In diesen Tagen einen Text über ein Unternehmen zu schreiben, das sich mit dem Thema IT-Sicherheit beschäftigt, hat angesichts der russischen Angriffe auf die
Ukraine auch mit Cyberattacken einen traurigen aktuellen Bezug. In den vergangen Jahren gab es auch in Bremen einige Fälle von Cyberattacken auf größere Firmen und Einrichtungen der kritischen Infrastruktur wie etwa den Hafenbetreiber Bremenports. Nun beschäftigt sich die Bremer Software und Beratungs GmbH (BSB) mit Sitz in einem schlichten vierstöckigen Bau im Gewerbegebiet Horn-Lehe weniger mit Cyberangriffen auf Einrichtungen der kritischen Infrastruktur, sondern mit der IT-Sicherheit für Unternehmen.
Auch im Unternehmensbereich geht es um sensible Daten und illegale Zugriffe, um Reputation sowie um volks- und privatwirtschaftliche Schäden in Milliardenhöhe. „Nicht mehr nur große Konzerne, sondern auch kleine und mittelständische Unternehmen werden zunehmend zur Zielscheibe von Cyberangriffen“, weiß Jan Bischoff, der zusammen mit Frank Lohmeyer dieses Jahr die Geschäftsführung bei der BSB übernommen hat. Um den Unternehmen mehr Sicherheit in ihrer IT-Infrastruktur zu geben, hat die Software-Firma eine E-Learning-Plattform entworfen, mit der die Beschäftigten ihrer Kunden für Fehler sensibilisiert werden sollen.
Die klassischen Angriffe aus dem Netz kennt wohl jeder Mensch mit einem Computer. Gefälschte Mails von Versandhäusern oder Banken mit Warnungen wie „Ihr Konto wurde eingeschränkt“ oder „Ihre Mithilfe ist erforderlich“. Mal stümperhaft gestaltet, immer öfter aber auch täuschend echt und nur an Details als Fälschung zu entlarven.
Hier setzt die BSB mit ihrer Plattform, der Awareness Academy, an. „Weil PCs und mobile Endgeräte durch Antiviren-Software, Firewalls und Verschlüsselungstechniken technisch besser geschützt sind, setzen Cyberkriminelle heute bei den Nutzern an. Die größte Schwachstelle bei der IT-Sicherheit, ob bei Firmen oder im Privaten, ist der Mensch selbst“, betont Experte Jan Bischoff.
In den Online-Schulungen der BSB lernen die Teilnehmenden wie Cyber-Detektive verdächtige Hinweise zum Beispiel in sogenannten Phishing-Mails zu erkennen, mit denen nach kriminell verwertbaren Informationen wie Passwörtern oder Kontodaten „gefischt“ wird. Hinweise sind ein ungewöhnlicher Absender, eine falsche Sprache oder die unpersönliche Anrede wie „Sehr geehrte Damen und Herren“. Auch bei Aufforderungen, Zugangsdaten zu schicken oder dringend etwas zu bezahlen, sollten die Alarmglocken klingeln. Jan Bischoff: „Etwa neun von zehn Attacken beginnen mit einer E-Mail“.
BSB verschickt eigene Phishingmails zum Sensibilisieren
Deshalb arbeiten die BSB und die Kunden ihrer Awareness Academy auch mit kleinen Tricks. So werden unangekündigt Phishingmails verschickt, um auf das Thema aufmerksam zu machen und eine nachhaltige Wirkung bei den Mitarbeitenden zu erzielen. Momentan läuft ein sogenanntes „Hidden Phishing“ bei einem Kundenunternehmen. „Wir haben 200 Mails verschickt, die man als schadcodebehaftet hätte erkennen können“, berichtet Bischoff. 35mal wurde die Mail nach nur einem Tag angeklickt. „Das ist eine normale Quote, das hatten wir auch schon schlimmer“, sagt Geschäftsführer Frank Lohmeyer, der bereits seit 1987 bei der BSB arbeitet. Später werden die Mitarbeitenden dann im Rahmen der Weiterbildung zur IT-Sicherheit aufgeklärt und über die potenzielle Schadenssumme informiert. So soll die Sensibilität und der Schutzstatus des Unternehmens erhöht werden.
Die Ergebnisse des Tests in der Awareness Academy bleiben natürlich anonym. Nur die Klicks werden gezählt, nicht von wem sie kamen. In eine brenzlige Situation mit dem Arbeitgeber wolle man niemanden bringen, sagt Jan Bischoff. „Die Mitarbeitenden sind mitten im Tagesgeschäft, müssen Termine einhalten und haben deswegen nicht immer präsent, worauf sie achten müssen“, erklärt Frank Lohmeyer das eben auch verständliche menschliche Fehlverhalten. Daher sollte die Weiterbildung in der IT-Sicherheit auch nicht nur einmalig stattfinden, sondern in regelmäßigen Abständen erneuert werden.
Auch sogenannte Ransomware gelangt bei bedenkenlosem Umgang mit Mails auf die Büro-Computer. Diese Schadsoftware kann ganze Firmennetzwerke blockieren. Der Umgang mit sensiblen Daten auf Social-Media-Kanälen und die Passwortsicherheit sind ebenfalls Themen der Weiterbildung. „Man glaubt nicht, wie viele Beschäftigte zum Beispiel ,passwort‘ oder ,iloveyou‘ benutzen. Solche Passwörter werden durch Hackerprogramme in Sekunden geknackt“, schildert Jan Bischoff und ergänzt: „Wir wollen die Beschäftigten durch unsere Awareness Academy zur menschlichen Firewall machen.“
Cyberangriffe werden für Hacker immer einfacher
Die Professionalität von Cyberangriffen hat in den vergangenen Jahren enorm zugenommen, während die kriminellen Aktivitäten gleichzeitig einfacher geworden sind. „Früher musste man als Hacker selbst Informatiker sein, heute kann man sich im Darknet seinen persönlichen Verschlüsselungstrojaner zusammenklicken“, erklärt Bischoff. So würden die Hacker zum Beispiel auch gezielt nach offenen Stellen suchen, eine Recherche nach Ansprechpartnern in der Personalabteilung eines ausgewählten Unternehmens machen und dann ein gefälschtes Bewerbungsschreiben mit schadhafter Software hinschicken.
Gut 15.000 aktive Lizenzen hat die BSB momentan für ihre Plattform vergeben. Die Kunden kommen aus verschiedensten Branchen und Unternehmensgrößen – von der Zahnarztpraxis und der Behindertenwerkstatt über Stadtwerke und Mittelständler bis zu internationalen Großkonzernen.
Laut einem Bericht des Landesrechnungshofes, über den Radio Bremen Ende 2021 berichtete, sind auch Bremer Behörden bei der IT-Sicherheit lückenhaft aufgestellt. Was angesichts der aktuellen russischen Cyberattacken auf die Ukraine nicht sehr beruhigend klingt.
