IT-Experte:

Hackerabwehr in die Ausbildung aufnehmen

(Bild: thinkstockphotos.de)

Mit besserer Berufsausbildung gegen Cyberattacken: Die europäische Sicherheitsinitiative CyberSec4Europe plädiert angesichts steigender Schäden dafür, vorbeugende Abwehrmaßnahmen in die Ausbildungspläne aufzunehmen. „Wir brauchen bessere Ausbildungsrahmenwerke für Anwendungsbereiche, und brauchen auch Ausbildungsinhalte, die sich nicht allein auf die Technik beziehen“, so CyberSec4Europe-Koordinator Kai Rannenberg.

„Es gibt bereits Standards zu den Mindestanforderungen an Berufsausbildung, aber es gibt keine Festlegung, was Mitarbeiter wissen müssen, um sich an einen Rechner zu setzen“, sagte der Professor für IT-Sicherheit mobiler und vernetzter Geräte an der Frankfurter Goethe-Universität zur Deutschen Presse-Agentur. „Zu einem fundierten Sicherheitsmanagement müsste jedoch die Schulung der Anwender gehören, ebenso eine Abstimmung der Arbeitsabläufe auf Bedürfnisse und Fähigkeiten.“

An den Unis gebe es mittlerweile eine ganz gute Ausbildung für klassische Sicherheitstechnik, speziell für Kryptographie, sagte Rannenberg. „Wo es sehr viel stärker fehlt, ist security education für Anwendungsbereiche. Beispiele wären Arztpraxen, in denen es viele sensitive Daten gibt, oder auch mittelständische Handwerksbetriebe, etwa Bäckereien.“

In der Wirtschaft sind Versicherungen und Banken nach Rannenbergs Einschätzung in Sachen IT-Sicherheit besser aufgestellt als der Durchschnitt der Unternehmen. „Aber gerade viele Industriebetriebe haben bisher gar nicht so gesehen, dass sie im Risiko stehen.“ Dabei geht es insbesondere um Erpressung mit „Ransomware“ - bösartiger Verschlüsselungssoftware.

(Bild: AFP)

Erpressung im Kleinen
Nach Angaben von IT-Sicherheitsfirmen werden mittlerweile bei manchen Ransomware-Angriffen zweistellige Millionensummen für die Entschlüsselung der blockierten Systeme gefordert. Erpressung als Geschäftsmodell gebe es aber auch im Kleinen, sagte Rannenberg. „E-Mail-Versand kostet nichts, und wenn man eine Million Mal die identische Erpressungsmail verschickt, kann man schnell zweitausend Euro verdienen, auch wenn nur zehn Empfänger jeweils 200 Euro zahlen.“

So müsste eigentlich in die Ausbildungen von Sekretariatskräften oder Bürokaufleuten aufgenommen werden, „dass man sich nicht aufs Kreuz legen lassen soll, und nicht beliebig E-Mails öffnet und nicht beliebig auf Webseiten Passwörter eingibt. Es ist erstaunlich, wie viel immer noch schief geht.“

Schulungen im Telefonieren
Menschen müssten auch am Telefon geschult werden. „Dass jemand anruft, sich als Mitarbeiter von Microsoft ausgibt und die Angerufenen dazu bringt, Zugang zu ihren Rechnern zu ermöglichen, kommt häufig vor“, sagte Rannenberg. „Die Angreifer sind geschickt und werden immer geschickter.“