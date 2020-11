Heute wird weltweit der Tag der Computersicherheit begangen. Durch die Pandemie arbeiten zahllose Mitarbeiter von zu Hause - eines der größten Experimente in der Geschichte der Informationstechnologie. Dabei waren die Gefahren wahrscheinlich noch nie so groß wie heute.

Von Mark Ehren, boerse.ARD.de

Ziel des im Jahr 1988 erfundenen “Computer Security Day (CSD)” ist es, dem Thema Computer- und Informationssicherheit einen festen Platz im öffentlichen Bewusstsein einzuräumen. Jeder einzelne IT-Nutzer soll für die Gefahren sensibilisiert werden.

Das ist in der Corona-Krise nötiger denn je. Denn seit dem ersten Lockdown arbeiten viele Arbeitnehmer offiziell mobil, tatsächlich aber in den meisten Fällen vom privaten Arbeitsplatz zu Hause. Im Idealfall stellt der Arbeitgeber dabei die Infrastruktur zur Verfügung. Doch häufig ist das eben nicht der Fall.

Mitarbeiter, die eigene Rechner einsetzen, sind dabei besonders gefährdet. Denn sie sind allein für die Sicherheit der Geräte verantwortlich. Eigentlich müssten sie dafür sorgen, dass auf ihrem Gerät immer die neuesten Updates installiert sind. Software-Aktualisierungen betreffen dabei nicht nur das verwendete Betriebssystem, sondern auch die verbaute Hardware und verwendete Programme wie den Browser. Wahrscheinlich wird das manch einen Mitarbeiter überfordern.

Gefahr “Social Engineering”

Auch eine fehlende Sensibilisierung der Mitarbeiter in Bezug auf das so genannte “Social Engineering” birgt Gefahren. Dabei werden fingierte Emails mit einem scheinbar vertrauenswürdigen aber gefälschten Absender verwendet, um Mitarbeiter zu einem für den Arbeitgeber nachteiligen Verhalten zu bewegen.

Ein falscher Klick auf einen Link in der Mail kann auf eine betrügerische Website führen. Auf der wird beispielsweise zur Eingabe sensibler Unternehmens- oder Zugangsdaten aufgefordert - das so genannte “Phishing”.

Oder in der Mail befindet sich eine gefährliche Datei, die der ahnungslose Mitarbeiter öffnet. In den vergangenen Jahren hat die Zahl der Fälle, bei denen Unternehmen von sogenannter “Ransomware” befallen werden, dramatisch zugenommen. Ist eine solche Software von einem schlecht gesicherten Privatrechner erst einmal ins Unternehmensnetzwerk gelangt, können die Folgen dramatisch sein.

Albtraum Ransomware

Ransomware verschlüsselt alle Firmendaten, die die Software findet. Um diese wieder zu entschlüsseln, verlangen Erpresser die Zahlung von Lösegeld in häufig mindestens sechsstelligem Bereich. Häufig werden Firmen dabei nur kurze “Zahlungsziele” eingeräumt, bevor die Geldforderungen weiter erhöht werden. Als Währung dieser Erpresser hat sich dabei der Bitcoin etabliert, da sich Zahlungen damit praktisch nicht zurückverfolgen lassen.

Doch selbst wenn das betroffene Unternehme seine Daten vollständig unverschlüsselt an der anderer Stelle gesichert haben sollte, ist das Unternehmen nicht zwangsläufig aus dem Schneider. Denn für diesen Fall drohen die Expresser, die abgegriffenen Daten unverschlüsselt der Allgemeinheit zugänglich zu machen. Auf diesem Weg können streng geheime Interna das Unternehmen verlassen - die Konkurrenz dürfte sich freuen. Und auch ein Verstoß gegen Datenschutzregeln wäre dann praktisch vorprogrammiert - die Datenschutzgrundverordnung hält dafür empfindliche Strafen bereit.

Schutz kostet Geld

Doch wie können sich Unternehmen schützen? Der einfachste Weg wäre natürlich, die berufliche von der privaten Infrastruktur zu trennen und ausschließlich auf Geräte zu setzen, die das Unternehmen zur Verfügung stellt. Wo das aus Kostengründen nicht gewollt ist, sollten zuallererst so genannte Mehrfaktorauthentifizierungen eingesetzt werden. Dabei legitimiert sich der Mitarbeiter nicht nur an seinem Arbeitsplatzrechner mit einem seinen Login-Daten, sondern zusätzlich an einem weiteren Gerät wie einem Hardware-Token oder auch einem Smartphone. Erst wenn beide Legitimationen durchgeführt wurden, erhält er Zugang zum Unternehmensnetzwerk.

Und auch die gute Schulung von Mitarbeitern sollte nicht unterschätzt werden. Sie kostet zwar Geld, kann aber auch viel Ärger sparen - und sie dürfte sich lohnen.

Laut der Cyber-Security-Studie 2020 gaben 78 Prozent der befragten Unternehmen an, im laufenden Jahr erfolgreich attackiert worden zu sein. Ein beträchtlicher Teil der Fälle hätte sich mutmaßlich mit relativ überschaubaren Aufwand verhindern lassen.

Quelle: boerse.ard.de