„Es gibt immer zwei: einen Meister und einen Schüler“. Dieser berühmte Satz aus Star Wars Episode III („Die Rache der Sith“) beschreibt, wie Anakin Skywalker schließlich der dunklen Seite verfällt. In der Galaxis führt der verführerische Pfad der dunklen Seite ins Chaos und zu großer Zerstörung. Ähnlich in der IT-Welt lockt eine dunkle Seite: Vernachlässigte Sicherheit, Leichtsinn und all die Cyberbedrohungen, die im Verborgenen lauern. So wie Anakin dachte, er könne die Risiken kontrollieren und musste bitter dafür bezahlen, denken manche Unternehmen, ein Datenverlust oder Cyberangriff würde sie schon nicht treffen. Doch wehe, wenn sie sich irren, dann schlägt die dunkle Seite der IT-Sicherheit gnadenlos zu.
In Episode III sehen wir, wie aus dem vielversprechenden Jedi Anakin ein Werkzeug des Bösen wird. Was hätte diese Tragödie verhindern können? Wahrscheinlich mehr Disziplin, Wissen und Vorsicht. Genau das brauchen auch IT-Profis, um den Verlockungen der Bequemlichkeit und Unwissenheit zu widerstehen. In der IT entspricht die helle Seite der Macht einer proaktiven Sicherheitskultur: kluge Vorsichtsmaßnahmen, regelmäßige Backups, geschulte Mitarbeiter, all das hält uns auf der guten Seite der Macht. Die dunkle Seite hingegen spiegelt sich in veralteten Systemen, schlampigem Umgang mit Passwörtern oder „Das wird schon gutgehen“-Mentalität wider. In diesem Beitrag wollen wir einen Blick darauf werfen, wie wir in der IT-Weiterbildung die richtigen Lehren ziehen, um nicht von der dunklen Seite überwältigt zu werden.
Cybersicherheit ist Risikomanagement. Jede neue Technologie, jede digitale Vernetzung bringt immense Chancen, aber eben auch Risiken mit sich. Es gibt ein bekanntes Sprichwort: „Es gibt zwei Arten von Unternehmen: solche, die bereits gehackt wurden, und solche, die es noch nicht wissen.“ Dieser leicht düstere Witz enthält einen wahren Kern. Heutzutage müssen wir davon ausgehen, dass ein Vorfall jederzeit passieren kann. Umso wichtiger ist ein systematisches Risikomanagement: Welche Bedrohungen (Threats) gibt es? Wo sind unsere Schwachstellen (Vulnerabilities)? Und welche potenziellen Schäden (Impacts) müssen wir einkalkulieren? Ein praxisnahes Risikomanagement identifiziert diese Punkte und priorisiert Maßnahmen danach, wie wahrscheinlich und gravierend Risiken sind. Zum Beispiel wird ein Unternehmen im Finanzsektor Phishing- und Trojaner-Angriffe ganz oben auf die Liste setzen, während ein Produktionsbetrieb sich verstärkt gegen Sabotage oder Ausfall von Anlagen absichert. Wichtig ist: 100% Sicherheit gibt es nicht. Aber durch kluges Risikomanagement senken wir die Wahrscheinlichkeit erfolgreicher Angriffe und mindern mögliche Schäden.
Konkrete Hilfestellung bieten hierbei anerkannte Standards und Frameworks: Etwa die ISO/IEC 27001 oder der BSI IT-Grundschutz. Sie geben einen Leitfaden, um Risiken systematisch zu erheben und geeignete Sicherheitsprozesse zu implementieren. So hat z.B. der Allianz Risk Barometer 2023 Cybervorfälle erstmals auf Platz 1 der Geschäftsrisiken weltweit gesetzt, noch vor klassischen Risiken wie Naturkatastrophen. Das zeigt, dass Cyberrisiken inzwischen Chefsache sind. Von der Geschäftsführung bis zum Admin im Serverraum sollten alle verstehen: Sicherheit ist Teamarbeit. Es fängt beim Bewusstsein an („Risikobewusstsein stärken, die Gefahr erkennen, man muss!” würde Yoda sagen) und endet bei der technischen Umsetzung. Im nächsten Abschnitt sehen wir uns an, welche organisatorischen und technischen Schutzmaßnahmen kombiniert werden müssen, um ein rundes Sicherheitskonzept zu ergeben.
