Verwendung von Passwörtern, zum Umgang mit mobilen Geräten und Datenträgern und ähnliches allgemein zu vermitteln. Es sei eben auch notwendig, diese in Bezug zu setzen zum betrieblichen Alltag. Schulungen zur IKT-Sicherheit sollten deshalb zugeschnitten sein auf die konkreten Bedürfnisse des Betreibers, mit Beispielen und Begrifflichkeiten aus der Branche. «Ohne plausible, verstehbare Szenarien funktioniert eine Sensibilisierung nicht. Und wenn, dann hält sie nicht lange an», bemerkt Caviezel. Überhaupt hält er nicht viel von einer ‹Standard-Schnellbleiche›, dem Ein-Tages-Workshop im Seminarraum. «Es ist deutlich nachhaltiger, hierzu moderne Trainingstools einzusetzen, mit welchen jeder Einzelne an seinem Arbeitsplatz, in viertelstündigen Häppchen und im Monatsrhythmus IKT-Sicherheit immer wieder von einer anderen Seite, aber stets branchenrelevant, erfahren und erlernen kann.» So bliebe das Thema allgemein auch immer im Blick, was noch wichtiger sei als der spezifische Lerninhalt. Wider dem Social Engineering Technische Eintrittshürden zu schaffen ist nach Ansicht Caviezels das ‹Pflichtprogramm›. Objektschutz, Firewall, Virenschutz, daran führe kein Weg vorbei. Selbst wenn heute die Angriffe vor allem beim Menschen, beim Anlagennutzer ansetzen. Umso wichtiger sei es, sein Gegenüber zu kennen, beziehungsweise zu erkennen: «Gutgläubigkeit ist passé. Ich muss kritisch hinterfragen, womit bin ich gerade konfrontiert, wer steht mir gegenüber? Oder: Bin ich sicher, dass mein Gegenüber, das mich gerade anruft, tatsächlich mein wahres Gegenüber ist?», beschreibt der Geschäftsbereichsleiter eine der grossen, neuen Herausforderungen. Er bietet deshalb seinen Kunden beispielsweise ein ‹Abonnement› an, in dem er zeitnah über Veränderungen im Organigramm und den Ansprechpersonen bei Rittmeyer informiert. Doch auch das bleibe nur ein kleines, wenn auch wichtiges Detail. Längst gäbe es im Internet freiverfügbare Software, mit der in Sekundenschnelle aus Sprachsamples der digitale Caviezel nachgebaut werden könne, der sich Telefonnummer und Mailadresse gekapert hat und den Kontakt zum Kunden aufbaut. Da helfe wirklich nur eines, und das sei die ständige und hohe Aufmerksamkeit. Keiner ist sicher Oftmals höre er auch das Argument, dass eine Einrichtung ‹zu klein› sei, und deshalb für einen Cyber- Angriff viel zu uninteressant. «Weit gefehlt», meint Caviezel. «Cybercrime ist inzwischen ein ganz eigener Wirtschaftszweig, aufgebaut wie ein Firmenkonglomerat, das in möglichst kurzer Zeit möglichst viel Gewinn erwirtschaften will. Und dies gelingt dort am besten, wo es am einfachsten ist.» Dass dabei jedes Mittel und jeder Zahler recht sei, könne man ja fast täglich der Presse entnehmen. Caviezel sieht auch keinen Grund, weshalb explizit Versorgungsbetriebe nicht interessant sein sollten, und zitiert das Beispiel eines internationalen Stahlkonzerns: Angreifer hatten dessen Versorgungsbetrieb lahmgelegt und Tage zuvor an der Börse auf fallende Kurse gewettet. «Der Versorger war dabei einfach nur das Mittel zum Zweck.» Drei Standbeine. Und ein Angebot. Was schlägt der Fachmann dazu nun vor? «Man sollte die drei Standbeine der modernen IKT-Sicherheit im Blick behalten», meint Andri Caviezel: Erstens eine sichere, auf einem aktuellen Update-Stand gehaltene technische Infrastruktur. Zweitens eine auf den besonderen Anwendungsfall zugeschnittene Sensibilisierung und regelmässige Schulung der Mitarbeitenden. Und drittens die kontinuierliche Überprüfung des Datenverkehrs auf der Anlage und die Beurteilung, ob dieser so läuft, wie erwartet. Und ja, man könne ihn darauf ansprechen. Rittmeyer habe hierzu die entsprechenden Angebote. Strukturierte Weiterbildung: kurze Schulungssequenzen zur IKT-Sicherheit im Rittmeyer-Service-Portal.
RkJQdWJsaXNoZXIy NTkxNzY=