Viele Unternehmen und Selbstständige sorgen sich in diesen Zeiten vor einem russischen IT-Angriff. Doch die größten Sicherheitsgefahren kommen oft gar nicht von außen, erklärt der Ingenieur für EDV und Organisation, Niko Neskovic. Er gibt Tipps, was bei einem Hack zu beachten ist.

BSZ: Herr Neskovic, wo sehen Sie die größten Gefahren beim Thema Sicherheit im Datenmanagement? 
Niko Neskovic: Ich sehe die größte Gefahr darin, dass Geschäftsführung und Mitarbeiter nach wie vor annehmen, dass einmal installierte Sicherheitsprogramme und ein einmaliger Hinweis zum Thema Umgang mit E-Mails für immer ausreichen, damit Daten, IT-Infrastrukturen und Dokumente innerhalb des Unternehmens sicher sind. Aber das stimmt nicht. Jeder weiß doch, dass das eigene Smartphone alle paar Monate ein Update fährt. Und das ist uns allen sehr wichtig, damit unsere persönlichen Daten geschützt bleiben. Ich begreife nicht, wieso Unternehmen, die mit Daten Dritter umgehen, hier noch immer so oft wegsehen. Und hier geht es nicht nur um Gefahren von außen, auch innerhalb lauern Gefahren.

BSZ: Wie meinen Sie das? 
Neskovic: Nun, Daten müssen nicht nur bei Übermittlung sicher sein, sondern auch in der Verwaltung. Ungepflegte und veraltete Server oder IT-Infrastrukturen, die unorganisiert gewachsen sind, bergen nicht nur funktional Probleme bei Themen wie Synchronisierung, Protokollierung und Compliance, sondern auch in Bezug auf die Systemstabilität. Hier reagieren manche Unternehmen leider häufig erst, wenn das Kind bereits in den Brunnen gefallen ist, sprich der Vorfall schon passiert ist und die Systeme zusammengebrochen sind. Das kann ich nicht nachvollziehen, denn hier ist mit viel höheren finanziellen Einbußen zu rechnen, als wenn Infrastrukturen und Sicherheit kontinuierlich gepflegt werden. Denn neben der Notwendigkeit, das gesamte System in einem solchen Fall retten zu müssen, von den Daten ganz zu schweigen, liegt das Unternehmen lahm und es kann nicht gearbeitet werden. In manchen Branchen bedeuten ja bereits wenige Minuten Ausfall Umsatzschäden in Millionenhöhe – von Imageproblemen mal ganz abgesehen.

BSZ: Also reicht es, die Infrastruktur immer aktuell zu halten, um Sicherheit zu garantieren? 
Neskovic: Nein, das allein reicht nicht aus. IT-Sicherheit ist immer eine Kombination aus Technologie und manueller Aufmerksamkeit. Das beste Sicherheitssystem bringt nichts, wenn die Spam-E-Mail trotzdem angeklickt wird. Allerdings unterstützen zeitlich klug gesetzte Sicherheitspatches zum Beispiel dabei, vor neuartigen Viren, Trojanern und anderen Hackermethoden zu schützen.

BSZ: Woran erkennt man denn, wann ein Sicherheitsupdate notwendig ist? 
Neskovic: Diese Frage kann man nicht pauschalisiert beantworten. Denn die Welt der Hacker agiert immer schneller und raffinierter. Es ist für IT-ferne Menschen nicht leicht einzuschätzen, wann eine Maßnahme erfolgen sollte. Einen externen Service-Provider zu engagieren, der sich eines solchen Monitorings annimmt, kostet im Durchschnitt monatlich allerdings wenig, wenn man sich vor Augen hält: Ein Vorfall in einem mittelständischen Unternehmen kann dessen Existenz und die der Mitarbeiter komplett gefährden. Externe Dienstleister bieten einen 24-Stunden-Service mit entsprechendem Monitoring, das heißt, die Systeme werden mit spezialisierter Technik und kompetentem Know-how überwacht. Anpassungen finden immer unter Berücksichtigung der aktuellen DSGVO-Standards und Techniken statt. IT-Security ist ein Werkzeugkasten, der nur durch professionelle Anbieter ordentlich gehandhabt werden kann.

BSZ: Sie sprachen zuvor von „manueller Aufmerksamkeit“, was meinen Sie damit? 
Neskovic: Das betrifft Führungsebenen und Mitarbeiter in einem Unternehmen – also sprich die Menschen. Grundsätzlich sollten sie über aktuelle Gefahren Bescheid wissen und diese konkret erkennen können. Wir bieten zum Beispiel mit Awareness Plus ein spezielles Schulungs- und Testprogramm an. Dort erhalten Teilnehmer einen Überblick, wie Fake-Mail-Templates aussehen können – und das ganz branchenspezifisch. Sei es für Behörden, Arztpraxen und Kliniken oder Konsumgüterhersteller. Die Darstellungsarten unterscheiden sich hier nämlich sehr. Zudem analysieren wir im Rahmen von Awareness Plus sensitive Bereiche innerhalb eines Unternehmens, in denen möglicherweise zusätzlicher Weiterbildungsbedarf bestehen könnte, und unterstützen dann auch hier. Mit dem Programm machen wir Mitarbeiter und Führungsebenen aufmerksam darauf, neueste Formen von Fishing-Mails, Trends und Entwicklungen der Cyberkriminalität zu kennen und somit im Alltag mit wachsamem Auge bei der Datenverwaltung zu arbeiten. Dieser wichtige Baustein in der IT-Security ist für jedes Unternehmen sinnvoll und leistbar. Hier reden wir von einem Einsatz von fünf Euro pro Anwender und Monat im Vergleich zum finanziellen Schaden, wenn es zu einem Vorfall kommt oder Daten geklaut werden.“ 

BSZ: Haben Sie noch einen SOS-Tipp, was bei einem Hack zu tun ist? 
Neskovic: Computer ausmachen oder den Stecker ziehen ist eine Möglichkeit – hilft aber nicht. Leider ist das oft eine Kurzschlussreaktion von Nutzern, in der Hoffnung, dass dann nichts weiter passiert. Doch der Trojaner oder Wurm frisst sich ja im Backend durch das System. Das Fatale: In diesem Fall ist es uns nicht mit einem Blick möglich, den Verlauf des Vorfalls nachzuvollziehen. Um die Schwachstelle zu finden, wäre das aber nötig. Statt einfach auszuschalten, bitte Ihren aktuellen IT-Notfallplan zur Hand nehmen und nach diesen Prozeduren vorgehen. Am effektivsten und schnellsten handelt hier ein versierter Fachmann, denn er kennt jeden Handgriff, der in einem solchen Moment nötig ist, aus dem Effeff.
(Interview: Tim Lucas)