Interview mit Dr. Florian Wrobel, Geschäftsführer der COGITANDA Risk Prevention GmbH
Herr Dr. Wrobel, Risikoprävention ist für Unternehmen im Bereich Cyber Security unerlässlich. Wie ist es darum bestellt?
Jedes Unternehmen – unabhängig von Größe und Branche – ist heutzutage Cyberrisiken ausgesetzt. Wie andere operationelle Risiken müssen auch die Cyberrisiken angemessen gesteuert werden. Aufgrund der aktuell steigenden Bedrohungslage schätze ich die Risikoprävention als unabdingbar ein. Wer sich heutzutage nicht mit Cyberprävention befasst und keine Maßnahmen gegen einen Cyberangriff einleitet, ist höchst fahrlässig unterwegs und trägt eine große Zielscheibe auf dem Rücken. Oftmals haben schon kleine Maßnahmen, die recht zügig implementiert werden können, eine immense Wirkung: Durch geeignete präventive Maßnahmen lässt sich die Wahrscheinlichkeit eines erfolgreichen Angriffs, aber auch das potenzielle Schadenausmaß reduzieren. Oftmals sind sich Unternehmen gar nicht bewusst, welcher Vielzahl an Cyber-Security-Risiken sie ausgesetzt sind.
Einer, wenn nicht sogar der bekannteste Hacker weltweit, Kevin Mitnick, sagte einst: „Die Organisationen stecken Millionen von Dollar in Firewalls und Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigt: die Anwender und Systemadministratoren.“ Wie stehen Sie zu dieser Aussage?
Diese Aussage würde ich genau so unterschreiben. Sie können die besten Firewalls, die besten Intrusion-Detection-Systeme oder den besten Anti-Virus-Schutz haben: Diese Programme werden Ihnen niemals einen vollständigen Schutz bieten und sicherstellen, dass keine Phishing-E-Mail durchkommt. Sie müssen wissen, die Qualität der Phishing-E-Mails ist in den letzten Jahren enorm gestiegen.
Die elektrischen Systeme und Computer sind heutzutage oft sehr gut geschützt, und Hacker wissen das. Natürlich möchten auch Cyberkriminelle effektiv und effizient arbeiten – es ist für Hacker viel leichter, einen Menschen anzugreifen als einen Computer. Wir bezeichnen daher sämtliche Mitarbeiter und Führungskräfte als die erste „Verteidigungslinie“ gegen Hackerangriffe. Damit sie dieser Rolle gerecht werden können, müssen eine entsprechende Ausbildung und Schulungen stattfinden.
Wenn der Ausbildung der Mitarbeiter so eine wichtige Bedeutung zukommt: Wie geht man das Thema aus Ihrer Sicht am besten an?
In unseren Audits erleben wir sehr oft, dass es in Sachen Schulung und Ausbildung der Belegschaft einen sehr großen Nachholbedarf gibt. Es ist für Unternehmen unabdingbar, in die Schulung ihrer Mitarbeiter zu investieren. Das Trainingsprogramm von kleinen und mittelständigen Unternehmen ist häufig nicht zeitgemäß. Oft wird das Thema Cyber Security nur einmal im Jahr in einer langen PowerPoint-Präsentation behandelt – eine solche Herangehensweise halte ich in diesem Kontext für absolut unzureichend. Der Mitarbeiter ist unkonzentriert und hört nur halbherzig zu. Am Ende des Tages hat der Mitarbeiter vielleicht verstanden, was Phishing ist, aber er denkt sich „es wird mir selbst eh nie passieren“ und der Lerneffekt ist minimal.
Wir bei der COGITANDA Risk Prevention GmbH setzen auf praktische Schulungen: Wir bieten unseren Kunden zum Beispiel gezielte Phishing-Simulationen an, bei der wir den Mitarbeitern des Unternehmens eine Fake-Phishing-E-Mail zusenden.
Wie erfolgreich sind solche Phishing-Simulationen?
Sehr erfolgreich. Wir sehen immer wieder, dass eine Vielzahl der Mitarbeiter auf eine simulierte Phishing-E-Mail reinfällt – vom Sachbearbeiter bis zum CEO – das kann jedem passieren, der nicht entsprechend geschult wurde. Für Unternehmen, die das Thema Phishing bislang noch nicht aktiv behandelt haben, liegt der Erwartungswert bzw. die Baseline bei 30%. Also 30% der Belegschaft fallen auf den ersten simulierten Phishing-Angriff rein. Und vergessen Sie nicht – im Ernstfall reicht bereits ein einziger Klick, um das Unternehmen stillzulegen.
Wenn der Mitarbeiter im Rahmen der Simulationen dann auf eine Fake-Phishing-E-Mail reinfällt, öffnet sich ein Browser-Fenster, in dem steht: „Noch mal Glück gehabt, das war zum Glück nur eine Übung. Nächstes Mal bitte vorsichtiger sein.“ Und hier finden die Lerneffekte statt: Man läuft rot an, das Adrenalin schießt in die Höhe, man weiß instinktiv, dass man gerade Mist gebaut hat. Und glauben Sie mir, bei der nächsten E-Mail ist der Mitarbeiter wachsamer.
Seite 1 „Es ist für Hacker viel leichter, einen Menschen anzugreifen als einen Computer"
Seite 2 Wie kann man mit einfachen Mitteln für eine erfolgreiche Prävention sorgen?
- Anmelden, um Kommentare verfassen zu können