Cybersicherheit
21. März 2022 5:50  Uhr

Trautes Heim, Hacker komm herein

Corona hat unsere Arbeit revolutioniert – und dabei die Zahl der Cyberangriffe explodieren lassen. Neben Unzulänglichkeiten in der IT-Infrastruktur liegt das vor allem am „Faktor Mensch“.

Foto: Redpixel – stock.adobe.com

Von Jonas Raab

REGENSBURG. 394.000 neue Schadprogramme pro Tag, 223 Milliarden Euro Schaden für die deutsche Wirtschaft pro Jahr. Da, wo diese Zahlen herkommen – vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Digitalverband Bitkom – gibt es noch viel mehr Erschreckendes in Sachen Cyberkriminalität zu lesen: Neun von zehn Unternehmen hatten seit Pandemiebeginn mit Hackerangriffen zu kämpfen, eines von zehn sieht dadurch seine geschäftliche Existenz bedroht. „Die Lage der IT-Sicherheit“, so der Titel des BSI-Reports für 2021, ist angespannter denn je. Bitkom überschreibt seine Erhebung mit „Angriffsziel deutsche Wirtschaft“. Die Cyber-Sicherheitsbehörde des Bundes und der Digitalverband sind sich einig: Das Homeoffice hat Cyberkriminellen Tür und Tor geöffnet.

Angriffsfläche wurde schlagartig größer

Die passende Analogie dafür hat Professor Dr. Christoph Skornia parat. „Ihre Wohnungstür ist wahrscheinlich keine alarmgeschützte Sicherheitstür. Die Ihres Unternehmens wahrscheinlich schon“, sagt der Leiter des Labors für IT-Sicherheit und Dekan der Fakultät Informatik und Mathematik an der Ostbayerischen Technischen Hochschule (OTH) Regensburg. Das Homeoffice macht die ungesicherten Wohnungstüren von Millionen Mitarbeitern also zu firmeneigenen Einfallstoren für Hacker? Die Angriffsfläche werde dadurch zwangsläufig größer, sagt Skornia, wenngleich er nichts davon hält, die IT-Sicherheit als paranoide Disziplin zu betrachten. „Es ist nicht so, dass es nicht genügend zu tun gibt. Aber die Unternehmen haben die Chaosphase zu Beginn der Pandemie ganz gut gemeistert.“

Strukturwandel schafft neue Einfallstore

Der sprunghafte Anstieg von Datendiebstahl, Spionage, IT-Sabotage und Erpressungsversuchen lässt sich trotz Konsolidierung nicht wegdiskutieren. Knapp zwei Drittel aller Unternehmen, die Bitkom für seine Studie befragt hat, gaben an, dass es seit Beginn der Pandemie IT-Sicherheitsvorfälle gegeben hat, die auf Heimarbeit zurückzuführen sind. In der Hälfte aller Fälle ist daraus auch ein Schaden entstanden. Professor Skornia hat auch dafür eine Analogie parat: „Kriminalität entsteht immer dort, wo Veränderungsprozesse stattfinden. Nach der Wende sind Versicherungsvertreter in die neuen Bundesländer gefahren und haben die Leute reihenweise über den Tisch gezogen.“ Nicht die Pandemie, sondern der dadurch ausgelöste Strukturwandel in der Büroarbeit spielt Cyberkriminellen in die Karten.

Der Mensch ist das schwächste Glied in der IT-Sicherheits-Kette

Henrik Knoblauch, IT-Security-Experte im Bechtle IT-Systemhaus Regensburg, spricht von einem „unglaublichen Digitalisierungsschub“. Die Unternehmen hätten auf einen Schlag neue Technologien eingeführt, ohne sich dabei akklimatisieren zu können. Hacker – sie formieren sich laut Bitkom zunehmend als organisierte Banden – hatten in den vergangenen Monaten die Qual der Wahl: Der Wechsel ins Homeoffice ließ fast überall Prozesslücken aufklaffen. Dazu kamen flächendeckende Schwachstellen wie die im Microsoft Exchange Server. Sie veranlasste das BSI im März 2021 dazu, zum erst dritten Mal in seiner Geschichte die zweithöchste Krisenstufe auszurufen. Neben Großereignissen wie diesen nutzen Angreifer, und das will Skornia mit dem Mauerfallvergleich sagen, insbesondere menschliche Verunsicherung hemmungslos aus.

