IT- und Datensicherheit
20. Juni 2022 5:58  Uhr

Mitarbeiter für Cybercrime sensibilisieren

Dass Angriffe aus dem Netz kein Hirngespinst, sondern eine reale Bedrohung sind, ist langsam in den Köpfen angekommen. In Regensburg will man das Thema künftig mit einem regelmäßigen Cybersecurity-Kongress adressieren.

Worst Case: Wenn Sicherheitslücken den Angreifern im Netz Tür und Tor öffnen. Foto: NicoElNino-stock.adobe.com

Von Gerd Otto

REGENSBURG. Der 1. Regensburger Cybersecurity-Kongress ist – darin waren sich alle Experten einig – angesichts der Brisanz des Themas keineswegs zu früh gekommen. Vielmehr waren die Veranstalter rund um den IT-Sicherheitscluster e. V., die Digitale Gründerinitiative Oberpfalz (DGO), die OTH Regensburg, das Polizeipräsidium Oberpfalz sowie die Handwerkskammer Niederbayern-Oberpfalz und die IHK Regensburg für Oberpfalz/Kelheim, überzeugt, dass Cybercrime künftig einen enorm hohen Stellenwert für Wirtschaft und Gesellschaft bekommen werde.

Impuls für Technologiestandort

Aus dem Blickwinkel Regensburgs und der gesamten Region Ostbayern verknüpfte der Referent für Wirtschaft, Wissenschaft und Finanzen, Prof. Dr. Georg Stephan Barfuß, angesichts dieser Herausforderung mindestens zwei Aspekte, die ihm als besonders zukunftsträchtig erschienen. Angesichts der zunehmenden Gefahren kommt es ihm vor allem darauf an, bei den Bürgern und den Unternehmen für eine höhere Sensibilisierung zu sorgen und konkrete Gegenmaßnahmen anzustoßen.

Gleichzeitig aber plädiert Barfuß in seiner Eigenschaft als Wirtschaftsreferent der Stadt auch dafür, am Standort Regensburg und in der Region Firmen zu fördern, die einen technologischen Beitrag gegen die Cyberkriminalität leisten können. Hier gehe es in hohem Maße um Innovationsfähigkeit. Ihm sei es nach eigenen Angaben besonders wichtig, die Ideengeber zusammenzuführen, die Kräfte zu bündeln – und den Regensburger Cybersecurity-Kongress zu einer festen Einrichtung werden zu lassen. Ein intensiver Erfahrungsaustausch und eine permanente technologische wie auch gesellschaftspolitische Auseinandersetzung seien die Basis dafür, Antworten auf die enormen Herausforderungen zu finden.
Die Lage der IT-Sicherheit in Deutschland erläuterte Prof. Dr. Jürgen Mottok von der Fakultät Elektro- und Informationstechnik der OTH Regensburg. Sein Appell an die Unternehmen lautete, die Kosten für IT-Sicherheit in der Kalkulation nicht zu vernachlässigen. Nicht von ungefähr habe das Allianz-Risk-Barometer bei einer Umfrage unter Risikomanagementexperten Cybervorfälle bereits weltweit noch vor Betriebsunterbrechung, Naturkatastrophen oder Feuer und Explosion als besonders hohe Geschäftsrisiken eingestuft. Vor diesem Hintergrund und der Tatsache, dass der Mensch sich tatsächlich als die größte Schwachstelle erweist, appelliert Mottok an ein ausgeprägtes Sicherheitsbewusstsein.

Fragenkatalog abarbeiten

Nur, wenn alle Mitarbeiter erkennen und akzeptieren, dass die Informationssicherheit ein bedeutender Faktor für den Erfolg eines Unternehmens oder einer Institution ist, könne ein solches Risiko erfolgversprechend bekämpft werden: „Die Belegschaft muss jedenfalls für relevante Gefährdungen sensibilisiert werden.“ Deshalb sollten sich die Unternehmen eine Checkliste erarbeiten, um anhand eines solchen Fragenkatalogs eine Kultur des Sicherheitsbewusstseins zu entwickeln. Neben der Selbsteinschätzung der Mitarbeiter in puncto Security gehe es nicht zuletzt um eine regelmäßige Schulung zu sicherheitsrelevanten Themen und die Frage, in welchem Maße die Mitarbeiter eigenverantwortlich an Themen der IT-Sicherheit beteiligt werden. Konkret spricht sich Jürgen Mottok auch für eine sorgfältige Aufbewahrung und den zusätzlichen Schutz vertraulicher Informationen und Datenträger aus.

Wichtig sei auch ein Verhaltenskodex rund um sicherheitsrelevante Fragen. Vor Wartungs- und Reparaturarbeiten durch Mitarbeiter von Fremdfirmen sollten vertrauliche Informationen sorgfältig behandelt und verwahrt werden. Außerdem müsse der Kenntnisstand der eigenen Mitarbeiter in Sachen IT-Sicherheit regelmäßig überprüft werden. Neben der Überlegung, wie Sicherheitsvorgaben kontrolliert und Verstöße dagegen „geahndet“ würden, komme es ganz grundsätzlich darauf an, den Mitarbeitern klare Verhaltensregeln zu vermitteln.

Viele wähnen sich in falscher Sicherheit

Am Beispiel eines Angriffs auf die Ransomware der Pöllath GmbH in Erbendorf wurde im Rahmen einer Podiumsdiskussion der Ablauf einer solchen Attacke auf ein Unternehmen besprochen. Wie Thomas Moosmüller, Geschäftsführer der Breakin Labs GmbH, erläuterte, werden vor allem kleine und mittlere Unternehmen sowie Start-ups immer häufiger als Ziel von Cyberangriffen ausgewählt. In diesem Zusammenhang bedauerte es Moosmüller, dass die IT-Sicherheit als Kostentreiber betrachtet und deshalb vernachlässigt werde. „IT-Sicherheit bringt keinen operativen Erfolg und kostet nur Geld“, sei dabei eine häufige Aussage mittelständischer Unternehmen. Viele Geschäftsführer wähnten sich jedoch in falscher Sicherheit. Mossmüller, dessen Unternehmen erst kürzlich zum Partner des BSI-Projekts „Allianz für Cyber-Sicherheit“ ernannt worden war, empfiehlt regelmäßige, quartalsweise oder jährliche Penetrationstests, damit der Stand der aktuellen IT-Sicherheit verbessert werden kann.

Polizei verweist auf hohe Dunkelziffer

Kriminalhauptkommissar Daniel Dünzinger von der Kriminalpolizei Oberpfalz verwies auf die hohe Dunkelziffer bei Cybercrime und appellierte an die Adresse der Unternehmen, zum einen die Schulung der Mitarbeiter zu intensivieren und andererseits zeitnah den Kontakt mit der Kriminalpolizei zu suchen. Cyberkriminalität im engeren Sinne wird von der Polizei als hochtechnische Straftat eingestuft, die deshalb auch hochtechnische Ermittlungsarbeit aufseiten der Polizei erfordert. Insgesamt gehe es hier um einen hochkomplexen, kriminellen Wirtschaftszweig mit eigenen Wertschöpfungsketten.

Gastbeitrag

Wissen gelangt in die falschen Hände

Dr. Matthias Kampmann, Leiter F&E beim IT-Sicherheitscluster, kennt drastische Beispiele von Cyberkriminalität. Er hat die Erfahrung gemacht: Erpressern wird es sehr leicht gemacht, ihrem einträglichen Geschäft nachzugehen.

Mehr …