Germany

„Die größte Schwachstelle ist der Mensch!“

Im Mittelstand werden Cyber-Risiken unterschätzt. Im Interview benennt Johannes Behrends, Experte für Cyber-Risiken bei Aon Risk Solutions, die Gründe und beschreibt die ersten Schritte zu mehr IT-Sicherheit.

Cyber-Angriffe treffen auch den Mittelstand. Unternehmen verlassen sich oftmals auf Schutzmaßnahmen wie Anti-Viren-Programme und Firewalls. Reicht das aus?

Johannes Behrends: Nein, der Mittelstand fühlt sich zu sicher. Anders als Konzerne und kleine Betriebe sind die Unternehmen davon überzeugt, dass sie ausreichend geschützt sind und nicht im Fokus von Cyber-Angriffen stehen. Die Unternehmenslenker können sich nicht vorstellen, mit welch hoher krimineller Energie die Täter vorgehen.

Bitte nennen Sie ein aktuelles Beispiel?

Ein Cyber-Krimineller hatte sich in das Netzwerk eines mittelständischen Kunden gehackt, indem er vermutlich einen Mitarbeiter korrumpierte. Sämtliche Daten des Unternehmens samt Backup wurden gelöscht. Danach ging nichts mehr, drei Tage lang. Da der Kunde sofort vom IT-Dienstleister seines Cyber-Versicherers unterstützt wurde, konnten die Daten sukzessive wiederhergestellt werden. Im gleichen Maße stieg die Handlungsfähigkeit.

Wie bewerten Sie das Gefahrenpotenzial, das von den eigenen Mitarbeitern ausgeht?

Die größte Schwachstelle in der IT-Sicherheit von Unternehmen ist der Mensch. Mitarbeiter kleben beispielsweise gelbe Zettel mit ihrem Benutzer-Account an den Bildschirm oder geben ihre Anmeldedaten an vermeintliche Kollegen heraus. Die Cyber-Angreifer nutzen diese Fahrlässigkeit als Türöffner ins betriebliche System. Melden sich die Täter mit berechtigten Zugangsdaten an, wird es für die IT-Abteilung sehr schwer, die Attacke festzustellen. Mitunter handeln Arbeitnehmer sogar vorsätzlich, weil sie sich z. B. von ihren Vorgesetzten ungerecht behandelt fühlen.

Angesichts erwarteter Kostenbelastungen werden zusätzliche Sicherheitsmaßnahmen oftmals vernachlässigt. Wie lassen sich die Risiken mit einem überschaubaren Mitteleinsatz in den Griff kriegen?

In den Unternehmen muss als erstes ein Bewusstsein dafür geschaffen werden, dass es diese Risiken gibt. Bereichsübergreifend müssen die Kronjuwelen zusammen mit dem Management benannt werden. Anders ausgedrückt: Was sind die wichtigsten Daten bzw. Prozesse? Welche Folgen haben unerlaubte Zugriffe Dritter bzw. herbeigeführte Störungen? Diese Awareness zu schaffen stellt die größte Hürde in den Unternehmen dar.

Was sind die nächsten wichtigen Schritte, sobald diese Hürde genommen wurde?

Technische Maßnahmen stehen meistens auf der betrieblichen Agenda, werden aber aus Kostengründen, wenn überhaupt, nur allmählich umgesetzt. Weniger kostenintensiv, aber genauso wichtig ist es, das Risikobewusstsein der Mitarbeiter zu schärfen sowie deren IT-Zugriffsrechte festzulegen, zu kontrollieren und bei ihrem Ausscheiden zu entziehen. Zudem sollten Unternehmen ihre IT-Sicherheit durch externe Dienstleister regelmäßig überprüfen lassen. Der Blick von außen ist ein anderer und deshalb sehr hilfreich.

Wenn Unternehmen ein überzeugendes Schutzniveau erreicht haben, ist dann der Abschluss einer Cyber-Versicherung noch erforderlich?

Ja, weil das identifizierte Restrisiko meistens zu groß ist, um potenzielle Schäden allein schultern zu können. Hinzu kommt, dass Cyber-Versicherungen nicht nur die Ertragsausfälle übernehmen, sondern auch die Kosten z. B. für das Krisenmanagement und die IT-Forensik. Im Schadenfall besteht über eine durchgängig freigeschaltete Hotline sofort Zugriff auf IT-Spezialisten, die es den Unternehmen erst ermöglichen, die Krise erfolgreich zu bewältigen.

Sie möchten mehr über das Thema Cyber-Risiken erfahren? Dann freuen wir uns über Ihre Nachricht an johannes.behrends@aon.de 

Kontakt