Man hört immer wieder, die Mitarbeiterin oder der Mitarbeiter sei das schwächste Glied in der IT-Sicherheit. Kann man keine technischen Lösungen einsetzen, um die Schwachstelle Mitarbeitende abzudecken? Beispielsweise Container-Lösungen, die verhindern, dass sich Schadsoftware über geöffnete E-Mail-Anhänge im IT-System ausbreitet?
Gerhard Jocham, Informationssicherheitsbeauftrager bei Thüga Energienetze GmbH Schifferstadt: Technisch können nicht alle Varianten ausgeschlossen werden. Wir haben Container-Lösungen und viele weitere technische Möglichkeiten im Einsatz. Das ist wie der Hase-und-Igel-Wettlauf. Wir sind immer auf dem aktuellen Stand der Sicherheitstechnik. Neue Angriffe werden häufig mit neuen technischen Werkzeugen durchgeführt oder nutzen eine bislang unbekannte Schwachstelle eines Systems, Hard- oder Software, aus. Gegen diese Werkzeuge und Schwachstellen müssen erst neue Gegenmaßnahmen, wie zum Beispiel Patche, Virenscanner etc., entwickelt werden. Um unsere Mitarbeiter zu unterstützen, werden zum Beispiel bis zu 98 Prozent der Spammails aus dem Mailverkehr gefiltert. Diese kommen beim Mitarbeiter nicht mehr an. Bei dem verbleibenden Rest muss der Mitarbeiter als letztes Glied in der Sicherheitskette entscheiden. Ich vermute, dass sich dies auch in der näheren Zukunft nicht ändern wird. Es zeigt sich, dass eine einzelne Maßnahme nicht ausreicht, um einen bestmöglichen Schutz für ein Unternehmen zu erhalten. Je nach Komplexität dauert es eine Weile, bis neue Viren von den Virenscannern erkannt werden. Hinzu kommt die Herausforderung, dass Angriffe zunehmend sehr schnell erfolgen und heutzutage deutlich gezielter sind im Vergleich zu früher.

Wie erkenne ich, ob mein Mitarbeiter bewusst dem Unternehmen schaden will, oder ob es ein Versehen ist?
Jocham: Es ist nicht davon auszugehen, dass unsere Mitarbeiter bewusst Manipulationen einbringen. Allerdings gibt es meines Erachtens nach, kein Unternehmen in Deutschland, bei dem nicht schon einmal ein Mitarbeiter versehentlich eine professionell gestaltete E-Mail geöffnet hat. Aus diesem Grund haben wir Vorkehrungen getroffen, um für den Fall der Fälle das Schadensausmaß möglichst gering zu halten.

Peter Wehner, IT-Security Manager bei der Würzburger Versorgungs- und Verkehrs-GmbH: Ich kann mich Herrn Jocham eins zu eins anschließen. Wenn es so einfach wäre, hätten wir auch kein Problem mit Viren und Hackerangriffen. Es läuft immer wieder auf Punkt 1 hinaus, ich habe eine Software, bei der ein Angriffstor entdeckt wurde, die muss ich patchen, sofern einer vom Hersteller zur Verfügung gestellt wird. Ansonsten muss ich mir Alternativen überlegen, um das Angriffstor zu schließen. Ganz einfach, immer die gleiche Reihenfolge.

Und dennoch, absolute Sicherheit gibt es ja nie?
Jocham: Die gibt es nicht. Wir als Netzbetreiber sorgen dafür, dass eine Mitarbeiterin oder ein Mitarbeiter nicht einfach eine E-Mail im sensiblen Bereich, wie zum Beispiel der Netzleitsysteme, öffnet. Die Netzleitsysteme sind grundsätzlich von den Office-Systemen getrennt. Diese IT-Trennungen stellen sicher, dass etwa Verschlüsselungsschädlinge nicht auf die kritischen Netzleitsysteme gelangen. Neben den Schutzmaßnahmen ist es elementar, sich darüber Gedanken zu machen, was tun wir, wenn uns ein Angriff erwischt hat.

Sie sind also für eine strenge Trennung von IT und OT. Aber wie sieht es zum Beispiel mit Fernwartung aus, da müssen Sie ja von außerhalb auf Ihre Anlage zugreifen können?
Wehner: Das ist auch so, aber das stellt uns natürlich vor entsprechende Herausforderungen. In diesem Fall gibt es eine bestimmte Segmentierung. So wird beispielsweise nicht das ganze Netz geöffnet. Das ist wie bei einem Haus, hier stehen auch nicht alle Türen offen. Hat der Hacker die erste Sicherheitszone überschritten, gibt es aber noch viele weitere Räume, die wiederum mit Türen gesichert sind. Und in diesen Räumen gibt es wiederum Schränke, vielleicht sogar mit einem Tresor. So kann man sich das bildlich vorstellen, wie solche Zonen aufgebaut sind und wie eine Fernwartung mit Fernsteuerung machbar ist.

