„Der Schlüssel ist, die Leute mit ins Boot zu nehmen“

Laut einer Bitkom-Umfrage waren in den Pandemie-Jahren 2020/21 die Schäden für die deutsche Wirtschaft durch Cyberangriffe mit 223 Milliarden Euro verglichen mit den beiden Jahren davor mehr als doppelt so hoch. Und: Seit Beginn der Pandemie haben fast 60 Prozent der Unternehmen mit Homeoffice-Option IT-Sicherheitsvorfälle registriert, die sich auf Heimarbeit zurückführen ließen. Grund genug, sich mit einem Experten über die IT-Sicherheit im Homeoffice zu unterhalten.

Sören Beutel-Fischer: SoSafe ist ja kaum älter als Corona. Mein komplettes Onboarding hat deshalb remote stattgefunden. Da hatte ich das Glück, dass die ganze Technik so aufgesetzt war, dass alles reibungslos geklappt hat. Meine Erfahrung ist: Phishing-Attacken gab es zwar auch vorher schon in einem riesigen Ausmaß, nun aber wurden all die Krisen aufgegriffen. Zum Beispiel war es ein gefundenes Fressen für die Angreifer, wenn es neue Informationen zur Corona-Situation gab. Die meisten Leute saßen ja im Homeoffice und wollten wissen, ob sie weiter zu Hause arbeiten dürfen oder nicht. Am Anfang des Krieges gegen die Ukraine hat das Thema Spenden gut funktioniert. Daran sieht man, wie perfide das ist. Das ist ein riesiger Wirtschaftszweig, der psychologische Muster ausnutzt, um zu falschen Handlungen zu animieren.

Beutel-Fischer: Wir haben für unseren „Human Risk Review“ auch eine Phishing-Simulation. Vor Corona haben rund 12 Prozent auf solch eine vermeintliche Phishing-Mail geklickt, zu Homeoffice-Zeiten 30 Prozent! Woran liegt’s? Der Flurfunk hat auch Vorteile: Bin ich im Büro, höre ich von Kollegen, wenn wem etwas komisch vorkommt. Solche Warnsignale fehlen im Homeoffice. Allein auf dieser Ebene sehen wir eine viel höhere Gefahr. Darüber hinaus mussten manche Unternehmen die Technik fürs Homeoffice schnell nachrüsten. Da sind Fehler passiert. Durch das Homeoffice ist schlicht die Angriffsfläche größer. Der Angreifende hat zuvor nur das Unternehmen mit seinem Netzwerk gesehen. Jetzt hat er nicht mehr nur die eine Stelle, an der er angreifen kann, sondern viele einzelne Stellen, die hoffentlich geschützt sind. Aber: Das BSI hat Ende 2020 gemeldet, dass nur 38 Prozent aller Firmen ihre mobilen Geräte über VPN oder Ähnliches absichern.

Beutel-Fischer: Das Homeoffice hat Vor- und Nachteile. Dass es keinen direkten Austausch gibt und mich der Flurfunk nicht schützt, davon war gerade schon die Rede. Andererseits gibt es dank Homeoffice auch Taktiken, die sich nicht nutzen lassen, wenn keiner im Büro ist, zum Beispiel das Tailgating. Dabei gelangt der Angreifer aufs Unternehmensgelände, indem er einfach jemandem dicht hinterherläuft. Oder er schleppt einen scheinbar sehr schweren Umzugskarton, dann wird er schon mal mit reingelassen, ohne dass er eine Keycard braucht. Wir Menschen sind halt hilfsbereite Wesen. Oder der USB-Stick, auf dem „Vorstandsgehälter“ draufsteht und der auf dem Parkplatz fallengelassen wird, den kann kein Mitarbeiter „finden“, wenn er da gar nicht rumläuft. Insofern ist die Angriffsfläche kleiner geworden, weil die Leute nicht vor Ort sind.

Andererseits dürften die meisten in der Pandemiezeit zum ersten Mal von Teams, Zoom oder Slack gehört haben. Und eine E-Mail „Wir haben hier ein neues Collaboration-Tool oder ein Update, das Du installieren sollst“ hat jetzt eine ganz andere Erfolgschance als vor fünf Jahren. Ich würde nicht sagen, dass das Homeoffice aus Sicherheitssicht nur gut oder nur schlecht ist, ganz sicher aber ist die Komplexität gestiegen.

