Die Nachricht las sich wie ein schlechter Witz: Ausgerechnet der Internetkonzern Google kappt ausgewählten Beschäftigten im Rahmen eines Pilotversuchs zum Schutz vor Hackerangriffen den Onlinezugang auf deren Bürorechnern. Das meldete der US-Nachrichtensender CNBC vor wenigen Tagen unter Verweis auf interne Google-Dokumente. Eine offizielle Bestätigung des Konzerns gab es dazu nicht – aber auch kein Dementi. „Wir suchen routinemäßig nach Möglichkeiten, unsere internen Systeme gegen böswillige Angriffe zu stärken“, kommentierte ein Google-Sprecher auf Anfrage der WirtschaftsWoche.
Nun soll also der Holzhammer gegen Hacker ran: Mit Ausnahme des Zugriffs auf interne webbasierte Angebote wie Gmail und Google Drive sowie die Google-Suche selbst bleibt der Weg ins Netz für rund 2000 Beschäftigte bis auf Weiteres gesperrt. Getreu dem Motto, dass, wer mit seinem Rechner gar nicht erst ins Web gelangt, dort auch weder auf Schadcode-verseuchte Internetseiten gelangen noch auf seinem Computer aus dem Netz von Hackern attackiert werden kann. So weit, so simpel.
Aber auch praktikabel? Experten für organisatorische Cybersicherheit wie Christian Schunck haben da Zweifel: „Es mag selbst in unserer vernetzten Wirtschaftswelt noch einzelne Tätigkeitsfelder geben, bei denen der Zugriff auf interne Datenbanken reicht und kein externer Netzzugang nötig ist“, sagt der Fachmann für IT-Sicherheit und Identitätsmanagement am Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Stuttgart. Doch im realen Büroalltag scheine eine so extreme Abschottung in den wenigsten Fällen umsetzbar, „weil sie die Beschäftigten von allen digitalisierten Geschäftsprozessen mit Kunden oder Lieferanten abschneidet.“
Doch so radikal Googles außergewöhnliches Cybersicherheitsprojekt auch scheinen mag: Das Problem, das der Konzern zu lösen versucht, ist die vermutlich größte Sicherheitslücke jedes vernetzten Unternehmens: die Schwachstelle Mensch.
So brisant gravierende IT-Schwachstellen wie etwa die jüngst von vermutlich chinesischen Hackern gestohlenen Kryptoschlüssel für wichtige Microsoft-Cloud-Dienste sein mögen: Neun von zehn Cyberattacken setzen nicht bei technischen Lücken an. Sie zielen vielmehr darauf ab, Beschäftige von Unternehmen oder Privatanwender dazu zu bewegen, Nutzernamen oder Passwörter für Firmencomputer, sensible Datenbanken oder E-Commerce- und Bankkonten zu verraten.
Vorsicht vor den Psychotricks der Kriminellen
Social Engineering heißt diese Strategie, bei der Cyberkriminelle mit psychologischen Tricks und vielfach per E-Mail versuchen, ihre Opfer entweder auf gefälschte Anmeldeseiten im Netz zu locken, um dort die Zugangsdaten abgreifen zu können. Oder die Hacker versuchen mithilfe verseuchter E-Mail-Anhänge Schadprogramme auf Rechner oder Smartphones ihrer Adressaten zu schleusen. Die installieren dann auf den Geräten Hintertüren, die es den Angreifern ermöglichen, die Rechner und Netzwerke der attackierten Unternehmen oder Privatleute zu durchstöbern, Daten zu stehlen oder die IT-Systeme für Erpressungsversuche zu verschlüsseln.
All das wird faktisch unmöglich, wenn die Adressaten der Hacker-E-Mails, wie jetzt im Google-Versuch, mit ihren Rechnern nicht mehr ins Netz gelangen können. Eine Hintertür, die durch eine unüberwindbare Mauer vom Rest der Welt getrennt ist, stellt keine Gefahr mehr dar.
Wenn Sicherheitsvorgaben das Gegenteil bewirken
Bloß, was nützen derart rigide Vorgaben, wenn die wirksame Hackerabwehr auch alle anderen, legitimen Geschäftsprozesse ebenso wirksam blockiert? Im Zweifel sogar weniger als gedacht: „Das Problem ist, dass IT-Sicherheitsregeln von den Beschäftigten umso eher gebrochen werden, je mehr sie die Arbeit der Menschen behindern“, berichtet Fraunhofer-Forscher Schunck und verweist auf mehrere Studien seines Instituts.
Dabei sei der Verstoß in aller Regel nicht mal Ausdruck bösen Willens. Vielfach sei es so, dass die Leute in einem Zielkonflikt handelten. „Oftmals kollidiert der Versuch, Arbeitsvorgaben zu erfüllen, mit IT-Sicherheitsregularien und im Zweifel entscheiden sich die Beschäftigten für die Erfüllung der Geschäftsziele.“
Und so könne es für die Hackerabwehr in Unternehmen daher wirksamer sein, weniger strenge IT-Vorgaben zu machen, diese aber besser zu erklären. Was Schunck „empathische Richtlinien“ nennt, sei oftmals besser als allzu hohe Sicherheitshürden, die die Beschäftigten dann zu umgehen versuchten.
Statt also, wie das Google derzeit im Pilottest praktiziert, auf Restriktion beim Netzzugriff zu setzen, sollten Unternehmen das Augenmerk auf Aufklärung und Sensibilisierung für Cybergefahren legen, rät der Stuttgarter IT-Sicherheitsexperte. „Bisher liegt der Fokus vieler Unternehmen zu stark auf technischem und zu wenig auf organisatorischem Schutz gegen Hackerattacken.“
Millionenschaden nach Anruf vom Fake-Chef
Wie begründet die Warnung ist, zeigen die Fälle von zwei Unternehmen aus Erfurt und dem Münchener Umland, die Ende 2022 Opfer von Kriminellen wurden. In beiden Firmen hatten sich Betrüger bei Mitarbeitern gemeldet, sich als deren Vorgesetzte ausgegeben und um eine kurzfristige Überweisung großer Geldsummen gebeten. Weil die geschilderten Sachverhalte plausibel wirkten, überwiesen die Betroffenen im einen Fall mehrere hunderttausend, im anderen sogar zwei Millionen Euro auf die von den Betrügern genannten Bankkonten.
CEO-Fraud, Chef-Betrug, heißt diese überaus erfolgreiche Masche, bei der Angreifer ihre Opfer erst detailliert im Netz ausspähen und dort relevante Daten und verantwortliche Mitarbeiter recherchieren. Und auch gegen sie hätte Googles Netzverbot nicht geholfen, sondern nur eine bessere Aufklärung: Denn sowohl in Erfurt als auch in München gelang der Betrüger-Coup per Telefon.
Lesen Sie auch: Wie Hacker der russischen Wirtschaft helfen