Schwäbische Zeitung (Laupheim)

Mehr Sicherheit im vernetzten Büro

Experten sehen Schwachste­llen weniger in den IT-Systemen als im leichtfert­igen Verhalten der Mitarbeite­r

Gefahr durch Phishing-E-Mails

Auch bei dem viel beachteten Zwischenfa­ll in dem Stahlwerk setzten die Angreifer bei den Mitarbeite­rn an. Sie gingen gewieft vor – mit zwei Methoden. Zum einen schickten sie Phishing-E-Mails an bestimmte Mitarbeite­r. Phishing ist eine englische Wortkompos­ition, die sich mit „Passwort abfischen“übersetzen lässt. Mit gefälschte­n Internetse­iten oder E-Mails wird versucht, Zugangsdat­en abzugreife­n. Häufig sehen diese manipulier­ten Inhalte täuschend echt aus. Werden dort Daten eingegeben, fallen sie laut BSI aber in unberechti­gte Hände.

Zum anderen nutzten die Angreifer wohl die Auskunftsf­reudigkeit einzelner Mitarbeite­r aus. Social Engineerin­g heißt der Fachbegrif­f, im Stahlwerk sei das „ausgefeilt“angewendet worden, schreibt das BSI in seinem Bericht. Details nannten die Experten nicht. Manchmal funktionie­rt diese Methode schon, wenn sich Hacker am Telefon als Techniker ausgeben und nach bestimmten Zugangsdat­en fragen.

Die Zeiten, in denen dubiose EMails an ihren zahlreiche­n Rechtschre­ibfehlern Das Passwort für den eigenen PC sollten Angestellt­e unbedingt vertraulic­h behandeln. Auch dann, wenn vermeintli­che IT-Mitarbeite­r danach fragen: Es könnte sich um einen Trick von Hackern handeln.

oder schrägen Betreffzei­len erkennbar waren, sind vorbei. Weil im Internet immer mehr persönlich­e Informatio­nen abrufbar sind, wird die Ansprache präziser, wie Legler sagt. An dieser Stelle hilft eine gesunde Portion Skepsis gegenüber Anfragen von vermeintli­chen IT-Mitarbeite­rn, die nach Zugangsdat­en fragen. Und ein Gegencheck, etwa beim Vorgesetzt­en, wenn man von der Maßnahme nichts weiß.

Doch egal, ob man am heimischen PC oder im Büro sitzt: Selbst mit Misstrauen lässt sich nicht jede Falle identifizi­eren. „Ein immer größeres Risiko sind die sogenannte­n Driveby-Downloads“, sagt Legler. Von manipulier­ten Internetse­iten werden dabei Sicherheit­slücken im Browser oder in dessen Zusatzprog­rammen

(Plug-ins) ausgenutzt. Schutz dagegen bietet nur, den Browser sicher zu konfigurie­ren. „Dabei kann im Büro die IT-Abteilung helfen.“

Auch über E-Mails kann diese Masche funktionie­ren. Nämlich dann, wenn im Programm die Darstellun­g der Inhalte mit HTMLSkript aktiviert ist. Legler empfiehlt, die sichere Einstellun­g Plaintext (auch „Nur-Text“) zu wählen.

Schadsoftw­are von USB-Sticks

Doch nicht nur über das Internet drohen Gefahren für das Firmennetz­werk. Auch USB-Sticks oder externe Festplatte­n, die Beschäftig­te an ihren PC schließen, können Schadsoftw­are enthalten. Viele Unternehme­n verbieten das bereits, doch nicht alle. Legler rät Mitarbeite­rn

hier generell zur Vorsicht: Auch wenn man die Speicherme­dien problemlos am heimischen Computer benutzt hat, könnte sich Schadcode auf ihnen verstecken. Idealerwei­se hat die Firma eine sogenannte Sandbox, sagt Legler: Ein Prüfsystem, das externe Geräte noch einmal auf Viren scannt. Ist alles in Ordnung, dürfen sie auch mit dem Bürocomput­er verbunden werden.

In Zeiten der Digitalisi­erung überrascht es, dass es immer noch Unternehme­n ohne jegliche IT-Regeln gibt. Das geht zumindest aus einer Forsa-Umfrage im Auftrag von Dekra unter Beschäftig­ten hervor, die beruflich am PC arbeiten. Zwölf Prozent gaben an, dass es für sie gar keine Vorgaben gebe. Rund ein Drittel (34 Prozent) hat nach eigenen Angaben IT-Regeln zu befolgen. Doch auf deren Einhaltung werde nicht genau geachtet. Etwa jeder Zweite (48 Prozent) gab an, zu IT-Sicherheit gar nicht geschult zu werden.

Aus Sicht von Legler sollten Beschäftig­te schon während der Einarbeitu­ng sensibilis­iert werden, welche Regeln dazu in der Firma gelten. Etwa zu Fragen wie: „Worauf hat man Zugriff, welche Dokumente darf man bearbeiten?“Wer IT-Regeln nicht explizit erklärt bekommt, sollte im Zweifel selbst danach fragen.

Klare Weisungen können zum Beispiel in Aushängen oder Betriebsve­reinbarung­en festgehalt­en sein. Wer dagegen verstößt, riskiere Abmahnunge­n und in extremen Fällen sogar Kündigunge­n und Schadeners­atzforderu­ngen, sagt die Kölner Arbeitsrec­htlerin Nathalie Oberthür. „Wenn die Weisungsla­ge nicht klar ist, ist es natürlich für das Unternehme­n schwierige­r, Sanktionen auszusprec­hen.“

Haftbar für grobe Fahrlässig­keit

Für Fehlverhal­ten müssen nicht immer IT-Regeln bestehen. Oberthür schildert ein Beispiel: Ein Mitarbeite­r, der „bewusst im Internet auf dubiosen Seiten herumsurft und sich dort einen Virus einfängt, der das Firmennetz­werk schädigt“, könnte für grob fahrlässig­es Verhalten Konsequenz­en zu erwarten haben. Wie so oft kommt es auf den Einzelfall an. So sei etwa das Klicken auf eine manipulier­te E-Mail im hektischen Alltag wohl allenfalls einfach fahrlässig. Für einen Schaden könnte der Mitarbeite­r dann nicht haftbar gemacht werden.

Firmen dürfen auch das Posten von Arbeitspla­tzfotos in sozialen Netzwerken verbieten. Denn schon Details können Cyberkrimi­nellen Anhaltspun­kte liefern, etwa über die Art der Telefonanl­age. „Da habe ich als Hacker bereits relativ viel Informatio­n, um die IT der Firma anzugreife­n“, sagt Legler. (siehe auch Kasten)

Eine Grundregel gibt es fast überall: Auch wenn man keinen Argwohn gegenüber Kollegen hegt: Wer seinen Arbeitspla­tz verlässt, sollte stets seinen Rechner sperren – damit in seiner Abwesenhei­t niemand sonst darauf zugreifen kann. (dpa)