Beutel-Fischer: Technisch ist das gleich. Aber die Versuchungen sind größer. Wenn mir in der Firma ein USB-Stick zum Datenaustausch gegeben wird, dann nutze ich den. Wenn ich ihn zu Hause nicht habe, erfolgt der Griff zu meinem privaten Gerät schneller. Da sind wir beim menschlichen Faktor: Ich muss dem Mitarbeitenden erklären, warum er das nicht machen darf, weil halt auf dem privaten Gerät der technische Schutz nicht in dem Maß gegeben ist. Eine Anekdote aus der Zeit vor Corona zeigt, wie schnell es zu Querinfektionen aus dem Privaten ins Berufliche kommen kann. Da hat ein Abteilungsleiter privat eine E-Mail bekommen, bei der er sich nicht sicher war, ob die böse war oder nicht. Deshalb hat er sie an seine dienstliche Adresse weitergeschickt, weil er dort „super geschützt“ ist, und hat dann den Anhang geöffnet. Da hilft nur Awareness, also, die Risiken bewusst zu machen, klarzumachen, warum so ein Verhalten keine gute Idee ist.

Beutel-Fischer: Die technischen Aspekte machen bei der IT-Sicherheit viel aus, aber Sicherheit ist nicht loszulösen vom Menschen. Wir müssen befähigt werden, damit umzugehen, und wir müssen auch unser Verhalten anpassen, was gar nicht so einfach ist. Mit dem erhobenen Zeigefinger oder ganz restriktiv zu sein, ist da nicht die Lösung, weil dann verweigert oder umgangen wird. Genauso wenig bringt es etwas, dem Mitarbeitenden einmal eine halbe Stunde lang ein Thema an den Kopf zu werfen. Da wird er wenig mitnehmen und in einem halben Jahr hat er das auch wieder vergessen. Kontinuierliches Üben und stückweises Vermitteln helfen dagegen sehr. Ohne Begründung nur zu sagen, du darfst das nicht, funktioniert auch nicht. Der Schlüssel ist, die Leute mit ins Boot nehmen. Das ist auch finanziell interessant. Technische Lösungen sind teuer. Besser ist es, Technik und Mensch zu kombinieren.

Beutel-Fischer: Informationssicherheit ist immer Risikominimierung. Ich will die Hürden für den Angreifer so hoch wie möglich legen. Wenn ich ganz am Anfang bin, muss es vielleicht noch nicht gleich ein Dienstleister sein, sondern es ist schon ein Schritt in die richtige Richtung, wenn sich zunächst die Geschäftsführung damit beschäftigt. Ab einem gewissen Punkt wird es aber schwer, die Risiken mit internen Ressourcen aufzufangen, wenn ich nicht gerade aus der IT bin. Es ist dann illusorisch zu denken, ich könnte so viel Know-how aufbauen oder einstellen, dass ich das selbst hinkriege. Und es wäre auch nicht wirtschaftlich angesichts des Fachkräftemangels, dass sich jede Firma ein IT-Department aufbaut. Der Dienstleister ist am Ende des Tages doch die bessere Wahl.

Beutel-Fischer: So doof es klingt – das Problem Nummer eins hat nichts mit Corona oder Home­office zu tun. Es ist seit Jahrzehnten die E-Mail. Jedes Unternehmen hat damit zu tun. Zumindest das Passwort-Zurücksetzen läuft über einen E-Mail-Dienst, Mitarbeitende erhalten eine E-Mail, wenn eine neue Software eingeführt wird, und so weiter.

Ein weiteres Problem ist Social Engineering. Bei den größeren Unternehmen kommt es immer öfter vor, dass jemand anruft und sich als ein anderer ausgibt, um an Informationen zu kommen. Kevin Mitnick, ehemaliger Hacker und Social-Engineering-Experte, schreibt in seinem Buch „The Art of Deception“, er habe zum Kompromittieren von Rechnern nur Passwörter genutzt, die er via Social Engineering erbeutet hat. Es ist leider immer noch so, dass ich sensibelste Informationen über menschliche Interaktion herauskriege.

