Kommentar: Große Organisationen und der Mittelstand tun zu wenig für die Cybersicherheit
Unbedachte Klicks und schwache Passwörter bleiben Einfallstore für Viren.
Foto: dpaEineinhalb Tage war die Verwaltung der fünftgrößten Stadt Deutschlands lahmgelegt: Nachdem ein Mitarbeiter in einem Bürgerbüro der Stadt Frankfurt auf eine infizierte Mail geklickt hatte, schaltete das IT-Amt vorsichtshalber die städtischen Computernetze ab. Der Vorfall reiht sich ein in mehrere ähnliche Fälle, bei denen in den vergangenen Wochen etwa Bundesbehörden und die Universität Gießen betroffen waren.
Wie schon bei einer Angriffswelle vor zwei Jahren, wo vor allem Unternehmen wie Beiersdorf und Reckitt Benckiser betroffen waren, geht es den Hackern ums Geld. Diesmal hoffen sie auf eine möglichst große Verbreitung ihres Trojaners von Behördenrechnern auf private Computer, um bei den Privatnutzern beispielsweise Onlinebanking-Daten absaugen zu können. Bei der vergangenen großen Angriffswelle dagegen verlangten die Angreifer Lösegeld dafür, dass sie auf die Löschung von erbeuteten Daten verzichteten.
Dass erneut ein Virus große Organisationen lahmlegen kann, zeigt, dass viele IT-Verantwortliche noch immer zu wenig unternehmen, um Computernetze zu schützen. Virenscanner allein reichen nicht mehr aus – vor allem, solange das Kommunikationsmedium E-Mail aus der Internet-Steinzeit noch unverzichtbar ist.
Die Anwender müssen ausbaden, dass Hersteller von IT-Standardsystemen zu wenig tun, um sichere Anwendungen auszuliefern. Unternehmen und Behörden müssen ihre IT-Abteilungen personell so ausstatten und weiterbilden, dass sie sicher beurteilen können, welche Schutzmaßnahmen es braucht – und welche überflüssigen Maßnahmen Beutelschneiderei von IT-Beratungen sind.
Wichtig ist die Prävention – und die muss alle Mitarbeiter erreichen. Unbedachte Klicks und schwache Passwörter bleiben Einfallstore für Viren. Zugleich müssen die Firmenkunden Druck auf die großen Softwarekonzerne ausüben, sicherere Produkte anzubieten.
Zum Kampf gegen Hacker gehört es allerdings auch, Angriffe konsequent den Behörden zu melden. Die im Mittelstand weitverbreitete Annahme, Cybercrime würde sowieso nicht aufgeklärt, ist falsch. 2018 lag die Aufklärungsquote bei immerhin 39 Prozent, 22.000 Tatverdächtige konnten in Deutschland ermittelt werden. Beiersdorf etwa berichtete über eine sehr gute Zusammenarbeit mit dem Hamburger Landeskriminalamt.
Entscheidend sind solche Anzeigen, um Cybercrime risikoreicher und damit unattraktiver zu machen. Unternehmen, die sich erpressen lassen, werden schnell erneut zum Opfer. Der Kampf gegen Viren ist also nicht nur eine Aufgabe der IT-, sondern auch der Rechtsabteilungen. Das Internet ist schließlich kein rechtsfreier Raum.
Mehr: Das Frankfurter IT-Amt musste die Computersysteme der Verwaltung herunterfahren. Ein Mitarbeiter eines Bürgerbüros hatte auf eine infizierte Mail geklickt – und damit seinen Rechner infiziert.