Berliner Wirtschaft 11/2020

FOTO: AMIN AKHTAR Wenn fehlende Back-ups nicht das größte Pro- blem in der IT-Sicherheit sind, was ist es dann? Der Mensch ist das größte Sicherheitsproblem. Auch wenn ich glaube, dass das Bewusstsein der Mitar- beiter für IT-Security schon besser geworden ist – gerade weil das Thema sehr stark in den Medien vertreten ist. Dennoch sind PC-Anwender technisch oft nicht so versiert und können leicht hinters Licht geführt werden. Um die Risiken allen noch stärker vor die Augen zu führen, machen wir bei unseren Kunden nach Absprache mit der Geschäftsführung Phishing-Kampagnen. Das ist eine tolle Sache, denn es tut niemandem weh, und wir kommen auf diese Weise von der Theorie in die Praxis. Was genau machen Sie bei solchen Phishing-Kampagnen? Wir gehen in der Regel dreistufig vor. Die erste Stufe ist so simpel, dass meist alle E-Mails richtig einge- stuft und gelöscht werden – zumBeispiel, wenn Via- gra in der Mail angeboten wird. Die zweite Stufe ist schon schwieriger: ZumBeispiel tun wir so, als wenn das externe Lohnbüro versehentlich eine Gehaltsliste an die jeweilige Adresse geschickt hat. Dann den- ken einige: Ich wollte schon immer einmal wissen, was der Kollege verdient. Sie wissen zwar, dass es verkehrt ist – aber sie klicken trotzdem. Und die dritte Stufe? Mit dieser Stufe machen wir es allen Anwendern sehr schwer. Wir fälschen beispielsweise Newsletter mit Themen, von denen wir wissen, dass sie interes- sant für die jeweiligen Mitarbeiter sind. So kommen Menschen, die in einem Theorie-Workshop sagen würden, dass sie auf Phishing-Mails nicht hereinfal- len, kräftig ins Grübeln. Tatsächlich sollte sich nie- mand zu sicher sein. Die Phishing-Kampagnen, die von Hackern kommen, werden leider immer besser. Daher ist es wichtig, die Mitarbeiter dafür immer wieder zu sensibilisieren. Was machen Menschen außerdem falsch? Das geht schon bei den Kennwörtern los. In einigen Unternehmen kennen alle Kollegen untereinander alle Passwörter. Wir schulen daher bei unseren Kun- den die Mitarbeiter entsprechend und schaffen ein Bewusstsein für die Bedeutung der technisch-or- ganisatorischen Maßnahmen. Ein Unternehmen kann zwar viel in Technik investieren, aber das hilft nicht, wenn sie nicht richtig angewendet wird. Eine schwere Stahltür nützt ja auch nichts, wenn sie nicht abgeschlossen wird. Wie groß ist die Bereitschaft der Mitarbeiter, an IT-Sicherheit zu denken? Die Bereitschaft ist da, aber jeder steht täglich im Konflikt zwischen Bequemlichkeit und Sicherheit. Der USB-Stick ist beispielsweise ein bequemes Mittel, um Daten zu transportieren. Auf der ande- ren Seite ist es ein extrem risikobehaftetes Instru- ment, weil damit Viren von Rechner zu Rechner geschleppt werden. Ich muss daher eine Alterna- tive anbieten, die ebenfalls komfortabel ist und gut kommuniziert wird. Es hat auch etwas mit Führung und Unternehmenskultur zu tun. Wenn sehr viel Druck erzeugt wird und alles schnell gehen muss, nehme ich vielleicht doch den Stick. Genauso ist es bei E-Mails. Also ist der Druck in Firmen oft zu hoch? Ja, und außerdem brauchen wir ein hohes Selbst- bewusstsein in der Belegschaft. Wenn ein Mitar- beiter eine E-Mail vom Chef – der im Urlaub » Carsten Vossel an seinem Schreib- tisch am Standort Marienfelde Carsten Vossel PC-Anwender sind technisch oft nicht so versiert und können leicht hinters Licht geführt werden. 30 IHK BERLIN  |  BERLINER WIRTSCHAFT 11 | 2020