Organisatorische Maßnahmen bilden das Fundament der IT-Sicherheit. Dazu zählen klare Sicherheitsrichtlinien, Prozesse und Verantwortlichkeiten. Stell dir vor, es gibt eine „Jedi-Ratsversammlung“ in deiner Firma, wo Regeln festgelegt werden: Passwort-Richtlinien (z.B. regelmäßiges Ändern, Komplexität), Zugriffsberechtigungen nach dem Need-to-Know-Prinzip, ein Ablaufplan für Sicherheitsvorfälle (Incident Response Plan) und regelmäßige Schulungen für Mitarbeiter. Ohne diese Grundlagen hilft dir die beste Technik wenig, denn wenn Mitarbeiter z.B. Passwörter auf Post-its kleben oder Anhänge unbekannter E-Mails öffnen, nützt auch der modernste Virenscanner nichts. Ein gutes organisatorisches Gerüst stellt sicher, dass alle im Unternehmen Sicherheit mitdenken. Es schafft eine Kultur, in der man lieber einmal nachfragt, bevor man unbekannte USB-Sticks ansteckt, und in der Sicherheitsvorfälle offen gemeldet statt vertuscht werden.
Technische Maßnahmen: Neben Prozessen spielen natürlich technische Schwachstellen eine große Rolle. Technische Risikoaspekte der IT-Sicherheit ergeben sich vor allem aus dem Fehlen geeigneter Sicherheitsstandards und -maßnahmen:
Die Kombination aus organisatorischen und technischen Maßnahmen macht letztlich das Sicherheitsprofil aus. Nehmen wir Phishing an: Organisatorisch hilft eine klare Richtlinie („Wir fragen niemals Passwörter per E-Mail ab“) und Sensibilisierung der Mitarbeiter, solche E-Mails zu erkennen. Technisch ergänzt man das z.B. mit E-Mail-Filtern und Sandboxing von Anhängen. Nur zusammen entsteht ein rundum Schutz. Genauso wichtig ist die regelmäßige Überprüfung dieser Maßnahmen, in Form von Audits, Penetrationstests oder zumindest Routinen, ob Backup und Notfallpläne noch aktuell sind. Sicherheitsmaßnahmen sind kein „einmal einrichten und vergessen”; sie müssen lebendig bleiben, angepasst an neue Bedrohungen und veränderte Geschäftsprozesse. Wie ein Jedi, der jeden Tag trainiert, um fit zu bleiben, muss auch unsere Sicherheitsinfrastruktur ständig gepflegt und verbessert werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont in seinen Lageberichten und Empfehlungen ausdrücklich die Bedeutung von Backups; insbesondere angesichts der vergangenen Ransomware-Wellen. Ransomware ist aktuell die wohl größte Bedrohung für Unternehmen aller Größen, warnt das BSI, und ohne Backup sind Opfer solcher Angriffe oft gezwungen, Lösegeld zu zahlen oder stehen vor dem Ruin.
Wichtig: Das Backup muss selbst sicher sein. Moderne Erpressungstrojaner versuchen nämlich gezielt, auch gleich die Sicherungskopien mit zu verschlüsseln. Daher sind Offline-Backups oder zumindest vom Netz getrennte Sicherungen Gold wert. Die Fachbranche spricht vom 3-2-1-Prinzip: 3 Kopien, auf 2 verschiedenen Medien, 1 davon off-site (und auch offline). Nur so können im Ernstfall die befallenen Systeme plattgemacht werden und die Daten aus der „Zeitkapsel” zurückgeholt werden. Gibt es hingegen keine funktionierende Datensicherung, bleibt oft nur noch der Weg in den Notbetrieb, was mit extremen Zeit- und Kostenaufwänden verbunden ist, ganz zu schweigen vom möglichen Verlust aller Daten.
Praxis-Tipp: Backups testen! Ein ungetestetes Backup ist fast so schlimm wie kein Backup. Viele Unternehmen wiegen sich in falscher Sicherheit, bis sie feststellen, dass die Sicherungen unvollständig oder unbrauchbar sind. Regelmäßige Restore-Übungen sollten eingeplant werden (z.B. monatlich eine Test-Rücksicherung eines wichtigen Systems). Das gibt Routine und Vertrauen, dass im Notfall alles funktioniert. Denn nichts ist schlimmer, als im Krisenfall festzustellen, dass die Backup-Datei defekt ist oder die Dokumentation zum Wiederherstellen fehlt. Wie in Star Wars die Wartungscrew den Millennium Falken ständig checkt, müssen wir unsere „Daten-Falken” auch überprüfen, damit sie im Hyperraum nicht liegenbleiben.
Zum Abschluss sei noch erwähnt, dass man Sicherheitsmaßnahmen grob in drei Kategorien einteilen kann: präventiv, detektierend und reaktiv. Jede Organisation sollte in allen drei Bereichen aktiv sein:
Diese drei Säulen greifen ineinander. Ein gut präventiv aufgestelltes Unternehmen mit geschultem Personal (die „Jedis”) wird weniger Incidents haben und diese schneller entdecken. Aber es übt trotzdem regelmäßig den Ernstfall (reaktiv), um im Falle eines Falles nicht kopflos dazustehen. So wie der Jedi-Orden neben der Meditation auch den Kampf trainiert hat: man hofft zwar, ihn nie anwenden zu müssen, aber wenn, dann richtig.
