Kennen Sie den? Leider ist es kein Witz, sondern ein so oder ähnlich häufig vorkommender Betrugsfall: Ein Vertriebsmitarbeiter bekommt eine Mail, in der ein Kunde nach einer Aufstellung der noch offenen Rechnungen aus der jüngsten Lieferung fragt. Der Mitarbeiter hat angesichts des vertrauten Namens unter der Mail keine Zweifel und listet die Posten unter Angabe der Bankverbindung auf. Der Cyberangreifer wendet sich mit diesen Daten an den echten Kunden und weist im Namen des Vertrieblers auf die offenen Posten hin. Gleichzeitig teilt er mit, dass das Unternehmen eine neue Kontoverbindung habe. Der ebenfalls gutgläubige Kunde überweist die ausstehenden Beträge auf das Konto des Betrügers.
Diese Art Angriffe sind nicht selten, aber auch nicht neu, deshalb werden sie meist durchschaut. Aber ein realer Fall von 2019 zeigt, welches Niveau Cyberattacken mittlerweile auch haben können: Damals erhielt der CEO der britischen Tochter eines deutschen Energieversorgers einen Anruf vom, wie er glaubte, Chef des Gesamtkonzerns. Dieser forderte ihn auf, eine dringende Zahlung auf ein ungarisches Bankkonto zu leisten. Tatsächlich hatte ein Angreifer die Stimme des Vorgesetzten unter Einsatz Künstlicher Intelligenz täuschend echt imitiert – der erste bekannte Cyberangriff seiner Art verursachte einen Schaden in Höhe von 220.000 Euro.
223 Milliarden Euro Schaden im Jahr durch Cyberattacken
Der Strom von Meldungen über Attacken auf IT-Systeme, Studien über Schäden in Unternehmen und Warnungen vor akuten Gefahren reißt nicht ab. Bedrohungsanalysen und die Suche nach Gegenmaßnahmen beschäftigen Experten für Computersicherheit und Strafverfolgungsbehörden überall. Laut einer Umfrage unter rund 1.000 Unternehmen in Deutschland bezifferte der IT-Branchenverband Bitkom den durch Cyberattacken – Diebstahl, Spionage, Sabotage – verursachten Schaden für die Wirtschaft samt Folgekosten im August 2021 auf 223 Milliarden Euro im Jahr, mehr als doppelt so hoch wie zwei Jahre zuvor. 86 Prozent der Unternehmen seien betroffen gewesen.
Klar ist: Organisationen müssen sich technisch so ausstatten, dass der illegale Zugriff auf ihre IT-Infrastruktur und Daten extrem aufwendig bis unmöglich wird. Mit entsprechenden Maßnahmen, von Firewalls über Abwehr-Software bis zu sicherer Hardware, lässt sich in dieser Hinsicht einiges erreichen. Aber ist das genug? Daniel Thomas Heeßel, Mitglied im Bundesverband IT-Sicherheit und Head of Cybersecurity bei Randstad Deutschland, betont: „Fast täglich müssen wir uns mit neuen Bedrohungen und komplizierten Angriffsvektoren befassen.“ Zwar legten er und sein Team die Hürde für Angreifer immer höher, um das Unternehmen zu schützen. „In absoluter Sicherheit werden wir uns jedoch nie wiegen.“
Sicherheitsinvestitionen steigen zu langsam
Das wäre laut Norbert Pohlmann genau der falsche Weg. Der Professor für Informationssicherheit und Leiter des Instituts für Internet-Sicherheit an der Westfälischen Hochschule Gelsenkirchen sieht dringenden Handlungsbedarf in Unternehmen. „Die Probleme sind immer größer geworden“, sagt Pohlmann, der auch Mitglied des Weisenrats für Cybersicherheit der Bundesregierung ist.
„Es muss viel mehr investiert werden, damit die Ökosysteme der Angreifer nicht mehr funktionieren.“
Norbert Pohlmann
Tatsächlich nehmen die Investitionen in den Schutz vor Angriffen hierzulande zwar kontinuierlich zu. Aber gemäß den in einem E-Book des IT-Verlags für Informationstechnik zusammengefassten Untersuchungen von Statista, der Dienstleister G Data (Cybersicherheit) und Embroker (Digitalversicherungen) sowie des Bitkom belaufen sie sich 2021 auf nur rund vier Prozent der durch Cyberkriminalität verursachten Schäden. 2025 soll das Investitions- nur noch drei Prozent des Schadensvolumens betragen.
Es mangelt an IT-Sicherheitsspezialisten
Mögen die Ausgaben für Sicherheit auch steigen – die Schadenskosten steigen schneller, nicht nur in absoluten Zahlen. Zugleich erschwert der Mangel an IT-Sicherheitsspezialisten den Kampf gegen die kriminellen Akteure. Randstad-Experte Daniel Heeßel sagt: „Ich habe große Probleme, offene Stellen mit qualifizierten Bewerbern zu besetzen. Das ist leider ein Systemproblem: Dem deutschen Arbeitsmarkt fehlen in unserem Bereich knapp 70.000 Fachkräfte.“
Immerhin können auch andere Stellen in Unternehmen und nicht zuletzt HR einiges für die Sicherheit im Netz tun. Denn Experten zufolge sind die Beschäftigten eines der schwächsten Elemente in gängigen Sicherheitsstrategien. So beruhen laut Andreas Dondera, der als Experte für Cyberkriminalität beim Landeskriminalamt Hamburg arbeitet, circa 90 Prozent der bei der Behörde eingehenden Betrugsfälle darauf, dass falsche E-Mail-Adressen von den Unternehmen nicht erkannt werden. Und im Mittelstand geht nach einer Studie von G Data jeder zweite IT-Security-Vorfall auf das Fehlverhalten von Mitarbeitenden zurück.