Man hört oft, eine Mitarbeiterin oder ein  Mitarbeiter gibt aus Versehen ein Passwort heraus und dann kommt man so langsam ins System …
Wehner: Es gibt  unterschiedliche Varianten, wie Hacker in ein System gelangen, beispielsweise über eine Mail, mit der sie versuchen, Schadsoftware aufzuspielen. Im Geheimen wir dann weiteragiert, bis sie entsprechende Informationen bekommen. Was wir auch verstärkt feststellen, ist, dass weniger globale Angriffe erfolgen, wie das früher in Unternehmen der Fall war. Die Angriffe sind gezielt und versuchen sich zum Beispiel  in den Mailverkehr einzuhacken. Es gibt sogar Fälle, in denen auch das private Umfeld einer Mitarbeiterin oder eines Mitarbeiters ausgespäht wird, um zu testen, ob die privaten Passwörter dieselben wie im dienstlichen Umfeld sind, um dann so in das Unternehmen zu kommen. Der klassische Fall ist allerdings Mail-Hacking: sprich, man hackt sich in einen bestehenden Mailverkehr ein, um gezielt Mitarbeitende auszuspähen und mit diesen Informationen den „ersten Angriff“ zu starten. Bleibt dieser unentdeckt, folgen weitere. Dies ist jedoch nur eine Variante, wie versucht wird, in das System eines Unternehmens einzudringen.

Mitarbeitende  zu sensibilisieren, bleibt also weiterhin wichtig. Wie läuft das bei Ihnen ab, Sie setzen hier auf eine Schulungs-Software. Wer wird geschult?
Wehner: Alle, bis auf diejenigen, die keinen Zugriff auf die Systeme haben, wie etwa Busfahrer, durchlaufen bei uns per E-Learning mindestens einmal im Jahr eine Grundschulung. Es gibt hier verschiedene Module, die Teilnehmenden müssen einen Fragenkatalog beantworten und auch bestehen. In der Vergangenheit haben wir Präsenz-Schulungen gemacht, da ist es relativ schwierig, alle Mitarbeiter wirklich mitzunehmen. Mit dem Fragenkatalog im Hintergrund setzt sich der Mitarbeiter wirklich näher mit dem Thema auseinander. Es geht hier auch nicht darum, Kollegen zu „gängeln“, sondern die Sicherheit für das Unternehmen zu erhöhen. Für die Teilnahme an dem Kurs bekommen die Kollegen eine entsprechende Zeitgutschrift.

Jocham: Genau, bei uns müssen die Mitarbeiter eine gewisse Anzahl an Fragen richtig beantworten. Wenn die Antworten falsch sind, kann die Mitarbeiterin oder der Mitarbeiter den Test beliebig oft wiederholen. Die Schulungssoftware von WTT CampusONE hat den Vorteil, dass sich die Fragen bei den Wiederholungen ändern. Die Schulungsteilnehmer werden wirklich dazu animiert sich mit dem Thema auseinander zu setzen.
Die Schulungsinhalte werden regelmäßig angepasst, so ist sichergestellt, dass aktuelle Anforderungen aufgenommen werden und der Schulungsinhalt sich nicht wiederholt. Eskalationsstufen greifen, wenn ein Mitarbeiter aus diversen Gründen nicht im vorgegebenen Zeitraum an der Schulung teilnimmt. Ein Teil dieser Stufen sind beispielsweise Sensibilisierungsmaßnahmen über die Geschäftsführung. Die freie Zeiteinteilung und die Möglichkeit, die Schulung im Homeoffice durchzuführen, ist außerde für viele ein großer Vorteil.

Apropos Geschäftsführung, macht die obere Führungsriege auch bei der Schulung mit?
Jocham: Natürlich, auch ein Geschäftsführer ist den IT-Gefahren ausgesetzt. Dazu kommt die Vorbildfunktion. In den Managementsystemen, wie der ISO/IEC 27001 wird dies explizit gefordert. Dort steht eindeutig, dass auch die Geschäftsführung die IT-Sicherheit unterstützen muss.  

Die Schulungen führen Sie also einmal im Jahr durch?
Jocham: Das ist unterschiedlich. Es gibt Schulungen für alle, die einmal im Jahr stattfinden. Dann gibt es darüber hinaus noch individuelle Schulungen für spezielle Themengebiete wie zum Beispiel Anforderungen in der Sekundärtechnik. Da geht es auch um die eingesetzte Technik des Unternehmens. Immer wieder wird der Spagat zwischen Sicherheit und dem komfortablen Arbeiten besprochen. Höhere Sicherheitsanforderungen führen teilweise dazu, dass mehrere Arbeitsschritte durchgeführt werden müssen, um eine Änderung an einem System durchführen zu können.

Wehner: Also wir haben etwa 1000 Mitarbeiter, die geschult werden müssen. In der Vergangenheit wurden etwa ein- bis zweimal  im Monat solche Schulungen durchgeführt. Waren diese abgeschlossen, wurde bereits mit dem nächsten Zyklus begonnen. Wenn man sich überlegt, mit welchem Zeitaufwand allein die Vorbereitung verbunden ist, ist dies nicht unerheblich. Allein die Auswertung dazu, wer teilgenommen hat, war immens. Früher musste man sich in eine Liste eintragen und unterschreiben, dass man teilgenommen hat. Die Schulungs-Software bringt uns eine echte Arbeitserleichterung und wir sehen genau, wer die Schulung absolviert hat. Wird eine Schulungseinheit innerhalb eines Zeitraumes nicht durchgeführt, so erfolgt eine Mailinformation an den Mitarbeiter. Diese Information/Auswertung wurde in der Vergangenheit ebenfalls manuell durchgeführt. Die Teilnahme der Mitarbeiteirn oder des Mitarbeiters an der Schulung wird jetzt automatisiert an SAP übertragen. Ein weiterer Vorteil ist, dass bei der Einstellung neuer MitarbeiterInnen, im SAP festgelegt wird, welche Schulungseinheiten in welchem Zeitraum zu absolvieren sind. Hier muss man sich lediglich im System anmelden und bekommt alle Informationen zu den zu absolvierenden Schulungen. Es ist dann kein manueller Aufwand mehr erforderlich.

Die Fragen stellte Stephanie Gust