Schauen wir nun auf ein paar reale Geschichten, die zeigen, was passieren kann – und was wir daraus lernen können. Leider gibt es genügend Beispiele, in denen Cyberangriffe verheerende Folgen hatten:
Diese Beispiele machen deutlich: Die dunkle Seite schlägt real zu und oft genau dann, wenn man sie am wenigsten erwartet. Aber sie zeigen auch zwei Seiten der Medaille: Ohne Vorbereitung führt ein Angriff ins Chaos; mit Prävention und Notfallkonzept lässt er sich zumindest begrenzen.
Das soll kein Angstmachen sein, sondern ein Weckruf. Administratoren, Führungskräfte, Eigentümer:innen und alle Mitarbeiter:innen können einen Beitrag leisten, damit unser Todesstern keine offene Schwachstelle hat.
Im Kampf gegen die dunkle Seite der IT-Sicherheit gibt es eine oft unterschätzte Geheimwaffe: aufgeklärte, wachsame Mitarbeiter:innen. Schließlich nützt die beste Technik wenig, wenn jemand per Social Engineering den Generalschlüssel erschleicht. Der Mensch gilt häufig als „schwächstes Glied“ in der Sicherheitskette, aber wir können ihn auch zur stärksten Verteidigungslinie machen! Dazu braucht es Sensibilisierung und Training.
Was bedeutet das konkret? Security Awareness heißt, jedem im Unternehmen, vom Azubi bis zum Vorstand, bewusst zu machen, welche Gefahren drohen und wie man sich richtig verhält. Angefangen bei simplen Dingen wie: Wie erkenne ich eine Phishing-Mail? Was tue ich, wenn plötzlich das Telefon klingelt und jemand sich als IT-Support ausgibt und mein Passwort wissen will? Solche Szenarien kann man erklären, aber am besten erlebt man sie in einer sicheren Umgebung. Hier kommt der Aspekt Weiterbildung und auch Gamification ins Spiel.
Viele klassische Sicherheitsschulungen waren leider trocken und einschläfernd und da schaltet das Gehirn schnell ab. Doch es geht auch anders, wie Gamification-Ansätze zeigen. Gamification bedeutet, spielerische Elemente in sonst nüchterne Schulungen einzubauen, um Motivation und Lernerfolg zu steigern. SAP zum Beispiel hat hervorragende Erfahrungen damit gemacht: Dort werden immersive Spielwelten wie digitale Escape Rooms oder Horror-Labyrinthe gebaut, in denen Mitarbeiter Sicherheitsrätsel lösen müssen. Die Mitarbeiter:innen haben riesigen Spaß dabei und vergessen fast, dass sie etwas lernen. Das Ergebnis: Das Wissen bleibt viel besser hängen. Studien schätzen, dass Lernen durch spielerische Elemente eine Behaltensquote von bis zu 75% erzielt, verglichen mit nur 5% bei rein passivem Lernen. 75% vs. 5%(!), das ist beinahe so, als würde ein Jedi mit Lichtschwert trainieren, statt nur Bücher über den Kampf zu lesen. Weiterlesen: SAP | Gamification helps our employees learn cybersecurity.
Auch kleinere Unternehmen können Gamification nutzen. Es gibt inzwischen spezialisierte Anbieter wie Fabula Games, die Security-Trainings als interaktive Games anbieten. Bei sogenannten Cyber Security Game Events können Mitarbeiter simulierte, spielerische Hackerangriffe durchlaufen Sie treten in Teams oder gegeneinander an, lösen Aufgaben unter Zeitdruck und erleben so hautnah, was im Ernstfall zu tun ist; aber ohne echtes Risiko. Solche Events kombinieren fachliches Wissen mit einem Schuss Adrenalin und Wettbewerbsgeist. Am Ende gibt’s vielleicht sogar eine kleine Belohnung für das Siegerteam. Wichtig ist: Die Teilnehmer erhalten anschließend auch eine Auswertung und „Knowledge kompakt” zum Mitnehmen, damit der Lerneffekt gefestigt wird. Das ist wie eine Jedi-Prüfung, nach der man genau weiß, wo die eigenen Stärken und Schwächen liegen. Weiterlesen: Cybersicherheit – Wie man die Mitarbeiter mit Gamification wirklich für die Risiken sensibilisieren kann (Teil I) sowie (Teil II).
