Angriff auf Unternehmen per USB-Stick

Wer auf dem Parkplatz seiner Firma einen teuer aussehenden USB-Stick findet und aufhebt, riskiert die Sicherheit seines Unternehmens. Findige Hacker versehen die kleinen Speichergeräte mit Schadsoftware und platzieren die Geräte absichtlich auf Parkplätzen, um Mitarbeiter zu verleiten, den Stick an einen Firmen-Rechner anzuschließen. In der Folge kann sich Schad- und Spionagesoftware installieren.

Der Trick mit dem verlorenen USB-Stick war nur eine mögliche IT-Sicherheits-Lücke, die bei der Informations- und Gesprächsrunde „Digitalisierung und IT-Sicherheit im Mittelstand“ am Mittwochabend, 13. April, bei der QASS GmbH in Wetter (Ruhr) diskutiert wurde. Rund 40 Gäste aus Unternehmen der Region besuchten die Veranstaltung, zu der QASS in Kooperation mit der Wirtschaftsförderungsagentur Ennepe-Ruhr eingeladen hatte.

Mittelstand hat Nachholbedarf
Das Thema hat Brisanz: Digitale Angriffe auf Unternehmen verursachen Schäden von rund 51 Milliarden Euro pro Jahr. Das hat eine Auswertung des Branchenverbandes Bitkom ergeben. Besonders betroffen sind demnach die Automobilindustrie, die Chemieindustrie und das Finanzwesen. Laut Bitkom hat besonders der Mittelstand Nachholbedarf.
Als Referenten konnte QASS Dr. Olaf Röper gewinnen, ehemaliger IT-Leiter bei ThyssenKrupp Industrial Solutions AG, über den Prozess der Digitalisierung in Unternehmen. „Von 2003 bis 2013 hat sich die Wirtschaft gewandelt“, sagte Röper, „70 Prozent der umsatzstärksten Unternehmen der Welt auf der Fortune 500 Liste sind inzwischen neu.“

Wenn der Nutzer das Produkt ist
Digitalisierung ist laut Röper mehr als nur die bloße Automatisierung von Produkten. Sie betreffe immer mehr Unternehmensbereiche. Als Beispiel gab Röper unter anderem Hersteller von Landmaschinen an, deren Fahrzeuge immer mehr Sensoren enthalten, was die Unternehmen in die Lage versetzt, dem Anwender das komplette Agrarmanagement anzubieten.
Zur neuen Ökonomie gehört laut Röper auch die Faustregel: „Wenn der Nutzer nichts bezahlen muss, ist der das Produkt.“ Damit spielte Röper auf Internetkonzerne wie Google, Facebook und Twitter an, die ihre Dienste den Nutzern kostenlos zur Verfügung stellen, dafür aber werberelevante Daten erheben.

Lebenslügen in der IT-Sicherheit
Dr. Peter-Christian Zinn, Physiker bei QASS: „Bei der IT-Sicherheit gibt es drei große Lebenslügen. Erstens: E-Mail ist sicher. Zweitens: Die Cloud ist sicher. Drittens: Die Technik ist sicher.“ Damit nahm Zinn den Menschen in den Fokus, der als Anwender eine große Risiko-Quelle in Unternehmen darstellt. Tomas Garcia, stellvertretender IT-Leiter und Teamleiter IT-Organisation der Dörken Service GmbH, gab ein Beispiel: „Ich habe bei einer IT-Hotline eines Unternehmens angerufen, mich als Mitarbeiter ausgegeben und den Namen absichtlich falsch buchstabiert. Dann habe ich gesagt, ich hätte mein Passwort vergessen und bräuchte dringend ein neues, um schnell etwas für die Geschäftsführung zu erledigen.“ Nur Augenblicke später habe er das Passwort erhalten – ohne, dass die IT-Abteilung die Identität des Anrufers geprüft habe.

„Social Engineering“ trifft ein Fünftel der Unternehmen
„Man muss alle Mitarbeiter sensibilisieren. Dabei gibt es zwei Leitsätze: Sicherheit geht vor Höflichkeit und vor Bequemlichkeit.“ Garcia gab den Tipp, immer den Bildschirm zu sperren, wenn man den Arbeitsplatz verlässt. Gleichzeitig sollten Sicherheitsrichtlinien sowie ein Verantwortlicher geschaffen werden. Angriffe auf Mitarbeiter werden auch „Social Engineering“ genannt. Laut dem Branchenverband Bitkom hat ein Fünftel aller Unternehmen bereits derlei Angriffe registriert. Dabei geht es darum, Mitarbeiter zu manipulieren, um an sicherheitsrelevante Informationen zu gelangen.