Schwachstelle Mensch: So haben Cyberkriminelle Erfolg

Schwachstelle Mensch: So haben Cyberkriminelle Erfolg

Behandelt ein Chef seine Mitarbeiter von oben herab, steigt laut Experten das Risiko von Cyberangriffen.

Cyberkriminelle haben eine neue Methode um an viel Geld zu kommen: Sie spielen mit dem Vertrauen der Mitarbeiter. Diese Angriffe spielen nicht nur mit der Loyalität der Mitarbeiter, sondern stellen auch das Vertrauen innerhalb des ganzen Unternehmens auf eine harte Probe. Wie sich Unternehmen gegen diese neue Form der Attacken am besten rüsten und in welche Fallen sie nicht tappen sollten.

Es war einer der größten Cyberangriffe, die jemals auf ein Unternehmen in Österreich ausgesetzt war. Ein Mitarbeiter des FACC oberösterreichische Zulieferer für die Flugzeugindustrie hatte nach einer Aufforderung von einem vermeintlichen Vorgesetzen 50 Millionen Euro auf ein fremdes Konto überwiesen – auf nie mehr wiedersehen. Die Empfänger waren Cyberkriminelle. „Dieser Angriff hat eine neue Qualität. Dafür ist ein hoher Grad an Professionalität nötig“, resümiert Krisen-PR-Expertin Verena Nowotny von Gaisberg Consulting. Sie war über zehn Jahre Sprecherin der Regierung und als Sprecherin Österreichs im UN-Sicherheitsrat in New York.

Über Monate ausspioniert

Die Masche der Kriminellen ist immer die selbe. Minutiös werden die Zeichnungsberechtigten und typische Überweisungsgrößen über Monate ausspioniert, ehe ein Mitarbeiter kontaktiert wird. Cyberkriminelle finden so nicht nur heraus, wen sie die Aufforderungen Geld zu überweisen am besten schicken, sondern auch unter welchen finanziellen Schwelle sie am besten bleiben und splitten den Betrag gegebenenfalls. Im Fall von FACC wurde das Geld dann in mehreren Tranchen an Konten in der Slowakei, China und Taiwan geschickt. Im Prinzip letztlich nichts anderes als Wirtschaftsspionage.

Widerstandsfähig durch richtigen Umgang mit Mitarbeitern

„Jede Firma kann heute angegriffen werden. Das ist ein Faktum“, stellt Angelika Hager, Geschäftsführerin vom Führungscoaching-Unternehmen Kopfschritte fest. Ziel kann es nur den Schaden so gut als möglich zu begrenzen. „Dazu muss ein Unternehmen eine hohe Resilienz aufweisen und wenn nötig erhöhen“, erläutert Hager. Widerstandsfähig gegen Attacken von außen wird man jedoch nicht nur mit der geeigneten Software gegen Cyberattacken, sondern auch durch den richtigen Umgang mit Mitarbeitern, sind die beiden Krisenexpertinnen überzeugt.

Sorgen und Anregungen ernst nehmen

Dazu muss die Unternehmenskommunikation auf einem guten Fundament stehen. Die Grundlage dafür bilden Vertrauen und Teamgeist. Zuerst muss das Grundvertrauen in die Vorgesetzten hergestellt werden. „Dafür müssen Firmenchefs und Abteilungsleiter zuerst auf das Vertrauenskonto einzahlen. Vorgesetzte müssen Einwände von Mitarbeitern ernst nehmen und als wertvolle Anregung schätzen, selbst wenn sie nicht auf seine Zustimmung treffen“, erklärt Nowotny. Mitarbeiter müssen das Gefühl haben, dass sie auch unangenehme Dinge ansprechen können ohne dafür von oben herab behandelt zu werden. Mitarbeiter müssen das Gefühl haben, mit all ihren Äußerungen wie Sorgen ernst genommen zu werden. Die Chinesen etwa pflegen eine intensivere Unternehmenskultur als Europäer. Mitarbeiter und Vorgesetzte verbringen viel Freizeit miteinander. „Das ist zwar nicht notwendig, aber je größer der Teamgeist, umso eher werden Probleme angesprochen“, weiß Führungscoach Hager.

