„50 Prozent der Unternehmen wurden bereits gehackt. Die anderen 50 Prozent wissen es noch nicht“, bringt Jürgen Weiss, Gründer und CEO von ARES Cyber Intelligence, die Situation auf den Punkt. Die Zahl der Cyberangriffe auf Unternehmen nimmt rasant zu. Der Faktor Mensch ist und bleibt der wichtigste Angriffsvektor für Cyberkriminelle. Gerade deshalb kann die Personalentwicklung einen wichtigen Beitrag zur Sensibilisierung und Kompetenzentwicklung leisten. Das 19. HR/Café zum Thema Cyber Security als Nachlese.
Ein E-Mail, ein Link, ein Klick: Ein kurzer Moment der Unachtsamkeit genügt, um die Cyber Kill Chain, die verhängnisvolle Kette der Ereignisse, in Gang zu setzen. Unwissentlich, denn man ahnt ja nichts Böses. Ist die Tür erst einmal geöffnet, schleusen sich die Hacker still und heimlich ins System ein. Die Dunkelziffer der Cyberangriffe ist hoch, weil viele Unternehmen stillschweigend das Lösegeld bezahlen – aus Angst vor Imageschaden und aus Angst vor Strafzahlungen an die Datenschutzbehörde.
Im Kopf eines Hackers
Einen Hacker versteht nur, wer selbst wie ein Hacker zu denken vermag. Zu den wichtigsten Aufgaben eines Cyber Profilers gehört es daher, sich in die Rolle der Cyber-Kriminellen zu versetzen und deren Motive zu entschlüsseln. Schritt für Schritt. „Hacker sind sehr selten Einzeltäter, sondern agieren meistens in Gruppen“, weiß Jürgen Weiss, CEO von ARES Cyber Intelligence.
Das Streben nach Reputation kann ein starker Motivationsfaktor sein. Viel häufiger stehen jedoch finanzielle Motive hinter den Cyberattacken. Eine besorgniserregende Entwicklung stellen laut dem Experten sogenannte „Nation State Actors“ dar. Das sind von Regierungen beauftragte Hackergruppen, die Cyberangriffe ausführen, um Wirtschaftsgeheimnisse (Intellectual Property) zu stehlen. Auch die organisierte Kriminalität ist längst nicht nur auf der Straße, sondern auch im Internet aktiv. Die Motivation der Mafia: So schnell wie möglich so viel Geld wie möglich durch Erpressung zu generieren.
„Viele Unternehmen zahlen das Lösegeld, weil sie schlicht und einfach keine Backups von ihren Daten haben – und mit der Situation überfordert sind.“
Jürgen Weiss,
CEO von ARES Cyber Intelligence
Cyberkriminelle planen ihre Angriffe sehr genau. Im ersten Schritt erfolgt die Informationsbeschaffung. Die Zielperson hat häufig eine Position im Spitzenmanagement und vertritt das Unternehmen in der Öffentlichkeit. Die Hacker sehen sich den Verwandten- und Bekanntenkreis der Zielperson genau an, aber auch das unmittelbare Umfeld im Unternehmen. Auf diese Weise identifizieren sie weitere relevante Personen, wie Abteilungsleiter, Teamleiter oder die Assistenz.
Im nächsten Schritt wird gezielt nach Schwachstellen in der technischen Verteidigung gesucht. Cyberkriminelle sind hochgerüstet mit fortschrittlichster Technologie. Mit sogenannten Port Scannern suchen sie nach offenen Türen auf Websites. Sobald sie eine Sicherheitslücke entdeckt haben, bauen die Hacker ein „Back Door“, einen Zugang, der ihnen einen Fernzugriff auf das System erlaubt.
Eine Schwachstelle in der Verteidigung ist nach wie vor der Mensch, ob durch Unachtsamkeit, fehlendes Wissen oder Fehlerneigung unter Stress. Sehr oft sind deshalb die Mitarbeiterinnen und Mitarbeiter eines Unternehmens im Visier der Hacker. Sie werden über Phishing Mails ausgetrickst, um sensible Daten „freiwillig“ preiszugeben. Gut gefälschte E-Mails haben eine Klickrate von über 90 Prozent. Infizierte Lebensläufe gehören genauso zum Repertoire der Cyber-Kriminellen wie Social Engineering, also Beeinflussungen von Menschen.
Der klassische Social-Engineering-Fall: Ein Fremder ruft in Ihrer Abteilung an und gibt sich als IT-Mitarbeiter von einem anderen Standort aus. Der vorgetäuschte Grund des Anrufs: Ihre E-Mail-Adresse und Ihr Passwort werden benötigt, um ein Update durchzuführen.
Cyber Crisis Management: Was geht, wenn nichts geht
Es ist meistens spät am Abend, wenn die ARES Emergency Hotline klingelt und die Cyber-Security-Spezialisten zu ihrem nächtlichen Einsatz fahren. Ein Cyberangriff ist eine extrem belastende Situation, sowohl für die Unternehmensführung als auch die IT-Abteilung. Unter dem Druck der Situation werden hektisch Handlungen gesetzt. „Deshalb ist es wichtig, einen erfahrenen Partner zu haben, der Ruhe in die Situation bringt und die Teams effizient einteilt. Die Tage und Nächte in einer Cyberkrise sind extrem lang“, erklärt Jürgen Weiss.
