Wenn der Virus den Unternehmer zum Heulen bringt

Kommentar

IT-Sicherheit – Warum IT-Sicherheit in Zeiten von Industrie 4.0 zur Führungsverantwortung gehört.

01. Juni 2017

Die Hacker, die den Erpressungstrojaner »WannaCry« kürzlich auf die Computer von Unternehmen, Behörden und Verbrauchern rund um den Globus losließen, hatten mit dieser Namensgebung einen treffenden und angemessen zynischen Humor bewiesen. Das globale Weinen und Zähneknirschen, das der Virus auslöste, spannte sich von deutschen Bahnhöfen über britische Krankenhäuser bis hin zu Privatleuten im fernen Afrika und Taiwan. Operationssäle blieben verwaist und Displays in Bahnhöfen zeigten plötzlich eine Lösegeldforderung der Hacker. Während man bei der Deutschen Bahn noch damit beschäftigt war, die vordigitale Schiefertafel aus dem Fundus zu holen, um darauf die Fahrpläne in Kreide niederzuschreiben, wurde bekannt, dass das IT-Leck, welches sich der Cyberangriff zunutze machte, bereits seit Jahren bekannt war. Allerdings nur der NSA. Statt die gefundene Sicherheitslücke zu melden und somit auch die heimischen Firmen und Großkonzerne davor zu schützen, verwendete der zum Überwachungsdienst mutierte amerikanische Nachrichtendienst diese Information lieber für eines seiner eigenen Hacking- und Spionage-Tools.

Als dieses Tool dann allerdings den WannaCry-Hackern in die Hände fiel, konnten sie sich selbstverständlich eine für sie lohnenswertere Verwendung vorstellen. Zum Glück ging es den Hackern nicht vorrangig darum, möglichst großen Personenschaden anzurichten, sondern »nur« um den schnöden Mammon. So machten sie sich umgehend daran, Daten auf fremden Computern zu verschlüsseln und nur gegen eine Lösegeldzahlung wieder freizugeben. Dass bei diesem Angriff urplötzlich nicht nur normalen Bürgern der Zugriff auf ihre Urlaubsfotos und Steuererklärungen verweigert wurde, sondern auch kritische Infrastruktur betroffen war, ist trotzdem einigermaßen erschreckend.

Denn das Gelingen der Attacke – NSA hin oder her – war in den meisten Fällen von den betroffenen Institutionen und Firmen selbstverschuldet. Während man Großvater Schmidt die mangelnde Pflege seines alten Windows-XP-Rechners aus Unwissenheit sicher nicht vorwerfen kann, ist das wissentliche Nicht-Aufspielen der neuesten Updates in großen Unternehmen und Behörden schlichtweg eklatantes Organisationsversagen. Der britische Gesundheitsdienst NHS und die Deutsche Bahn etwa mussten schon kurz nach dem Angriff zugeben, dass sie ihre IT-Systeme nicht ausreichend geschützt hatten. Mit dem Finger auf sie zeigen können trotzdem die wenigsten, wie der jüngste Hackerangriff offenbart hat. Denn diese Art der Nachlässigkeit praktizieren leider auch viele mittelständische Firmen. Während bei den meisten Großkonzernen das notwendige Cyber-Wettrüsten längst begonnen hat – Siemens allein beschäftigt 25 hauptberufliche Hacker im Rahmen seiner IT-Sicherheitsmaßnahmen– lauert in vielen kleineren Unternehmen neben dem Feind von außen ein innerer Feind. Für gewöhnlich sitzt dieser im Chefsessel und überlässt die IT vertrauensvoll dem Admin.

Gerade im Zeitalter der Industrie 4.0 muss man die IT-Sicherheit seines Unternehmens aber auch als Führungsaufgabe verstehen. Öffnet ein Mitarbeiter zum Beispiel einen suspekten E-Mail-Anhang oder hebt auf dem Parkplatz einen »zufällig« verlorenen USB-Stick auf, dann hat in meinen Augen klar die Führungsetage versäumt, ihre Mitarbeiter in Sachen »Social Engineering« richtig zu schulen. Fatal kann es auch enden, wenn die IT-Pflege ausschließlich externen Anbietern übergeben und damit als abgehakt betrachtet wird. Denn um die Systeme per Fernzugriff warten zu können, müssen oftmals IT-Assets ans Internet angeschlossen werden, die aus Sicherheitsgründen getrennt waren und es besser geblieben wären. In Zeiten, in denen der BND händeringend nach Hackern sucht und nur keine findet, weil er unter IT-Nerds in Sachen Coolness-Faktor nicht ausreichend punktet, ist sich ein Großteil aller deutschen Unternehmen noch immer nicht der Gefahren durch Cyberangriffe bewusst. Das muss sich ändern. Wissen Sie, wie gut die digitalen Arbeitsmittel und Ressourcen in Ihrer Firma geschützt sind? IT-Sicherheit ist Chefsache. Und sie muss heutzutage genauso selbstverständlich Teil eines Unternehmens sein wie die Buchhaltung.

 

Ihr Rüdiger Eikmeier.

PS: Mich interessiert Ihre Meinung dazu, schreiben Sie sie mir doch einfach an: r_eikmeier@gii.de

Erschienen in Ausgabe: 05/2017