Bevorzugung und Missachtung einzelner Mitarbeiter - Einfallstor für Kriminelle

„Dann steigt auch die Wahrscheinlichkeit, dass ein Mitarbeiter, wenn er beispielsweise per Mail eine ungewöhnliche Aufforderung enthält, zuerst nachfragt, ob das in Ordnung ist“, so Nowotny. Funktioniert das Vertrauensverhältnis und gibt es in einem Unternehmen gegenseitige Wertschätzung, werden Mitarbeiter in solchen Fällen viel eher Alarm schreiben, als in Firmen, in denen Chefs Mitarbeiter schon mal lächerlich machen oder schlicht weg ignorieren und sich diese höchstens geduldet vorkommen. Ebenfalls kontraproduktiv: Wenn ein Vorgesetzter dazu neigt ein paar Lieblinge unter den Mitarbeitern um sich zu scharren und diese offensichtlich bevorzugt. Nicht nur weil Stimmung und Teamgeist darunter leiden, letztlich steigt durch dieses Verhalten das Risiko vermeintlichen E-Mail-Anordnungen des Vorgesetzten blind Folge zu leisten. Etwa weil man sich als Liebling vom Chef geehrt fühlt anscheinend große Aufgaben übertragen zu bekommen und deshalb nicht in Frage stellt. Der Schuss kann aber auch in die andere Richtung losgehen. Weil man als Aschenputtel, der vom Chef stets links liegen gelassenen wird, erhöht fühlt, wenn man vom ihm einen ungewöhnlichen Aufforderung bekommt und diese deshalb ungefragt ausführt. Letztlich spielt gegen so ein Manko in der Unternehmensführung in die Hände von Kriminellen.

Stark hierarchisch geführte Unternehmen - Schiffbruch vorprogrammiert

Ein weiteres Problem: Stark hierarchisch geführte Unternehmen. Hager: „Das Management muss eigenverantwortlich handelnde Mitarbeiter fördern, die über den eigenen Bereich hinaus denken.“ Wer dazu neigt, seinen Mitarbeitern nur das nötige zu sagen, was er für seine Arbeit wissen muss und sie über die Unternehmensstrategie insgesamt und bei bestimmten Teilen im Unklaren lässt, wird Schiffbruch erleiden. „Das sind meist sehr hierarchisch geführte Unternehmen, wo die Kommunikation nicht stimmt. Krisen sind da wie ein Brennglas. Da zeigen sich Probleme wie diese am deutlichsten.

Unternehmenskommunikation - nichts als ein Anhängsel?

Unweigerlich zu Problemen führe es auch, wenn die Presseabteilung nur als kleines Anhängsel, etwa von Marketing, geführt wird. „Wie mit dieser Abteilung umgegangen wird, beziehungsweise wie sehr sie vom Management in wichtige Agenden miteinbezogen wird, ist ein Spiegel der Kommunikation eines Unternehmens“, so Krisenstrategien Nowotny. Je größer die Firma und in je mehr Ländern sie tätig ist, umso schwieriger ist es jedoch ein Teamgeist zu entwickeln. „Umso wichtiger ist es, den Mitarbeiter selbstverantwortlich arbeiten zu lassen und eine Kultur des Hinterfragens zu entwickeln.“

Langwieriger Prozess

Wer glaubt, dass es reicht, angesichts einer Cyberattacke oder einer anderen Unternehmenskrise gegenüber den Mitarbeitern und nach außen richtig zu kommunizieren, ist auf dem Holzweg. „Es ist eine Illusion zu glauben, dass man in einer Krise anders kommunizierst als sonst", warnt Nowotny. Die Unternehmenskultur zu ändern, sei ein langwieriger Prozess.

Krise wie ein Brennglas

Ein weiterer Grund, mit seinen Mitarbeitern einen wertschätzenden und respektvollen Umgang zu pflegen: Sollte es tatsächlich zu einer Cyberattacke oder einer anderen Krise kommen, etwa das ein System gehackt wird und zahlreiche Daten weg sind, braucht man Mitarbeiter, die einem hinterher helfen, das Problem zu lösen. „Motivierte Mitarbeiter werden in schwierigen Situationen eher anpacken und bereit sein überdurchschnittlich viel zu leisten, als jene die Wertschätzung ohnehin nur vom Hörensagen kennen. Wer die Firma mit Angst und Missachtung gegenüber Mitarbeiter führt, darf sich so gerade in Krisen kein loyales Verhalten erwarten. Wie gut die Kommunikation, das Vertrauen und Teamgeist in einer Firma sind, zeigt sich erst so richtig in einer Krise. Nowotny: "Krisen sind wie ein Brennglas". Das Faktum, dass Fehler passieren werde Firmen in der Regel verziehen. „Nur sobald man versucht die Sache zu vertuschen und informiert Mitarbeiter und Kunden erst Wochen später, sieht die Sache erfahrungsgemäß anders aus", so die PR-Expertin.

Der Fensterhersteller Internorm, der ebenfalls Opfer einer Attacke war, konnte das Problem von vorneherein verhindern. In diesem Fall hatte die Absenderin, die vermeintliche Miteigentümerin und Aufsichtsrätin einen Mitarbeiter aufgefordert für ein Projekt 1,5 Millionen Euro zu überweisen. Der Mitarbeiter schrieb zurück, und als das Antwort-E-Mail nur noch rätselhafter ausfiel, ging er zu seinem Chef.

Geld

Google, Facebook & Co: Giganten für die Ewigkeit?

EuroPriSe-Auditoren Helmut Waitzer (li) und und Rechtsanwalt Roland Marko.

Digital

DSGVO: Datenschutz-Zertifizierung als Wettbewerbsvorteil

Geld

Black Friday: 10 Tipps für den Schnäppchen-Kauf im Netz