Cyberangriffe - Gefahr im eigenen Haus?

Die unterschätze Gefahr von Sabotage

"Es gibt zwei Arten von Unternehmen: Die einen sind gehackt worden. Die anderen wissen es nur noch nicht.“ Dies ist ein Zitat des früheren FBI-Direktors James Comey. Nun schon einige Jahre her, könnte es aktueller nicht sein.  56% der Firmenchefs in Deutschland geben in einer Umfrage an, dass es in ihrem Unternehmen keine Hinweise für einen Cyber-Angriff oder Datendiebstahl gebe. Doch sind sie sich da wirklich sicher?

Viele unterliegen der Annahme, aufgrund ihrer geringen Unternehmensgröße kein attraktives Ziel für Hacker zu sein. Das kann verheerende Folgen haben.  So sieht man in den Medien zwar vermehrt Angriffe auf Big Player wie Facebook und Deutsche Bahn, doch das Bundesamt für Verfassungsschutz kommt zu der Erkenntnis, dass gerade kleine und mittlere Unternehmen bevorzugtes Ziel für Spionageattacken und Ausspähungen durch Konkurrenten sind.

Hacker-Eintrittstor Mitarbeiter

Nahezu jedes Unternehmen in Deutschland ist heute in erheblichem Maße digitalisiert.  Ob für die Kommunikation oder Produktionsanlagen - Software wird fast überall gebraucht, Internet ist unverzichtbar. Mit einigermaßen hohem Aufwand und guter Ausrüstung kann ein begabter Hacker in so gut wie jedes Firmennetzwerk eindringen. Doch warum viel Geld und Energie aufwenden, wenn es auch einfach geht? Das Eintrittstor für Hacker ist hier der Mitarbeiter. Schnell und einfach gelingt es Hackern so immer wieder, sich Zutritt in interne Systeme zu verschaffen. Es wird bewusst auf menschliche Schwachstellen gesetzt, die dann mit verschiedenen Methoden ausgenutzt werden. Bekannt ist diese Form des Hacking unter dem Begriff Social Engineering. Geben Mitarbeiter viele Informationen auf Social Media preis, kann sie das besonders attraktiv für diese Form des Angriffes machen.

So kommt es zum Beispiel vor, dass ein angeblicher Headhunter den Mitarbeiter eines Unternehmens anruft um ihn für eine attraktive Stelle abzuwerben. Dafürfragt er den Umworbenen über viele interne Firmendetails aus. Mit diesem Wissen über Zuständigkeiten und Aufgabengebiete, womöglich sogar Zugangsrechte, lässt sich eine Menge anstellen. Doch auch E-Mails sind ein beliebtes Mittel. So können sie die Adresse sowie Signatur des Kollegen oder Chefs enthalten und damit äußerst vertrauenswürdig wirken. Werden dann vermeintlich unauffällige Anhänge geöffnet, installiert sich eine Schadsoftware.

Eine andere Methode: Ein Mitarbeiter findet auf dem Firmenparkplatz einen USB-Stick. Um zu sehen, was sich auf diesem befindet schließt er ihn an seinem PC an und schon ist das Schadprogramm auf dem Rechner. Das funktioniert erstaunlich erfolgreich.

Mutwilliger Schaden durch Innentäter

Doch auch böswillige Sabotageakte von aktuellen oder ehemaligen Mitarbeiten sind verbreitet. Ein Schutz dagegen ist schwer möglich. So gibt es zum einen die ‚böswilligen Insider‘. Sie handeln mutwillig und versuchen sich auf Firmenkosten zu bereichern oder dem Unternehmen direkt zu schaden. So können sie wertvolle Daten stehlen, sensible Informationen an die Öffentlichkeit geben oder IT Systeme sabotieren. Auf der anderen Seite sind es fahrlässige oder fehleranfällige Mitarbeiter. Sie wollen dem Unternehmen zwar nicht beabsichtigt Schaden zuführen, doch setzen sie es durch Fehler und Nachlässigkeit einem ebenso großen Risiko aus. Zum Beispiel aufgrund einer Misskonfiguration durch einen Entwickler oder das Verlieren einer Festplatte mit sensiblen Daten.

Sucht man nach den Ursachen, ist Nachlässigkeit oft die Folge mangelnder Fortbildungen oder nachlassender Arbeitsmoral. Mutwillig handelnde Mitarbeiter werden jedoch in zweierlei Hinsicht oft missverstanden. Zum einen wollen sie nicht immer unbedingt der Firma selbst Schaden zufügen. Oft handeln sie aus persönlichen Interessen. Beispielsweise könnte ein Mitarbeiter Kundendaten missbräuchlich zu eigenen Gunsten nutzen, ohne dem Arbeitgeber damit direkt schaden zu wollen. Weiterhin gibt es Mitarbeiter, die aufgrund eines erhöhten Bedürfnisses nach Aufmerksamkeit oder in der Annahme im Sinne des Allgemeinwohls zu handeln, vertrauliche Informationen enthüllen.

Die Motive zu verstehen kann Unternehmen helfen eine Strategie zur Vermeidung solcher Vorfälle zu entwickeln. Ebenso wichtig sind die ständige Fortbildung und das Sensibilisieren von Mitarbeitern gegen Cyber-Risiken.