Cyberkriminalität

Das Risikomanagement hält nicht Schritt

Hundertprozentig sicher kann man sich im Netz nie sein, sagt die Arbeitspsychologin Angela Sasse. In der Verantwortung sieht sie aber nicht allein die Unternehmen.

Die Arbeitspsychologin Angela Sasse fordert Unternehmer zu mehr IT-Sicherheitsschulungen ihrer Mitarbeiter auf. "Vielen Unternehmen ist einfach nicht bewusst, dass jeder Mitarbeiter – nicht nur IT-Verantwortliche – potenzielle Angriffspunkte für Cyberkriminelle bietet", sagt Sasse, die an der Ruhr-Universität Bochum Human-Centered Security lehrt, in einem Interview mit dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV).

Auch sie selbst fühle sich im Netz nicht besonders sicher, da Angriffe oft von langer Hand vorbereitet würden. "Ich muss mir also bewusst sein, dass ich mit meinem heutigen Verhalten im Netz eine Schwachstelle schaffe, die Angreifer erst in zwei Jahren nutzen", so die Forscherin.

Digital Natives "fühlen sich in der Regel sicherer – sie sind es aber nicht zwangsläufig", stellt Sasse fest. Denn obwohl sie von klein auf gelernt hätten, Signale im Internet zu decodieren, führe genau diese Vertrautheit auch zu einer Art Selbstüberschätzung.

Risikomanagement hält nicht Schritt

Auch die Arbeitswelt hat sich durch die Digitalisierung unter Sicherheitsaspekten radikal verändert, doch die Wahrnehmung und das Management von Risiken konnten dieser Entwicklung "nicht schnell genug folgen". Vielen Unternehmen sei nicht bewusst, "dass jeder Mitarbeiter – nicht nur IT-Verantwortliche – potenzielle Angriffspunkte für Cyberkriminelle bieten".

Denn die Attacken kommen nicht ausschließlich über die IT-Infrastruktur, sondern auch über Telefon und E-Mail. "Eindeutige Vertrauenssignale wie eine Mail oder ein Anruf vom Chef sorgen bei hohem Arbeitsdruck für eine rasche und – im Fall einer Fake-President-Attacke – falsche Entscheidung", warnt Sasse.

Zugleich warnt Sasse davor, beim Thema IT-Sicherheit zu viel auf den einzelnen Mitarbeiter abzuschieben. "Die Verantwortung liegt bei denen, die die IT-Plattformen bauen und die entscheiden, wie viel sie in die Sicherheit investieren."

Branchenverbände in der Pflicht

Schulungen, aber auch klare Regeln im Betrieb, wie das Abzeichnen von Transaktionen von jeweils zwei Mitarbeitern, könnten helfen, die Risiken solcher Angriffe für Unternehmen zu minimieren, sagt Sasse und fordert mehr konkrete Hilfen und weniger Schuldzuweisungen an Unternehmer.

Statt dessen sieht die Forscherin hier die Branchenverbände in der Pflicht. Sie sollten in Zusammenarbeit mit dem Staat Schulungspakete und Instrumente ausarbeiten, die kleine Unternehmen dann abrufen könnten. Über die IHK gebe es solche Angebote bereits.

Lesen Sie auch:

Cybersicherheit: Autohäuser haben bedenkliche Lücken

Wachsende Gefahr von Cyberangriffen: Trend Micro und Luxoft wollen vernetzte Autos absichern

Im Datencenter:

Analyse der Sicherheit ausgewählter Modelle bei Cyberattacken auf die Fahrzeugelektronik 2014

FÜR SIE EMPFOHLEN
Was Sie zum Thema Software Defined Vehicle wissen müssen
Lesen Sie auch:
Software Defined Vehicle
Was Sie zum Thema Software Defined Vehicle wissen müssen
VinFast-Showroom in Köln
VinFast will es noch mal wissen
Suzuki Swift (2024)
Neuer Suzuki Swift: Ja nicht zu viel wagen
Volkswagen
"Keine Hinweise auf Zwangsarbeit"
Lamborghini Revuelto
Lamborghini führt Vier-Tage-Woche ein
Informationsvorsprung Newsletter
Jetzt Newsletter bestellen