IT-Risikofaktor Mensch Wie eine Abwesenheitsnotiz ein Unternehmen Millionen kosten kann

Seite 2/2

Was schützt Unternehmen gegen Cyber-Attacken?

Das Einzige, was hilft, ist eine „persönliche Firewall“: Die Angestellten müssen selbst Teil des Security-Mechanismus werden. Am wichtigsten ist dabei die Achtsamkeit gegenüber kleinen Ungereimtheiten. Warum schreibt mir plötzlich Herr Meier persönlich, wenn er sonst immer über meinen Vorgesetzten auf mich zu kam? Warum hat Frau Müller plötzlich eine andere, möglicherweise unpassende E-Mail-Signatur? Drückt der Kollege sich in seiner Nachricht plötzlich völlig anders aus als sonst? Toth rät: „Wir müssen auf jedes einzelne Detail achten und in dem Moment, in dem wir einen Funken Zweifel haben, ob etwas nicht richtig erscheint, kann man immer nochmal Rücksprache per Telefon halten. Der Mitarbeiter muss mitdenken, denn er ist die letzte Hürde für den Angreifer.“ Eine menschliche Zwei-Faktor-Authentifizierung, sozusagen.

Die Aufmerksamkeit der Angestellten ist das einzige, das zwischen dem attackierten Unternehmen und einem luxuriösen Lebensabend der Datenpiraten in der Südsee steht. Der Lieferant ändert plötzlich die Bankverbindung? Lieber nochmal anrufen und fragen, ob das auch stimmt. Die Personalabteilung will auf einmal sensible Auszüge aus der Kundendatenbank zugesandt bekommen? Am besten persönlich vorbeigehen und fragen, wofür sie die benötigen. Das mag für einen selbst und die Kollegen etwas unbequem sein. Doch die mahnenden Beispiele sind zahlreich: Georgeta Toth berichtet von einer deutschen Bank, die auf eine gefälschte Aufforderung reagierte und sensible Kundendaten herausgab. Die außergerichtlichen Einigungen kosteten die Bank sechs- bis siebenstellige Beträge.

Die Gefahr lauert oft an Stellen, an denen der Nutzer eigentlich das Gefühl hat, für mehr Sicherheit zu sorgen: Die scheinbare erneute Identifizierung mit den E-Mail-Zugangsdaten sorgt für den Identitätsdiebstahl. Und die Abwesenheitsnotiz, die als Zeichen von Professionalität und Verlässlichkeit gedacht ist, gibt Cyberkriminellen einen Ansatzpunkt, um sich ihre Strategie zurechtzulegen. „Wir empfehlen, so wenig Informationen wie möglich rauszugeben“, mahnt Toth. Also kein genaues Rückkehrdatum oder den Zweck der Abwesenheit. „Denn die Informationen, die über eine Abwesenheitsnachricht verschickt werden, können ja wieder verwendet werden, um Vertrauen zu bilden. Dann schreibt der Angreifer einfach einen Kollegen an: ‚Sie wissen ja, Herr Meier ist bis zum 27. in Urlaub. Ich habe mit ihm telefoniert und er hat mir gesagt, ich soll mich an Sie wenden.‘ In dem Moment habe ich Vertrauen geschaffen und im Gehirn schaltet sich die Vorsicht aus.“

Wie sieht dann die perfekte Abwesenheitsnotiz aus, um unbeschwert in den Urlaub fahren zu können? „Ich würde sagen: ‚Ich befinde mich momentan auf einer Dienstreise‘, ich würde auch nie ‚Urlaub‘ schreiben. Denn dann beginnt sofort die Suche, in Social Media wie Instagram und auf anderen Plattformen. ‚Ich werde mich zeitnah um Ihre Angelegenheit kümmern. Sollte es dringend sein, wenden Sie sich bitte an Herrn Meier‘, und dann die E-Mailadresse von Herrn Meier hinterlegen.“

Das mag nicht für jeden Angestellten möglich sein, der damit vielleicht eine E-Mail-Flut bei seinen Kollegen auslösen und für viel Unmut sorgen würde. Und das, obwohl er womöglich niemals mit kritischen Informationen in Kontakt kommt. Für Geschäftsführer, CFOs und Buchhaltungsangestellte ist diese Vorsicht aber unverzichtbar. Alle anderen sollten zumindest sensibler darauf achten, welche Daten sie wem geben, und was sie – auch über eine allgemeine Mail-Abwesenheitsnotiz – öffentlich zugänglich machen.

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%