Auch Baubetriebe sind betroffen

Nürnberg (ABZ). – Locky, Cerber, Pegasus: Kaum ein Tag vergeht, an dem nicht vor einem neuen Trojaner gewarnt wird. Und tatsächlich gehen die Cyber-Kriminellen immer professioneller und leider auch effektiver vor. Der Schaden, den sie anrichten ist groß und den Bauunternehmern durchaus bewusst. Dennoch sind viele von ihnen nicht ausreichend geschützt. Das zeigt eine aktuelle Studie.

Die aktuelle Studie der BRZ Deutschland GmbH "IT-Trends in der Baubranche" macht deutlich: IT-Sicherheit ist für die Unternehmen ein wichtiges Thema. Mit über 90 % bestätigt die überwältigende Mehrheit der befragten Unternehmen, dass sie bereits Maßnahmen zum Schutz Ihrer IT eingeleitet haben. Allerdings ist das Bewusstsein, dass es dabei um mehr geht als ein Antivirenprogramm im Betrieb zu installieren und Daten zusätzlich noch auf einem externen Medium zu sichern, vielleicht noch nicht überall vorhanden. Denn 96 % der Befragten geben zwar an, technische IT-Sicherheitsmaßnahmen umzusetzen, aber organisatorische Maßnahmen, wie das Sensibilisieren der Mitarbeiter oder das Definieren von Sicherheitsstufen im Betrieb, ergreifen aktuell nur 36 % der befragten bauausführenden Unternehmen. 

"Ein bedenkliches Ergebnis", findet Waldemar Kühn. Und er weiß, wovon er spricht. Er leitet das Rechenzentrum und die IT-Abteilung des Software- und Organisationsspezialisten BRZ. Seine Abteilung ist täglich damit beschäftigt das eigene Rechenzentrum vor Angriffen zu verteidigen. Gleichzeitig betreut er mit seinem Team auch viele IT-Netzwerke von Baubetrieben. Dort kümmern sie sich um die notwendigen Sicherheitseinstellungen bis hin zur Schulung der Mitarbeiter. Was er und seine Kollegen tagtäglich erleben zeigt, dass die Sicherheitslücke Mensch von den Unternehmen kolossal unterschätzt wird. Technisch sind die Unternehmen oft gut gerüstet. Sie verfügen über Firewall, Anti-Malware-Tools und andere Sicherheits-Systeme, mit denen sich Eindringlinge abwehren lassen. Organisatorisch hingegen herrscht großer Nachholbedarf. Das fängt bei der Passwortsicherheit an, geht über den arglosen Umgang mit E-Mail-Anhängen bis hin zum sorglosen Eintragen von Kontodaten bzw. Banking-Zugängen auf angeblich echten Bankportalen. "Wir nennen das Social Engineering", erklärt der IT-Experte der BRZ Deutschland GmbH, so Kühn. "Das bedeutet, dass sich Hackerbanden ganz gezielt auf menschliche Schwächen – wie etwa Neugier oder Hilfsbereitschaft – konzentrieren und diese ausnutzen."

Das kann ganz harmlos mit einer E-Mail beginnen. Absender und Betreff wirken plausibel. Auch der Anhang, ein Word-, Excel- oder anderes Office-Dokument, vielleicht auch ein PDF, erscheint auf den ersten Blick gewöhnlich. Ob der Empfänger den Anhang der E-Mail nun öffnet oder nicht, hängt entscheidend davon ab, wie viel er von den Strategien und Tricks krimineller Hackerbanden weiß. Ist er ahnungslos und öffnet den Anhang, hat er damit auch den Cyber-Kriminellen die Tür ins Unternehmen geöffnet. Ist er hingegen für Sicherheitsthemen sensibilisiert und ist ihm bewusst, dass der E-Mail-Anhang einen Trojaner beinhalten kann, der alle Daten verschlüsselt, hat er den Angriff auf das Unternehmen abgewehrt.

Diverse Studien, so bspw. auch von IBM, gehen davon aus, dass über die Hälfte aller erfolgreichen Cyber-Angriffe mit dem Nutzer zusammenhängen. Unwissenheit, Unsicherheit, Nachlässigkeit oder Bequemlichkeit der Anwender führen oft zu Angriffen, die sich leicht hätten abwenden lassen können. "Egal ob kleines Unternehmen oder großer Konzern – jeder, der einen Zugang zum Internet hat, kann Opfer von Online-Kriminellen werden. Geschützt ist nur, wer sicherstellt, dass der Betrieb technisch und organisatorisch immer auf dem aktuellsten Sicherheitsstand ist. Im Unternehmen müssen eine Sicherheitskultur und ein Sicherheitsbewusstsein (Awareness) aufgebaut und gepflegt werden. Mitarbeiter müssen für relevante Gefährdungen sensibilisiert werden und wissen, welche Folgen das eigene Verhalten für das Unternehmen haben kann. Ich glaube, kein Betrieb kann es sich mehr leisten, hier weiter arglos und untätig zu bleiben", bekräftigt Waldemar Kühn.

Weitere Informationen zum Schutz von Unternehmen, erhalten Interessenten auf www.brz.eu/it-sicherheit. Dort besteht die Möglichkeit sich einem IT-Sicherheitscheck zu unterziehen oder sich über das Schulungsangebot zu informieren. Die IT-Studie kann hier angefordert werden www.brz.eu/de/wissenstransfer/studien/studie-it-tr...