Angriffe auf die IT-Systeme großer Unternehmen haben gezeigt, wie anfällig digitale Prozesse für Hacker aus dem Internet sind. Welche Risiken im Handwerk schlummern, wie sicher SmartHome wirklich ist und wie Sie sich wirksam schützen, verrät GFF anhand von Erfahrungen aus der Praxis.
Per Hand tippt ein Mitarbeiter auf seiner Tastatur Daten für die Auftragsvorbereitung in den Computer. Plötzlich färbt sich der Bildschirm schwarz. Ein weißer Totenkopf lächelt verächtlich. Aus weißen Buchstaben formt sich eine Botschaft: „Zahlen Sie 20.000 Euro, dann schalten wir Ihre IT wieder frei.“ Dem herbeigerufenen Chef schießt sofort ein Gedanke durch den Kopf: Jetzt steht der Betrieb still. Solche und ähnliche Fälle haben mehrere Handwerksunternehmer in Gesprächen mit GFF geschildert.
Fall aus der Praxis
Als Beispiel berichtet Glasermeister Wolfgang Gastel, stellvertretender Vorsitzender des Fachverbands Glas Fenster Fassade Baden-Württemberg, von einem Betrieb, dem Hacker mit einer klassischen Phishing E-Mail die Zugangsdaten für das Online-Banking klauten. Eines Morgens bemerkte der betroffene Unternehmer, dass jemand sein Konto leergeräumt hatte. Die Polizei nahm erst mal alle Computer mit und legte das Geschäft lahm. Fast zwei Wochen dauerten die Säuberung der Rechner, die Rekonstruktion aller Daten und die funktionstüchtige Neueinrichtung der Arbeitsplätze. Glück im Unglück: Weil der Chef schnell reagierte und Anzeige erstattete, schnappte die Polizei die Täter beim Versuch, das Geld vom Zielkonto abzuheben. Abgesehen vom entgangenen Umsatz, kam der Handwerker mit einem blauen Auge davon. „Grundsätzlich ist alles ans Netz Angebundene angreifbar. Egal ob es den Internetauftritt betrifft, das Handy, Zeiterfassungen oder Homebanking – alles lässt sich hacken“, zählt Gastel die Gefahren auf. Die Folgen reichen von kleineren Störungen im Betriebsablauf bis zum mehrtägigen Ausfall des Büros, eventuell sogar der Produktion.
Wie groß ist die Gefahr?
Eine sehr große Gefahr für das Handwerk sieht der Landesinnungsverband hessenTischler in Hacker-Angriffen und anderen Cyber-Bedrohungen. „Heute werden Kundendaten digital verwaltet, Aufträge und Bestellungen werden per E-Mail oder über Webseiten angenommen, und auch die Bezahlung über das Internet ist möglich“, sagt Hermann Hubing, Hauptgeschäftsführer des Fachverbands Leben Raum Gestaltung Hessen/Rheinland-Pfalz, der die Landesinnungsverbände für das Tischlerhandwerk in beiden Bundesländern vereint. Deshalb sei das Risiko groß, dass Kriminelle mit gezielten Denial of Service (DoS)-Angriffen Internetseiten lahmlegen, um Betriebe zu schädigen oder sie zu erpressen. Nicht nur die Kunden- und Auftragsverwaltung wird in den Betrieben über Computer abgewickelt. Auch Zeichnungen und Programme für CNC-Maschinen zur Materialbearbeitung erstellen die Handwerker digital. „Die Maschinen sind miteinander vernetzt. So kann ein Befall mit Schadprogrammen ganze Produktionsabläufe stören oder zum Erliegen bringen“, erläutert Hubing.
Das können Handwerker tun
„Grundsätzlich gehören alle Geräte mit Schutzsoftware ausgerüstet“, sagt Gastel. Kundendaten und Geschäftsvorgänge verschickt er nicht über Messenger-Dienste wie z.B. WhatsApp. Der GFF Baden-Württemberg führt Gespräche mit einem IT-Experten, der durch seine Erstausbildung im Handwerk die Besonderheiten der Betriebe kennt. Der Verband plant die Veranstaltung eines Seminars zur redundanten Datensicherung. Mit dieser Methode wappnen sich Unternehmer gegen einen Hacker-Angriff, indem sie ihre wichtigen Daten und IT-Systemdateien mehrfach auf einem Backup-Server und/oder auf Speichermedien (Festplatte, Cloud etc.) sichern. Im Praxisfall, von dem Gastel berichtet, entschied sich der betroffene Handwerksmeister, seine Computer mit der wichtigen IT in einem lokalen Netzwerk ohne direkten Internetzugang zu organisieren. Ein von diesem Netzwerk getrennter Computer ist mit dem Internet verbunden und dient als Schnittstelle zum weltweiten Netz. Diese Lösung senkt die Gefahr eines direkten Angriffs auf die digitale Infrastruktur des Betriebs.
Mitarbeiter sensibilisieren
Handwerksunternehmer sollten in jedem Fall ihre IT-Systeme mit professioneller Sicherheitssoftware von der Firewall bis zum Virenscanner ausrüsten und dabei auf die Expertise eines externen Dienstleisters setzen, der die Lösungen auf die Anforderungen des Betriebs zuschneidet. Dieses Vorgehen empfiehlt der Fachverband Leben Raum Gestaltung Hessen/Rheinland-Pfalz. Das gelte insbesondere, wenn in den Betrieben zu wenig geschultes Personal zur Verfügung steht. Der Verband arbeitet mit der Versicherung Signal Iduna zusammen und weist seine Mitglieder auf deren digitales Schutzschild hin. Die Schulung der Mitarbeiter spielt eine entscheidende Rolle – jedes IT-Sicherheitssystem ist nur so gut wie seine Nutzer. Insbesondere für potenzielle Einfallstore zum Firmennetzwerk, nämlich E-Mail-Anhänge, gefälschte Webseiten, Viren und Trojaner via externer Speichermedien etc., sollte das Personal sensibilisiert sein.
So sicher ist SmartHome
„Alle SmartHome-Daten von Somfy werden durch eine 128 Bit AES-Verschlüsselung übertragen. Damit erreichen wir einen Sicherheitsstandard wie beim Online-Banking“, sagt Dirk Geigis, zuständig für Public Relations bei SmartHome-Spezialist Somfy. Zusätzlich lässt der Anbieter sein System jedes Jahr vom IT-Sicherheitsdienstleister SySS testen und zertifizieren. Um die Sicherheit seiner Lösungen zu erhöhen, vergibt der Anwender für jede io-Funkinstallation einen individuellen Sicherheitsschlüssel. Bei der professionellen Gefahrenwarnanlage Somfy Home Keeper seien alle Komponenten gegen Sabotage geschützt. Vorhandene IT-Lösungen müssen Nutzer laut Geigis zwingend durch starke Passwörter schützen – das beinhalte 14 Zeichen sowie große und kleine Buchstaben in zufälliger Reihenfolge, kombiniert mit Zahlen und Sonderzeichen. Darüber hinaus empfiehlt Somfy ein Verfahren mit Zwei-Faktor-Authentifizierung, z.B. Fingerabdruck plus Zugangscode für Gebäude, Passphrase und TAN beim Online-Banking, starkes Passwort und zusätzliche Sicherheitsfrage etc.
Im Mai 2019 veranstaltet der Fachverband Leben Raum Gestaltung Hessen/Rheinland-Pfalz in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Workshops zum Thema IT-Grundschutzprofil für Tischler. Für den 28. August 2019 plant der Verband eine Infoveranstaltung zur Cyber-Sicherheit (mehr dazu auf www.leben-raum-gestaltung.de).