Natürlich braucht man Antivirenschutz, Spamfilter und technische Maßnahmen wie ein VPN, wenn man im Homeoffice unterwegs ist, aber dann kommt ganz schnell der Faktor Mensch ins Spiel. Der Mail-Standard SMTP ist von Anfang der 80er-Jahre, da hat man sich noch nicht so viele Gedanken über Sicherheit gemacht. Das heißt: Wir müssen uns wappnen und als Menschen die letzte Verteidigungs­linie sein. Wir müssen zur menschlichen Firewall werden.

Beutel-Fischer: Wir kennen das sicher alle von früher, dass sich einer vorne hingestellt und eine Stunde etwas über Arbeitssicherheit erzählt hat. Keiner hat zugehört, aber der Haken dahinter war gemacht. So war das lange auch beim Awareness-Training. Bei SoSafe läuft das ganz anders. Einer unserer Gründer ist Psychologe. Wir gehen nicht rein IT-mäßig an die Sache ran, sondern berücksichtigen wissenschaftliche Erkenntnisse, wie man gut lernt. Sachen zu wiederholen, hilft zum Beispiel. Eine Stunde am Stück aber wäre für unsere Aufmerksamkeitsspanne nicht so gut. Nicht so gut wäre es für das Unternehmen auch, wenn es alle Mitarbeitenden eine Stunde aus der Arbeit reißen müsste.

SoSafe nutzt deshalb eine Online-Plattform, alles ist in der Cloud, wir kommen nicht vorbei, die Firmen brauchen keinen ITler dafür, die Mitarbeitenden können selbst wählen, wann sie das machen, und die Lerninhalte sind drei bis acht Minuten lang, das lässt sich zwischendurch, vielleicht beim Kaffee, einbauen. Und wir machen natürlich auch Gamification. Das Lernen macht Spaß und motiviert, weil man zum Beispiel  Abzeichen verdienen kann.

Beutel-Fischer: Ja, wir machen Phsihing-Simulationen. In Abstimmung mit dem Unternehmen und datenschutzkonform schicken wir Phishing-Mails an die Mitarbeitenden. Dabei greifen wir aktuelle Themen auf. Kürzlich haben wir zum Beispiel von einem Unternehmen erfahren, dass dort eine Fake-Einladung zu einem Teams-Meeting kursiert. Aus so etwas bauen wir sofort einen Phishing-Köder. Wenn dann ein Mitarbeitender auf so einen Link klickt oder einen Anhang öffnet, wird ihm direkt gezeigt, schau, das hätte jetzt böse ausgehen können, ist es aber zum Glück nicht, und wir sagen auch, woran er die Gefahr hätte erkennen können. Das ist situatives Lernen, wenn man in der Stresssituation im Arbeitsalltag gezeigt bekommt, wie man es anders oder besser hätte machen können.

Beutel-Fischer: Auf keinen Fall, wir picken nicht hinterher den Mitarbeiter heraus und der Chef erfährt, dass der auf die Mail geklickt hat, und schickt ihm vielleicht eine Abmahnung. Das ist bei uns technisch gar nicht möglich. Unser Ziel ist einzig, die Sicherheit des Unternehmens zu erhöhen, und nicht, jemanden bloßzustellen.

Beutel-Fischer: Genau, der Schlüssel ist die Vorbildfunktion der leitenden Personen in einem Unternehmen. Wenn mein Chef oder meine Chefin das Thema nicht ernst nimmt und zum Beispiel selber den Bildschirm ungesperrt lässt, das private Gerät ständig für dienstliche Dinge benutzt oder, noch besser, im ICE am Telefon die Geschäftsgeheimnisse quer durchs Abteil schreit, wenn er oder sie mit dem Mitarbeitenden auf Dienstreise ist, dann wird dieser selber auch nicht so viel darauf geben. Die Chefs müssen Sicherheit vorleben. Einfach nur den Scheck auszustellen und das war’s dann, bringt nichts.