Suspicious executive reading on laptop at the office

Bei einigen Mails im Posteingang, sollten Mitarbeitende misstrauisch werden. (Bild: Antonioguillem – stock. adobe.com)

  • Schädliche Software gelangt oft durch Phishing in IT-Systeme.
  • Eine Schulung der Mitarbeitenden senkt das Risiko erfolgreicher Cyberangriffe.
  • Die Trainings sollten kontinuierlich stattfinden, da immer neue Angriffsarten hinzukommen.

Das Risiko von Cyberattacken auf die Chemiebranche ist hoch. Doch die IT-Sicherheit der Unternehmen zeigt Lücken – die Kriminelle auch ausnutzen, wie Analysen im Auftrag der deutschen Versicherer zeigen. Der deutschen Wirtschaft entstehen durch Viren, Schadsoftware und Hacker jährlich Schäden in dreistelliger Milliardenhöhe, stellte eine Bitkom-Studie fest. Cyberangriffe können im schlimmsten Fall dazu führen, dass Produktionssysteme komplett lahmgelegt werden oder sensible Daten in die falschen Hände geraten.

Selbst wenn Verantwortliche schnell auf Hackerattacken reagieren, kann es große Einschränkungen geben, wie das Beispiel des Pumpenherstellers KSB zeigt: Das Unternehmen stoppte im Frühjahr 2022 nach einem Cyberangriff weltweit die Produktion. Wie der Südwestrundfunk berichtete, wurden alle Systeme auf Befall mit Viren und anderer Schadsoftware untersucht und nach und nach wieder ins Netz gebracht. KSB schrieb damals in einer Börsenmitteilung, die Cyberattacke habe möglicherweise Auswirkungen auf die wirtschaftliche Entwicklung des Unternehmens.

Sicherheit & Umwelt
Black hat hacker force demands ransom by holding out his hand on table where sensitive data is hacked in a dark room in the background. Cyber security and cyber crime concept. Hacking and phishing
Sicherheit & Umwelt Angriffssicher

Ist Ihr Unternehmen wirklich gegen Cyberangriffe versichert?

Die Schäden, die Unternehmen durch Cyberangriffe entstehen, steigen von Jahr zu Jahr. Eine Versicherung gegen Cyberangriffe kann Abhilfe schaffen – doch es gibt einiges zu beachten. Mehr lesen.

Cyberkriminelle nutzen die Schwachstelle Mensch

Schädliche Software in IT-Systeme zu schleusen gelingt Hackern oft über Phishing: Das Kunstwort setzt sich aus „Password“ und „Fishing“ zusammen. Als seriöse Bank, Internetanbieter oder anderer Dienstleister getarnt, fordern Spam-E-Mails mit gefälschtem Absender die Empfänger etwa zu einer vorgeblich notwendigen Aktualisierung und der Eingabe vertraulicher Daten auf. Mittels von sich selbst installierender Ransomware gelingt es Kriminellen dann, Firmendaten zu kidnappen und zu verschlüsseln, um anschließend Lösegeld für die Freigabe zu verlangen.

„Digitale Gefahren können auch auf analogen Kontaktwegen lauern“, betont Robert Lohmann. Der promovierte Politik- und Bildungswissenschaftler ist Experte für digitale IT-Sicherheitstrainings beim Lerntechnologie-Anbieter IMC. Gegründet hat das Unternehmen vor mehr als 25 Jahren der ehemalige Bitkom-Präsident Prof. Dr. August-Wilhelm Scheer. „Neben Links in E-Mails nutzen Hacker auch USB-Sticks, die gezielt an Mitarbeitende geschickt oder in Büros einfach abgelegt werden, oder sie kontaktieren Beschäftigte direkt, um Daten auszuspionieren“, erläutert Lohmann weiter.

Sicherheit & Umwelt
Server room, tablet and engineer with connection cable for maintenance or software update at night. Cybersecurity, it programmer and coder man with technology for database networking in data center.
Sicherheit & Umwelt Behördlich angeordnete Cybersecurity

Was jetzt auf die Automatisierungstechnik zukommt

In einer perfekten Welt würde Security by Design gelebt, wäre jegliche Messtechnik einer Anlage im IoT vernetzt und Künstliche Intelligenz würde in dem Datenwust nützliche Muster finden. Wie weit ist derzeit die reale schon an der perfekten Welt dran? Mehr lesen.

