Die Arbeitspsychologin Angela Sasse fordert Unternehmer zu mehr IT-Sicherheitsschulungen ihrer Mitarbeiter auf. „Vielen Unternehmen ist einfach nicht bewusst, dass jeder Mitarbeiter – nicht nur IT-Verantwortliche – potenzielle Angriffspunkte für Cyberkriminelle bietet“, sagte Sasse, die an der Ruhr-Universität Bochum Human-Centered Security lehrt, in einem GDV-Interview. Dabei kämen Attacken aktuell nicht ausschließlich über die IT-Infrastruktur, sondern in Kombination auch über Telefon und E-Mail. Hacker könnten sich auch physisch über den Empfang Zutritt verschaffen.
„Eindeutige Vertrauenssignale wie eine Mail oder ein Anruf vom Chef sorgen bei hohem Arbeitsdruck für eine rasche und – im Fall einer Fake-President-Attacke – falsche Entscheidung“, warnte Sasse. Schulungen, aber auch klare Regeln im Betrieb, wie das Abzeichnen von Transaktionen von jeweils zwei Mitarbeitern, könnten helfen, die Risiken solcher Angriffe für Unternehmen zu minimieren.
Sasse fordert jedoch mehr konkrete Hilfen und weniger Schuldzuweisungen an Unternehmer. „Kleine Unternehmen werden häufig dafür verantwortlich gemacht, dass Angriffe eine hohe Verbreitung erlangen – weil ihr Sicherheitsniveau zu niedrig sei. Das ist der falsche Ansatz“, sagte Sasse. Sie sieht die Branchenverbände in der Pflicht: Wenn diese in Zusammenarbeit mit dem Staat Schulungspakete und Instrumente ausarbeiteten, könnten kleine Unternehmen diese abrufen. Über die IHK gebe es solche Angebote bereits. „Das kann in meinen Augen sehr gut funktionieren“, sagte die Sicherheitsforscherin.
www.gdv.de