„Eigene Mitarbeiter sind oft die größte Schwachstelle“, ist auf einer Präsentationsfolie zu lesen. Auf manch einen mag es provokativ wirken, andere werden zustimmend schmunzeln, wenn ihnen Michael Scharf, Experte für IT Security beim Software-Spezialisten RZA in Gmünd, in einem seiner Vorträge davon erzählt, wie schnell einmal auf einen falschen Link aus einer fragwürdigen E-Mail geklickt wird. Die NÖN hat ihn zum Gespräch über das Thema IT Security getroffen.

NÖN: Inwiefern kommen Sie mit Sicherheits-Zwischenfällen in Kontakt?

Michael Scharf: RZA kennt man vor allem für Software rund um die Buchhaltung, Lohnverrechnung und weitere Business-Software-Lösungen. Wir sind aber auch Microsoft 365 Partner und entwickeln mit unserer Business Solution individuelle Konzepte von der Hardware, Software bis hin zu intelligenten Sicherheitslösungen. Deshalb kommt es auch immer wieder vor, dass sich Kunden deshalb bei uns melden. Mit der Pandemie hat sich das Geschäftsfeld der „Bösen“, wie wir Hacker und Cyberkriminelle oft nennen, noch stärker ins Internet verlagert. Viele denken da gleich an komplizierte Hacker-Angriffe, aber das kommt in den seltensten Fällen vor. 99 Prozent der Probleme treten auf, weil jemand auf einen falschen Link geklickt und sich etwas eingefangen hat. Die Schwierigkeit liegt darin, dass die böse Seite meist weit vorne ist und die gute hinten nach.

Kann man das quantifizieren?

Scharf: Wir zeigen in unseren Vorträgen auch Statistiken her. Nur: Wenige zeigen solche Vorfälle an. Entweder sie zahlen dafür und bekommen ihre Daten zurück, oder es gibt ein Backup. Das taucht in keiner Statistik auf, die Dunkelziffer ist somit sehr hoch.

Wie sieht ein Hacker-Angriff aus, was passiert dabei?

Scharf: Ein Beispiel sind Cryptolocker, die infizierte Computer verschlüsseln und den Zugriff auf die Inhalte einschränken. Es kann dann zum Beispiel zu Erpressungen kommen und wir wissen definitiv, dass viele Unternehmen dafür bezahlen. Andernfalls kann es aber bedeuten, dass Daten verloren gehen und der Betrieb steht, oder Daten und Firmengeheimnisse irgendwo auftauchen. Deshalb gilt: Zuerst denken, dann klicken. Wenn Zweifel bestehen, ist es am besten, sich an Profis zu wenden, weil wir zum Beispiel andere Möglichkeiten zur Überprüfung haben. Cryptolocker breiten sich in Systemen aus und können enormen wirtschaftlichen Schaden anrichten. Es braucht meist mehrere Tage, bis die Systeme wieder laufen. Natürlich ist das ein gutes Geschäft für die böse Seite.

Welche einfachen Tipps können Sie Unternehmen und deren Mitarbeitern geben?

Scharf: Es beginnt schon damit, dass Handy und Laptop vor allem im Homeoffice sicher aufbewahrt werden sollten. Verlässt man seinen Arbeitsplatz, ist der Computer zu sperren – egal, von wo man arbeitet. Berufliche Daten sollten nicht in privaten Clouds gespeichert und Ausdrucke generell vermieden werden. Wenn, dann gilt Vorsicht bei deren Entsorgung. Wir versuchen, das vorzuleben, lassen nirgends Zettel herumliegen. In manchen Betrieben ist es leider immer noch so, dass ein Post-it mit dem Passwort am PC-Bildschirm klebt.

Wie sieht das im privaten Bereich aus?

Scharf: Backups sollten sowieso immer gemacht werden, das betrifft Unternehmen und Private. Selbst wenn es nur auf einer Festplatte ist: Das ist besser, als alles nur an einem einzigen Ort gespeichert zu haben. Für Passwörter ist zu beachten, dass sie niemals geteilt, regelmäßig gewechselt und nicht weitergegeben werden sollten. Ein Passwort zu knacken, das probiert ja niemand mit der Hand aus. Das machen Roboter.

Was passiert denn, wenn ein Passwort geknackt wurde?

Scharf: Bei E-Mails geht es mit dem Spam los. Es kommen Nachrichten von legitimen Adressen, die um Geld bitten, weil der Absender im Ausland sei und ihm dort alles gestohlen wurde – was nicht stimmt. Das geht an alle Kontakte und wenn nur fünf wirklich zahlen, dann ist es für die Hacker auch schon ein schönes Monatsgehalt. Mit Passwörtern muss wirklich vorsichtig umgegangen werden. Niemals wird eine Bank oder ein IT-Betreuer Passwörter über E-Mail oder eine Website abfragen. Er oder sie ruft direkt an.

RZA lädt am 11. Mai zum Business Talk in Gmünd, Themen sind Sicherheit und Datenschutz, der moderne Arbeitsplatz und Microsoft 365. Die Veranstaltung ist nach Anmeldung exklusiv für Unternehmen aus der Region.

