie wahrscheinlich ist ein Cyberangriff und was wären die Auswirkungen auf das Unternehmen, auf die Gesellschaft und die Wirtschaft? Außerdem müssen Maßnahmen getroffen werden, um das Risiko zu senken, darunter die Erstellung eines Notfallplans, das Sorgen für IT-Sicherheit und das Schließen von Schwachstellen. Das Ganze muss immer wieder neu bewertet und nachgebessert werden," erläutert Lüning. Es kommt viel Arbeit auf IT-Dienstleister, MSSPs und Berater zu, freilich auch viel neues Geschäft, das G Data anschieben wird.
Seite 2: Angriff auf die Ruhr-Universität Bochum und Lehren daraus