Natürlich besteht Awareness nicht nur aus Spielen. Ein umfassendes Programm setzt auf vielfältige Methoden: Regelmäßige kurze E-Learnings (Microlearning), Poster mit Sicherheitstipps im Büro, Phishing-Mail-Tests, interne Newsletter mit aktuellen Bedrohungen, vielleicht sogar Live-Hacking-Demos, wo ein:e Expert:in zeigt, wie leicht ein unsicheres WLAN geknackt ist. Entscheidend ist, die Mitarbeitende nicht mit erhobenem Zeigefinger zu nerven, sondern sie für das Thema zu gewinnen. Erklären Sie, warum Security auch das Problem von Mitarbeitenden ist: Etwa, dass eine erfolgreiche Attacke den Unternehmenserfolg (und damit auch Arbeitsplätze) bedrohen kann, oder private Daten auf dem Spiel stehen. Zudem motiviert Mitarbeitende, wenn parallelen zu den privaten Anwendungsbereichen gezogen: das erkannte Phishing der nachgemachten Hausbank sorgt z.B. dafür, dass die Urlaubskasse nicht entwendet wird und der Jahresurlaub als Folge nicht ausfallen muss.
Noch ein Aspekt: Führungskräfte einbinden. Wenn Chefs Security ernst nehmen und selbst die Schulungen durchlaufen, färbt das ab. Nichts untergräbt eine Sicherheitskultur mehr, als wenn „oben“ die Regeln ignoriert werden („Ach, schickt mir doch den Zugang mal per WhatsApp, ist schon ok.“). Daher sollte Awareness immer von der Unternehmensleitung unterstützt und kommuniziert werden.
Zusammengefasst: Die hellste Kerze gegen die dunkle Seite ist Aufklärung. Investieren Sie in die Mitarbeitende. Es sind die Menschen, die in kritischen Momenten die richtige Entscheidung treffen müssen (z.B. nicht auf „Enable Content“ bei einer Office-Makro-Warnung zu klicken!). Und mit modernen, kreativen Schulungsmethoden kann Security sogar Spaß machen. Die Zeit der langweiligen PowerPoints ist vorbei, denn lernende Organisationen setzen auf interaktive, kontinuierliche Weiterbildung. Wie Yoda sagen würde: „Wirken die Übungen kindisch – ja, sie tun. Aber meistern du sie musst, wenn retten du die Galaxis willst.”
Cybersicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Lern- und Entwicklungsprozess. Genau wie Jedi-Ritter ihre Fähigkeiten ständig trainieren, profitieren IT-Professionals und Unternehmen davon, sich regelmäßig mit neuen Sicherheitsmethoden und Risikomanagement-Strategien auseinanderzusetzen. Doch es gibt keine universelle Sicherheitsstrategie, denn jedes Unternehmen, jedes Team und jede Person startet mit individuellen Zielen, Voraussetzungen und Risiken.
Bei Mr. 01 Analytics wissen wir, dass erfolgreiche Cybersicherheit maßgeschneidert sein muss. Während einige Unternehmen bereits umfassende IT-Sicherheitsstrategien verfolgen und komplexe Schutzmechanismen einsetzen, stehen andere gerade erst am Anfang. Ob Sie erste Sicherheitsrichtlinien erstellen, Ihre Backup-Strategie verbessern, oder eine umfassende Awareness-Kampagne starten möchten: Unsere Stärke liegt darin, genau dort anzusetzen, wo Sie aktuell stehen.
Mit individuell abgestimmten Lernplänen, praxisnahem Coaching („Coaching on the Job“) und speziell auf Ihre Bedürfnisse zugeschnittenen Sicherheits-Toolkits unterstützen wir Sie und Ihr Team dabei, Ihr Unternehmen sicherer zu machen und Bedrohungen stets einen Schritt voraus zu sein.
Interesse geweckt?
Mit individuellen Lernplänen, praxisnahem Coaching („Coaching on the Job“) und passgenauen Toolkits unterstützen wir Sie und Ihr Team dabei, die Macht der Automatisierung voll auszuschöpfen.
Interesse geweckt?
Gemeinsam finden wir genau den Lern- und Sicherheitsweg, der optimal zu Ihren Anforderungen, Ihrem Unternehmen und Ihrer aktuellen Situation passt.
Möge die Macht der Cybersicherheit mit Ihnen sein!
Verwandeln Sie Daten in EBIT, verhindern Sie Betrug und steigern Sie Ihre Rentabilität mit unserem maßgeschneiderten Data & Analytics- und IT-Coaching. Wir unterstützen Sie bei der Optimierung und Sicherung Ihrer Geschäftsprozesse und IT-Systeme.
Noch keine Kommentare vorhanden
Was denken Sie?