Der „Faktor Mensch“, seit knapp zwei Jahren gern im Homeoffice sitzend, ist in der IT-Sicherheit von Unternehmen das schwächste Glied – da sind sich BSI, Bitkom und Skornia einig. „Social Engineering“, die Manipulation von Beschäftigten, nennt das Bitkom. Skornia erklärt: „Sensibilisierte Mitarbeiter können Schwächen in der IT-Infrastruktur kompensieren. Die IT-Infrastruktur kann Verfehlungen von Mitarbeitern nicht kompensieren.“ Fehler würden vor allem dann passieren, wenn Emotionen im Spiel sind. Dazu braucht es im Neuland Homeoffice nicht viel: eine vermeintliche E-Mail vom IT-Support, ein authentisch wirkender Anruf vom verärgerten Lieferanten. „Dann machen Mitarbeiter fast alles“, sagt Skornia.

Schnelles Nachrüsten ist ein Problem

Das BSI macht neben der pandemiebedingten Unsicherheit und Überforderung der Menschen auch schlecht abgesicherte VPN-Server und den Einsatz privater IT im beruflichen Kontext als Homeoffice- Problem aus. „Nicht jedes Unternehmen ist dazu in der Lage, seine Mitarbeiter mit zusätzlichem Equipment für das mobile Arbeiten auszustatten“, erklärt IT-Dienstleister Knoblauch. Laut Skornia ist neben aufgeklärten Mitarbeitern aber genau das der entscheidende Sicherheitsfaktor im Homeoffice.

Doch selbst wenn der letzte Mitarbeiter geschult und mit einem Firmenlaptop ausgestattet wurde, wenn die VPN-Verbindung doppelt abgesichert ist – selbst dann hat das Homeoffice noch ein Sicherheitsproblem. Ein virtueller Desktop sieht nur auf den ersten Blick so aus wie der im Büro. Die Icons sind oft leicht verzerrt, die Auflösung ist teils unscharf, die Rückmeldung bisweilen gemächlich. In der täglichen Arbeit offenbart die VPN-Benutzeroberfläche das, was sie ist: ein Umweg. „Neue Sicherheitstechnologien machen die Arbeit meist komplizierter. Mitarbeiter suchen sich aber immer den einfachsten Weg, um ihre Aufgaben zu erledigen“, warnt Skornia.

Verschwimmt Arbeit mit Privatem, reiten Hacker diese Welle

Abkürzungen im Homeoffice sind schnell genommen: E-Mails werden umgeleitet; private und berufliche Accounts verschwimmen; Apps von Drittanbietern, die man im Büro nicht so einfach installieren könnte, sind schnell geladen. Unternehmen stehen vor der schwierigen Aufgabe, diese Hilfsmittelchen erst gar nicht nötig zu machen. „Nur wenn eine Sicherheitsarchitektur den bequemsten Weg abbildet, funktioniert sie wirklich“, sagt Skornia. Das sei schwierig, aber machbar. Kollaborative und cloudbasierte Tools können laut Knoblauch Abhilfe schaffen. Zudem sollten Firmen darauf abzielen, ihre Daten browser- und App-unabhängig zu schützen. Biometrischen Verfahren und Multi-Faktor-Technologien würden das Passwort in Zukunft ersetzen, sagt der Security-Spezialist.

Fehlermanagement gehört dazu

Vor allem kleine und mittlere Unternehmen hat Corona vor eine große Aufgabe gestellt. Sie mussten Sicherheitsprozesse teils über Nacht etablieren. „Da passieren natürlich Fehler. Davon darf man sich aber nicht abschrecken lassen. Fehlermanagement ist Teil des Prozesses.“ Laut Knoblauch geht das weit über technologische Lösungen hinaus: Wer ist der Notfallkontakt? Wer kann entscheiden, welcher Datenstand wiederhergestellt werden soll? Wer übernimmt die Verantwortung für Konsequenzen? Wer tritt in Kontakt mit der Datenschutzbehörde?

Skornia kommt nach fast zwei Jahren Homeoffice-Boom zu einem Schluss, den man im Kontext der Cybersecurity selten hört: „Unterm Strich haben wir in den vergangenen beiden Jahren viel gelernt. Und die Welt ist dabei nicht untergegangen.“