Cyber-Angriffe IT-Experte: „Risiken sind sehr groß“
Mark Semmler hat die Seiten gewechselt. Früher ist er als Hacker in Netzwerke eingedrungen, heute berät er Firmen zur IT-Sicherheit.
Volksstimme: Herr Semmler, der Mittelstand in Sachsen-Anhalt gerät immer mehr in den Fokus von Cyber-Kriminellen. Warum?
Mark Semmler: Die mittelständischen Unternehmen sind das Rückgrat der Wirtschaft. Das gilt für Sachsen-Anhalt genauso wie für ganz Deutschland. Bei verschiedenen Technologien sind mittelständische Unternehmen aus Sachsen-Anhalt sogar Weltmarktführer. Das weckt Begehrlichkeiten. Und wenn Konkurrenten die Möglichkeit sehen, Informationen abzugreifen und eine Abkürzung bei der Entwicklung einer Technik zu nehmen, dann ist das viel Geld wert.
Wird diese Gefahr vom Mittelstand unterschätzt?
Ich rede täglich mit Unternehmen, die sich Gedanken machen, aber ich rede auch mit Firmen, bei denen das Kind schon in den Brunnen gefallen ist. Das Thema Informationssicherheit hat noch nicht die Aufmerksamkeit, die es eigentlich haben müsste. Es geht ein kleines bisschen aufwärts, aber das Sicherheitsniveau in mittelständischen Unternehmen ist bestenfalls unterirdisch. Dabei sind die Risiken, irgendwann mal so richtig Schiffbruch zu erleiden, sehr groß.
Was sind typische Fälle von Cyber-Attacken auf mittelständische Unternehmen?
In Mode gekommen sind Schadprogramme, die meistens per Mail eingeschleppt werden. Diese Software verschlüsselt dann die Daten des Unternehmens und fordert für die Entschlüsselung ein Lösegeld. Die Firmen werden also erpresst.
Nicht zu unterschätzen sind die sogenannten Innentäter. Das sind Mitarbeiter, die kurz vor ihrem Weggang noch schnell wichtige Daten und Informationen kopieren. Unternehmen werden aber auch ganz gezielt von außen angegriffen, weil sie gerade eine interessante Technologie entwickelt haben oder kurz davor stehen, ein Patent anzumelden. Derartige Angriffe laufen dann meist auf einem ziemlich hohen Niveau ab. Häufig sind hier ausländische Geheimdienste am Werk.
Wie wird ein Angriff entdeckt?
Es gibt Mittelständler, die sind seit Monaten oder Jahren unterwandert, und bekommen nichts mit. Andere realisieren die Probleme erst, wenn plötzlich Rechner abstürzen oder gar nichts mehr geht. Wenn Unternehmen einen laufenden Angriff bemerken, dann häufig, weil die Angestellten aufmerksam sind. Etwa, wenn sich jemand am Telefon als Mitarbeiter des Supports ausgibt und so versucht, Passwörter herauszubekommen. Das ist eine beliebte Methode.
Wie können sich Mittelständler gegen Cyber-Attacken schützen?
Das Wichtigste ist: Informationssicherheit muss Chefsache werden. Das mag abgedroschen klingen, ist aber absolut notwendig. Denn die Informationsverarbeitung ist das Nervenkostüm eines Unternehmens. Wenn das stillliegt, liegt der komplette Betrieb still. Schäden können hier schnell existenzbedrohend sein.
Die Geschäftsleitung muss sich kümmern und formulieren, was sie erreichen will. Danach müssen die Kronjuwelen identifiziert werden. Also: Welche Daten, Informationen und Systeme gilt es besonders zu schützen. Dafür sollte dann ein zielgerichteter, maßgeschneiderter Schutz etabliert werden. Das ist auch preisgünstiger als das kopflose Vorgehen, das wir heute so häufig sehen.
Was braucht ein Mittelständler dafür?
Das Wichtigste ist, die Mitarbeiter mitzunehmen. Das bedeutet, sie zu schulen und zu informieren. Es gibt viele Probleme, die Unternehmen niemals durch Technik in den Griff bekommen werden, sondern nur durch Weiterbildung der Mitarbeiter. Etwa, dass ein USB-Stick von außen nicht so einfach an das betriebliche Netz angeschlossen werden darf. Die Basis ist, eine Firewall und einen aktuellen Virenschutz zu haben. Sämtliche Software muss zudem ständig auf dem neuesten Stand gehalten werden. Außerdem müssen die Daten strukturiert gesichert werden. Denn falls etwas passiert, ist die Datensicherung die letzte dünne Papierwand zwischen einem Vorfall und dem absoluten Chaos. Die muss halten.
Wie teuer ist das?
Es kommt darauf an, wie das Unternehmen aussieht. Auch hier gilt das Paretoprinzip: Mit 20 Prozent des Aufwands, können 80 Prozent des Weges gegangen werden. Aber von vielen Firmen werden nicht mal zehn Prozent gemacht, sondern gar nichts. Das ist fahrlässig.