Von Anfang an bauen die Hacker einen enormen Druck auf: Geldforderung, Ultimatum, Drohung. „Grundsätzlich empfehlen wir den Unternehmen nicht direkt mit den Hackern zu verhandeln, weil man sich dadurch angreifbar macht“, schildert Jürgen Weiss. Die Profis verstehen es, mit der Stresssituation umzugehen. „In einem konkreten Fall konnten wir durch geschicktes Verhandeln das gestellte Ultimatum drei Mal verlängern. Das war genug Zeit, um alle Systeme wieder herzustellen“, erzählt der Experte.
In ihren Operationen setzen die Profiler und Forensiker spezielle Tools und Software ein, um Spuren zu finden, zu filtern und zu isolieren. Ein zentraler Punkt in der Bewältigung der Cyberkrise ist eine klare externe sowie interne Kommunikation, wie Jürgen Weiss betont. Die Mitarbeiter müssen rechtzeitig die für sie relevanten Informationen und Anweisungen erhalten. Eine klare Kommunikationsstrategie nach außen schafft Transparenz und Vertrauen gegenüber den Medien und Stakeholdern.
Was Cyber-Versicherungen betrifft, rät der Experte genau zu prüfen und abzuwägen, welches Produkt man auswählt und zu welchen Bedingungen diese einen Schutz anbieten. „Die Versicherungen wirken zum Großteil erst dann, wenn der Geschäftsführer gemäß Unternehmerhaftung privat geklagt wurde. Der Geschäftsführer haftet privat, wenn kein internes Kontroll- und Sicherungssystem etabliert wurde und Fahrlässigkeit im Raum steht“, präzisiert Weiss.
„Meist sind die eigenen Mitarbeiter, wenn sie direkt verhandeln müssen, überfordert. Die Hacker bauen einen immensen Druck auf.“
Jürgen Weiss,
CEO von ARES Cyber Intelligence
Cyber-Security-Experten sind gefragt, aber auf dem Arbeitsmarkt fast nicht verfügbar. Das Rekrutieren entsprechender Fachkräfte ist dementsprechend schwierig. Ein tadelloser Leumund ist Voraussetzung, wenn es um die Aufnahme für kritische Positionen geht. Ist es also möglich und macht es Sinn ein eigenes Cyber-Security-Team im Unternehmen aufzubauen? Für Jürgen Weiss hängt das in erster Linie von der jeweiligen Unternehmensgröße ab. In einem Unternehmen mit 500 Mitarbeitern oder mehr kann sich eine interne Cyber-Security-Abteilung bezahlt machen. Es gibt mittlerweile sogar Tools, um den Return on Investment zu berechnen.
Die Schwierigkeit besteht ohnehin darin, die richtigen Spezialisten zu finden. Deshalb rät der Experte diesen speziellen Service an erfahrene Cyber-Security-Spezialisten auszulagern oder über eine Hybrid-Lösung nachzudenken. In diesem Fall konzentriert sich die unternehmensinterne IT-Abteilung auf den normalen Regelbetrieb, ein externer Cyber-Security-Partner entwickelt die passende Response-Strategie und ist im Fall eines Cyber Incidents sofort zur Stelle.
Um dem Fachkräftemangel zu begegnen, macht sich ARES für die Einführung eines Lehrberufs Cyber Security stark. „Ich würde mir wünschen, die Ausbildung sehr praxisorientiert in den Schulen zu verankern. Wir müssen jungen Menschen die Möglichkeit geben, ihr Talent zu entwickelt“, unterstreicht Jürgen Weiss.
Awareness schaffen – sicher arbeiten
Wenn es um den Aufbau von Cyber-Security-Kompetenzen geht, kommt der HR-Abteilung heute und in den nächsten Jahren eine Schlüsselrolle zu. Vom Praktikanten bis zum Vorstand: Es müssen ausnahmslos alle Mitarbeiterinnen und Mitarbeiter für das Thema Cyber Security und Datensicherheit sensibilisiert werden. Wie der Experte betont, ist das keine einmalige Aktion, sondern ein laufender Prozess. Die Awareness-Schulung muss zum verpflichtenden Teil der Kompetenzentwicklung werden.
Sich der Gefahren bewusst werden und Skills entwickeln, um richtig zu reagieren: Von diesen Fähigkeiten profitieren letztlich alle – nicht nur beruflich, sondern auch privat.
Experten-Ratschlag
So schützen Sie Ihre Daten und Ihr geistiges Eigentum vor Hackerangriffen:
Incident Response Plan entwickeln
Der Incident Response Plan definiert, wie die Organisation im Fall eines Cyber-Angriffs zu reagieren hat.
Kommunikationsplan entwickeln
Mit dem Kommunikationsplan werden Strategien und Verantwortlichkeiten für die interne sowie externe Kommunikation definiert.
Experten konsultieren
Es empfiehlt sich neben Cyber Security Experten auch eine Juristin bzw. einen Juristen einzubeziehen, um eine vorschriftsmäßige Dokumentation sowie Kommunikation mit den Behörden sicherzustellen.
Tabletop Exercises regelmäßig durchführen
Die Tabletop Exercises simulieren Cyber-Angriffe und bereiten Ihr Team auf unterschiedliche Szenarien vor. Sie sollten ein Mal pro Quartal durchgeführt werden.