Mit besserer Berufsausbildung gegen Cyberattacken: Die europäische Sicherheitsinitiative CyberSec4Europe plädiert angesichts steigender Schäden dafür, vorbeugende Abwehrmaßnahmen in die Ausbildungspläne aufzunehmen.
«Wir brauchen bessere Ausbildungsrahmenwerke für Anwendungsbereiche, und brauchen auch Ausbildungsinhalte, die sich nicht allein auf die Technik beziehen», sagte Kai Rannenberg, der Koordinator von CyberSec4Europe, der Deutschen Presse-Agentur. Die Initiative ist der Pilot eines geplanten europäischen Kompetenznetzwerks für Cybersicherheit.
«Es gibt bereits Standards zu den Mindestanforderungen an Berufsausbildung, aber es gibt keine Festlegung, was Mitarbeiter wissen müssen, um sich an einen Rechner zu setzen», sagte der Professor für IT-Sicherheit mobiler und vernetzter Geräte an der Frankfurter Goethe-Universität. «Zu einem fundierten Sicherheitsmanagement müsste jedoch die Schulung der Anwender gehören, ebenso eine Abstimmung der Arbeitsabläufe auf Bedürfnisse und Fähigkeiten.»
Blindpunkt im Anwendungsbereich
An den Unis gebe es mittlerweile eine ganz gute Ausbildung für klassische Sicherheitstechnik, speziell für Kryptographie, sagte Rannenberg. «Wo es sehr viel stärker fehlt, ist security education für Anwendungsbereiche. Beispiele wären Arztpraxen, in denen es viele sensitive Daten gibt, oder auch mittelständische Handwerksbetriebe, etwa Bäckereien.»
In der Wirtschaft sind Versicherungen und Banken nach Rannenbergs Einschätzung in Sachen IT-Sicherheit besser aufgestellt als der Durchschnitt der Unternehmen. «Aber gerade viele Industriebetriebe haben bislang gar nicht so gesehen, dass sie im Risiko stehen.» Dabei geht es insbesondere um Erpressung mit «Ransomware» – bösartiger Verschlüsselungssoftware.
Erpessung als Geschäftsmodell
Nach Angaben von IT-Sicherheitsfirmen werden mittlerweile bei manchen Ransomware-Angriffen zweistellige Millionensummen für die Entschlüsselung der blockierten Systeme gefordert.
Erpressung als Geschäftsmodell gebe es aber auch im Kleinen, sagte Rannenberg. «E-Mail-Versand kostet nichts, und wenn man eine Million Mal die identische Erpressungsmail verschickt, kann man schnell zweitausend Euro verdienen, auch wenn nur zehn Empfänger jeweils 200 Euro zahlen.»
So müsste eigentlich in die Ausbildungen von Sekretariatskräften oder Bürokaufleuten aufgenommen werden, «dass man sich nicht aufs Kreuz legen lassen soll, und nicht beliebig E-Mails öffnet und nicht beliebig auf Webseiten Passwörter eingibt. Es ist erstaunlich, wie viel immer noch schief geht.»
Menschen müssten auch am Telefon geschult werden. «Dass jemand anruft, sich als Mitarbeiter von Microsoft ausgibt und die Angerufenen dazu bringt, Zugang zu ihren Rechnern zu ermöglichen, kommt häufig vor», sagte Rannenberg. «Die Angreifer sind geschickt und werden immer geschickter.»