Neben einem nicht ausreichend geschützten Netzwerk ist damit der Faktor Mensch ein großes Risiko für die IT-Sicherheit. Ob es Unternehmen gelingt, Cyberattacken abzuwehren, hängt vor allem von den Personen ab, die dort arbeiten: „Je mehr die Beschäftigten darüber wissen, wie Hackerangriffe gelingen können, desto leichter lassen sich Cyberattacken verhindern“, sagt Lohmann. Unternehmen sollten deshalb alle Angestellten – ob in der Verwaltung oder Produktion – über „Social Engineering“ aufklären. Der Begriff lässt sich mit „Soziale Manipulation“ übersetzen, wenn also Kriminelle menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten ausnutzen, um an sensible Daten zu kommen und in IT-Systeme einzudringen.

Im digitalen Lernspiel „Cyber Crime Time“ lernen Beschäftigte gängige Cyber-Angriffstechniken kennen.
Im digitalen Lernspiel „Cyber Crime Time“ lernen Beschäftigte gängige Cyber-Angriffstechniken kennen. (Bild: IMC)

Beschäftigte für IT-Sicherheit sensibilisieren

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet den Faktor Mensch nicht als Sicherheitslücke, sondern als möglichen Abwehrschirm gegen Cyberangriffe: „Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme. Das bedeutet zunächst, dass ein Problembewusstsein für Cybersicherheit geschaffen werden muss. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen“, ist auf der Webseite des BSI zu lesen. Hilfreich dabei sei ein Wechsel des Blickwinkels.

Genau hier setzt das von IMC entwickelte Awareness-Training „Cyber Crime Time“ an: In dem einem PC-Spiel ähnlichen E-Learning – auch Serious Game genannt – schlüpfen Lernende in die Rolle eines Hackers. Durch die Interaktion mit der Spielfigur sollen Mitarbeitende die gängigsten Cyber-Angriffstechniken kennenlernen und spielerisch vermittelt bekommen, wie sie sich und ihren Arbeitgeber davor schützen können. Ob die Lerninhalte verstanden wurden, zeigen integrierte Testfragen. Mithilfe von Vertiefungsmodulen und Video­serien ist das Spiel als kontinuierliche Lernreise konzipiert. „Ein nachhaltiges Sicherheitsbewusstsein lässt sich nicht mit einer einmaligen Lernmaßnahme erreichen. Es braucht eine dauerhafte Auseinandersetzung mit dem Thema Cybersicherheit“, meint Robert Lohmann.

Markt
Der Cyber Resilience Act soll unter anderem im Maschinenbau mehr Cybersecurity ermöglichen.
neue verpackung Markt Wie die EU Cybersecurity mit einem neuen Gesetz stärken will

Warum der Cyber Resilience Act für (Verpackungs-)Maschinenbauer wichtig ist

Der Cyber Resilience Act, eine Verordnung der Europäischen Union, zielt darauf ab, die Sicherheit und Widerstandsfähigkeit digitaler Produkte zu stärken. Angesichts der zunehmenden Vernetzung und Digitalisierung in der Industrie, einschließlich des Sektors der Verpackungsmaschinen, soll so die Cybersecurity erhöht werden. Mehr lesen.

Dass Security-Awareness-Trainings wirken, zeigt eine Analyse des Softwareentwicklers Knowbe4: Das Unternehmen hat 2023 Daten in mehr als 35.000 Unternehmen aus weltweit 19 Branchen ausgewertet, dazu mehr als 32 Mio. Phishing-Security-Tests durchgeführt. Ohne Sicherheitsschulung klickte ein Drittel der Mitarbeitenden auf einen verdächtigen Link in einer E-Mail oder kam einer betrügerischen Anfrage nach. Führten Unternehmen vorab eine Kombination aus Awareness-Trainings und simulierten Phishing-E-Mails durch, änderten sich die Ergebnisse deutlich: nach 90 Tagen sank die durchschnittliche Phishing-Anfälligkeit auf 20 %, nach zwölf Monaten regelmäßiger Sensibilisierung betrug sie weniger als 6 %.

Sie möchten gerne weiterlesen?