Passwort vergessen?  | 
 |  Passwort vergessen?  | 
Suche
  • Login
  • Login

Dienstag, 12. Dezember 2017

IT-Sicherheit

Der Mensch ist oft die Schwachstelle

Von Hermann Horstkotte | 22. Juni 2017 | Ausgabe 25

Um vor allem kleinere und mittlere Unternehmen für Gefahren und Vermeidungsstrategien zu sensibilisieren, kooperiert Fraunhofer bundesweit mit Fachhochschulen.

IT-Sicherheit BU
Foto: panthermedia.net/Mikkolem

Manchmal hilft ein Fingerzeig, um auf ein sensibles Thema aufmerksam zu machen. In Fraunhofer-Lernlaboren werden Führungskräften IT-Sicherheitskonzepte näher gebracht.

Angriffe wie jüngst mit dem Wurm Wanna Cry gehen ins Leere, wenn IT-Anlagen mit moderner Sicherheitstechnik ausgerüstet sind. Worauf es dabei ankommt, will man in „Lernlabors“ an Fachhochschulen jetzt auch technikfernen Managern und Firmenchefs näherbringen.

Die Deutschen fühlen sich vergleichsweise sicher

„Ich könnte heulen“ – der gleichnamige Computervirus (Wanna Cry) blockierte im Mai veraltete Windows-Betriebssysteme von Microsoft in britischen Krankenhäusern, chinesischen Universitäten, im russischen Innenministerium, bei der Deutschen Bahn und in Tausenden PCs von Privatnutzern.

Der aufsehenerregende Vorfall ist nur ein Beispiel von vielen. So stiftete der Wurm „IloveYou“, das Geschöpf eines Informatikstudenten, im Jahr 2000 einen weltweiten Schaden von schätzungsweise 10 Mrd. $. Und vor drei Jahren raubten Hacker praktisch den gesamten Datenbestand von Sony Pictures: Geschäftspost wie Unterhaltungsfilme.

Schlüsselkompetenz IT-Sicherheit

„Hundertprozentige Sicherheit ist nicht möglich“, sagt Timotheus Höttges, Chef der Deutschen Telekom. Das liegt im Grunde daran, dass Programmieren Menschenwerk und mithin fehleranfällig ist. Entsprechende Schwachstellen und Sicherheitslücken hatte im Falle von WannaCry zunächst die amerikanische NSA jahrelang ausgenutzt, um IT-Systeme auszuspionieren oder zu manipulieren. Die heimliche Schadsoftware geriet dann offenbar in die Hände von Erpressern.

Indes sind Angriff und Abwehr wie immer die zwei Seiten derselben Medaille. So arbeiten Hunderte internationale Firmen daran, ihre Kunden vor Sicherheitslücken zu warnen. Einer davon kam Wanna Cry schon im April auf die Spur. Wie das Schadprogramm genau funktioniert und auszuschalten ist, klärte eine Beratungsfirma mit dem verheißungsvollen Namen Malware Tech.

Aber niemand muss resignieren, wenn er die richtigen Ratgeber in der Welt der sprichwörtlichen „Web Intelligence“ in Anspruch nimmt. Neu auf der Bildfläche sind jetzt sechs „Lernlabors“, die die Fraunhofer-Academy für Weiterbildung zusammen mit einzelnen Fachhochschulen bundesweit betreibt. Die ein- bis dreitägigen Präsenzveranstaltungen ähneln offenen Seminaren, die das VDI-Wissensforum für IT-Sicherheit anbietet. Auch die Gebühren, im Lernlabor 600 € pro Tag, sind vergleichbar.

Der inhaltliche Ansatz aber ist verschieden. Während das VDI-Angebot hauptsächlich das Fachwissen von Sicherheitsexperten in Unternehmen vertiefen will, wenden sich die neuen Lernlabors mit IT-Basiskursen ausdrücklich auch an fachfremde Firmenchefs und Manager. Der Fokus liegt in der Sensibilisierung. Führungskräfte des mittleren und gehobenen Managements sollen die Lage des eigenen Unternehmens und den persönlichen Wissensstandard reflektieren, um dies gedanklich mit aktuellen Problemen aus der Industrie 4.0 zu verbinden und um schließlich ein Bewusstsein für Cybersicherheit zu bekommen. Technischer Fachmann muss man deshalb nicht werden.

Gerade in den Spitzen von kleineren und mittleren Unternehmen werde IT-Sicherheit oft unterschätzt, betonte Staatssekretär Thomas Rachel vom Bundesbildungsministerium bei der Eröffnung des Bonner Labors. Gefährdungen und Schäden könnten den Chefs nicht plastisch genug demonstriert werden, um die nötigen Investitionen in die Abwehrarchitektur zu tätigen. Dabei kann es schon bei einem bescheidenen Ingenieurbüro schnell um ein paar Tausend Euro gehen – zuzüglich der laufenden Kosten für Wartung und allerlei Updates, die die Ausrüster zur Verfügung stellen.

Doch ist IT-Sicherheit nicht nur ein technisches Problem, sagt Thomas Tschersich, bei der Deutschen Telekom zuständig dafür, dass keine Störungen auftreten. Um Notfälle schnell und reibungslos zu beseitigen, seien eingeübte organisatorische Verfahren und Kommunikationsstrategien über alle Stufen der Firmenhierarchie nötig, sozusagen ein umfassendes „Social Engineering“: Bei Störungen ausgerechnet Schuldfragen nachzuforschen, nach der Schwachstelle Mensch zu suchen, ist nach Tschersichs Erfahrungen eher abwegig als hilfreich, „weil natürlich niemand schuld gewesen sein will“. Maßgebender als das Funktionieren der Technik ist offenbar das Zusammenspiel im Mitarbeiterteam. 

stellenangebote

mehr