Im Gespräch mit Dr. Marc Maisch, Fachanwalt für IT-Recht

Herr Maisch, welche Fehler sollten Unternehmen oder ihre Mitarbeiter in Bezug auf IT-Sicherheit vermeiden?

Der größte Fehler ist, zu glauben, dass nichts passieren wird oder dass die IT-Lösung eines lokalen Systemhauses dauerhaft sicher ist. Angriffe entwickeln sich täglich weiter, vor allem durch die Fortschritte in der Künstlichen Intelligenz. Es geht nicht nur um Identitätsdiebstahl, sondern auch um Dinge wie „Voice Cleaning“. Dabei ruft jemand an und ahmt die Stimme eines Geschäftsführers nach. Uninformierte Mitarbeiter, besonders an der Rezeption, sind dabei besonders gefährdet.

Was sind Ihrer Meinung nach die größten Schwachstellen in der IT eines Unternehmens und warum?

Der Mensch ist die größte Schwachstelle. Phishing-E-Mails sind das größte Einfallstor für Cyberkriminalität, oft um Bankdaten zu stehlen. Menschen tendieren dazu, schwache Passwörter zu verwenden, und das nutzen Täter aus. Ein weiteres Problem ist die veraltete Software, die immer noch eingesetzt wird, weil Investitionen gescheut werden. Technische Schwachstellen wie unzureichende Netzwerksicherheit und fehlendes Rechte- und Rollenkonzept verschärfen die Situation. Ein Azubi sollte keine Adminrechte haben. Auch fehlendes Patchmanagement und Sicherheitsrichtlinien sind große Schwachstellen.

Welche Sicherheitsmaßnahmen empfehlen Sie für Unternehmen?

Die Schulung der Mitarbeiter ist entscheidend. Passwörter sollten nur einmal verwendet und regelmäßig ausgetauscht werden. Ein Passwortmanager kann helfen. Technik muss aktuell sein. Betriebssysteme, die keine Sicherheitsupdates mehr bekommen, sollten ersetzt werden. Regelmäßige Backups sind essenziell, idealerweise in der Cloud. Jedes Unternehmen braucht einen IT-Ersthelfer und einen Notfallplan, ähnlich wie bei der Brandbekämpfung.

Gibt es rechtlich bindende Vorgaben für Unternehmen in Bezug auf IT-Sicherheit?

Ja, die Datenschutzgrundverordnung (DSGVO) enthält Mindestanforderungen an die Datensicherheit. Der BSI-Grundschutzkatalog [Bundesamt für Sicherheit in der Informationstechnik, Anm. d. Redaktion] bietet detaillierte Empfehlungen, ist aber freiwillig. Große Unternehmen und kritische Infrastrukturen unterliegen strengeren Vorschriften wie der NIS-2-Richtlinie, die zum Beispiel jährliche Schulungen für Geschäftsführer vorschreibt.

Können Sie einen skurrilen Vorfall aus Ihrer Arbeit erzählen?

Eine Frau hatte alle wichtigen Daten in einem E-Mail-Postfach gespeichert, das sie mit Platzhalterdaten registriert hatte, nämlich als Frau Musterfrau in Musterhausen und so weiter. Als ihr Account gehackt wurde, konnte sie sich nicht mehr einloggen, und alle Daten waren verloren. Außergerichtlich haben wir uns daran die Zähne ausgebissen. Denn wie sollten wir denen erklären, dass wir „Frau Musterfrau“ vertreten, obwohl sie eine echte Identität hat? Das zeigt, wie wichtig echte Daten und eine Recovery-Strategie sind. Zwei-Faktor-Authentifizierung ist ebenfalls unerlässlich, besonders für wichtige Accounts wie E-Mail, Social Media und Online-Banking.

Was wollen Hacker erreichen, und warum sollten Unternehmen sich schützen?

Im Wesentlichen geht es immer um Geld. Entweder durch direkten Zugriff auf Bankkonten oder durch Erpressung. Täter könnten auch über Social Media an sensible Informationen gelangen und diese zur Erpressung nutzen. Unternehmen sollten ihre Mitarbeiter nicht nur im geschäftlichen, sondern auch im privaten Bereich schulen, da das Privatleben Einfluss auf die Sicherheit am Arbeitsplatz hat.

Was tun bei einem Cyberangriff?

Zuerst Panik vermeiden. Das Problem identifizieren und isolieren, eventuell das Netzwerk vom Internet trennen. Ein Incident Response Team kontaktieren und den Vorfall dokumentieren. Der Schaden muss bewertet und die Bedrohung beendet werden. Behörden müssen bei Datenschutzverletzungen innerhalb von 72 Stunden informiert werden. Prävention durch regelmäßige Übungen und Schulungen ist entscheidend, um vorbereitet zu sein.

Wie hat sich die Bedrohungslage in den letzten Jahren verändert?

Vor zehn Jahren wurden mehr große Unternehmen angegriffen. Heute sind auch kleine Betriebe betroffen. Cybercrime ist ein Geschäftsmodell geworden, und Angriffe können über das Darknet gebucht werden. Die Pandemie hat den Tätern Zeit gegeben, neue Methoden zu entwickeln. Heutzutage werden auch Bewerbungsschreiben als Word-Dokumente verschickt, die Schadsoftware enthalten können.

Sind jüngere Menschen gewiefter im Umgang mit IT-Sicherheit?

Jüngere Menschen sind oft ein größeres Risiko, da sie hauptsächlich mit Handys aufgewachsen sind und wenig Erfahrung mit PCs haben. Sie sind oft Betrugsopfer im Internet, da sie daran gewöhnt sind, dass alles online und ohne menschlichen Kontakt funktioniert. Ältere Menschen haben mehr Geld auf dem Konto und werden deshalb häufiger Opfer von Anlagebetrug.

Wie kann man die Sensibilisierung für IT-Sicherheit verbessern?

Sensibilisierung muss unterhaltsam und praxisnah sein. Wir halten Vorträge in Betrieben für Geschäftsführer, Mitarbeiter und Azubis, um das Bewusstsein zu schärfen. Schulungen sollten humorvoll und praxisnah gestaltet werden, damit die Teilnehmer nicht das Interesse verlieren.

Haben Sie selbst einmal einen IT-Fehler gemacht?

Ja, bei einem Penetrationstest wurden meine Instagram-Zugangsdaten unverschlüsselt im Browser gefunden. Das zeigt, wie wichtig Zwei-Faktor-Authentifizierung ist. Man muss sich ständig fragen, was als nächstes passieren könnte, und darauf vorbereitet sein.

Zur Person:

Dr. Marc Maisch ist Rechtsanwalt und Fachanwalt für IT-Recht in seiner Kanzlei in München (www.maisch.law). Er berät im IT- und Datenschutzrecht und unterstützt Unternehmen bei der Prävention und Abwehr von Cybercrime. Dr. Maisch ist Gründer der Plattform www.datenklau-hilfe.de, ist regelmäßig als Cybercrime-Experte im Fernsehen zu Gast und hält spannende Vorträge über die kriminellen Maschen der Täter aus dem Darknet.