Die Herausforderungen sind weiter gewachsen
Dazu trägt auch und besonders das Homeoffice bei. Veränderte Arbeitsmodelle sind ein Grund, warum die ohnehin große Herausforderung Netzwerksicherheit noch mal gewachsen ist. Laut Institut der deutschen Wirtschaft (IW) beliefen sich die durch Cyberangriffe im Homeoffice angerichteten Schäden allein im Jahr 2020 auf knapp 53 Milliarden Euro. Bereits zu Beginn der Pandemie hatten Experten davor gewarnt, dass Mitarbeitende im Homeoffice teilweise mehr Stress ausgesetzt und deshalb anfälliger für Angriffe seien. Zudem bieten die vermehrt genutzten Kollaborationstools Cyberkriminellen relativ viel Angriffsfläche. Unter anderem gab es 2020 zahlreiche Phishing-Kampagnen, um Zugangsdaten zu Zoom, MS Teams und Co über Einladungsmails und nachgeschaltete Login-Masken zu erbeuten.
Damit ist man wieder bei den Mitarbeitenden: Untersuchungen von Sosafe, Dienstleister für Cybersecurity-Awareness, weisen darauf hin, dass sie firmeninterne Chat-Tools fälschlicherweise als geschützten Raum wahrnehmen. Geschäftsführer Dr. Niklas Hellemann erkennt ein weiteres Problem: Die Klickrate auf simulierte Angriffe sei beim dezentralen Arbeiten dreimal so hoch wie im Büro. Denn verdächtige Nachrichten ließen sich schwerer validieren, wenn der Austausch nicht auf notwendige Meetings oder Chatnachrichten reduziert sei. Vielen Mitarbeitenden mangelt es also an Wissen wie an Bewusstsein – eine Herausforderung auch fürs HR-Management.
In der Deutschen Gesellschaft für Personalführung (DGFP) ist man sich dessen bewusst. Viele Unternehmen versuchten, das Thema mit Aufklärung und verpflichtenden Schulungen in den Griff zu bekommen, sagt Kai Helfritz, Mitglied der Geschäftsleitung und Leiter Mitgliedermanagement und Kooperationen des Verbandes. Zwar sei laut einer Studie, die die DGFP jüngst zusammen mit Partnern durchführte, das Unternehmens-Reporting zu Cybersicherheit eher spärlich. Aber die, die über das Thema berichteten, betonten seine Bedeutung und adressierten klar Verantwortlichkeiten, Maßnahmen und Prozesse.
Schulungen zur IT-Sicherheit sind verbreitet
Tim Berghoff, Security Evangelist bei G Data, ist überzeugt, dass Schutz aus einer Kombination von klar definierten Prozessen und Zuständigkeiten, technischen Maßnahmen und geschulten Mitarbeitenden resultiert. Schulungen scheinen tatsächlich verbreitet: Einer Untersuchung von G Data unter Mittelständlern zufolge bieten 79 Prozent der Betriebe interne Securityseminare an. Ob diese in Häufigkeit und Qualität geeignet sind, das Gefahrenbewusstsein der Mitabeitenden nachhaltig zu schärfen, ist eine andere Frage. Inhaltlich muss es sowohl um die Grundregeln von Cybersicherheit als auch um spezifische Vorbeugung gehen.
Für HR bedeutet das laut Berghoff zum Beispiel, „Bewerbungen nur über ein entsprechendes Formular auf der Internetseite anzunehmen, um auszuschließen, dass über vermeintliche Bewerbungsmails Schadsoftware in die Postfächer der Personalabteilung geschwemmt wird“. Überdies hat die Personalabteilung natürlich eine organisatorische Rolle bei dem Thema. Es geht um die Bereitstellung bedarfsgerecht abrufbarer Online-Lerneinheiten, um das Aufsetzen von Themenblogs und Foren, Rundschreiben und Awareness-Shows bis zur Organisation von Testangriffen, die oft externe Dienstleister wie Sosafe ausführen.
Regelmäßiges Training der Mitarbeitenden ist wichtig
Geschäftsführer Niklas Hellemann mahnt zu „regelmäßigem Training“, um Mitarbeitende für Cybergefahren zu sensibilisieren und die Anzahl der Klicks auf eingehende Mails, Haupteinfalltor für Angriffe, nachhaltig zu reduzieren. Andernfalls sinke die Aufmerksamkeit für das Thema und die Klickrate steige wieder.
Norbert Pohlmann sieht Personaler in der Verantwortung, die Beschäftigten so zu motivieren, dass sie das Erlernte auch richtig anwenden. Überhaupt hält der Wissenschaftler nicht das Wissen allein für zentral: „Bevor man Mitarbeiter in Fragen der Erkennung von Angriffsszenarien und deren Abwehr schult, muss man ihnen vermitteln, welche Rolle und Verantwortung sie im Unternehmen haben – grundsätzlich und im Speziellen für dessen Sicherheit.“
Info
Der Beitrag erschien auch in unserem aktuellen HR-Software Guide 2023, den Sie hier kostenlos lesen können. Das Anbieterverzeichnis finden Sie auch online.
Ulli Pesch ist freier Journalist und schreibt regelmäßig über das Thema HR-Software in der Personalwirtschaft.
