Die Digitalisierung bringt viele Vorteile, aber auch Gefahren: wer seine IT-Systeme nicht richtig schützt, ist für Hacker ein leichtes Ziel. Das Polizeipräsidium Freiburg meldet in seiner jüngsten Statistik einen Anstieg von Computerkriminalität um 21,9 Prozent. Wie verhält man sich bei einem Angriff richtig, wie wird er am besten kommuniziert? Ein Gespräch mit dem Freiburger Kriminalhauptkommissar und Leiter der Abteilung „Cybercrime“, Armin Reese.
INTERVIEW: ANNA-LENA GRÖNER
Unsere IT-Abhängigkeit wird immer größer, wodurch das Schadenspotenzial zunimmt. Laut der Studie einer deutschen Versicherung sehen die kleinen und Mittelständischen Unternehmen (KMU) die größte Bedrohung in Hackerangriffen (46 Prozent). Können Sie sagen, ob diese Einschätzung nachvollziehbar ist?
Statistische Angaben sind zu dem Begriff Cyberkriminalität schwierig, da längst nicht alle Vorfälle angezeigt werden. Insbesondere im Bereich der Angriffe gegen Firmen wird es ein für uns großes Dunkelfeld geben. Trotzdem verzeichnen wir in diesem Bereich (Ransomware-Verschlüsselung-Erpressung) auch im südbadischen Raum einen großen Anstieg. Neu hinzugekommen ist, dass neben der Verschlüsselung auch mit Veröffentlichung der Daten gedroht wird. Bei der letzten Welle der Angriffe gegen die Schwachstellen bei Microsoft Exchange-Servern gab es eine Vielzahl von geschädigten Firmen aus der Region.
Es geht also um sensible Daten. Ist Erpressung das Hauptmotiv solcher Angriffe?
Nach meiner Einschätzung erfolgt der größte Teil der Angriffe, um Geld zu erpressen. Sicherlich gibt es auch einige politisch motivierte Angriffe auf Unternehmen, die wegen ihres Produktes oder Ihrer Kontakte im Fokus von bestimmten Gruppierungen stehen. Bei Forschungszentren oder speziellen Unternehmen kann es allerdings auch um die eigentlichen Daten gehen. Was außerdem sehr stark zunimmt, sind Betrugsdelikte über Internetplattformen.
Menschen legen auf diversen Plattformen viel Geld in vermeintlich lukrative Geschäfte an, ohne mit irgendeinem Menschen jemals persönlich Kontakt gehabt zu haben. Oftmals ist das Geld komplett verloren. Die sogenannte „CEO-Fraud“ Betrugsmethode ist immer wieder erfolgreich. Zwischenzeitlich sind dabei auch kleinere Unternehmen und Vereine ins Visier geraten, wo man versucht, kleinere 5-stellige Beträge überweisen zu lassen.
Wie können sich Unternehmen vor solchen Angriffen und Schäden schützen?
Mit einer sicheren IT-Infrastruktur. Gerade KMUs haben hier oft noch Defizite und scheuen sich, Geld für die IT-Sicherheit zu investieren. Häufig ist das Geschäft über die Jahre gewachsen und die IT-Infrastruktur wuchs einfach mit. Es fehlt eine vernünftige Sicherheitsarchitektur oder gute Backup-Systeme und -Strategien. Jedes Unternehmen benötigt daher eine so genannte „Incident-Response-Strategie“, also einen Vorfallreaktionsplan. Ich würde jedem Betrieb empfehlen, sich die Zeit zu nehmen und zu überlegen, welche Daten überhaupt vorhanden sind.
Welche sind wichtig für die Produktivität und welche sind bei Verlust existenzbedrohend. Dann sollte man sich mit einem ITC Unternehmen oder seinen Administratoren zusammensetzen und die IT-Infrastruktur überplanen und absichern. Der Vollständigkeit halber sei noch erwähnt, dass es auch den Innentäter gibt. Viele Unternehmen sichern ihre Netze nach außen gegen Angriffe ab und unterschätzen dieses Thema gewaltig. Es bedarf auch eines sicheren Netzes innerhalb des Unternehmens, um zu vermeiden, dass sensible Daten über einen eigenen Mitarbeiter in fremde Hände gelangen.
Falls nun sensible Daten in die falschen Hände geraten, wie verhalte ich mich als Unternehmen? Mit wem kommuniziert man?
Es ist dringend festzulegen, wer wen bei einem Angriff informiert und welche Maßnahmen sofort zu veranlassen sind oder von wem veranlasst werden dürfen. Erreichbarkeiten von Administratoren oder der IT-Firma müssen gewährleistet sein. Ganz wichtig wäre auch einmal den „Worst Case“ zu üben. Viele Unternehmen haben jahrelang Backups laufen. Es gab schon Fälle, wo das Wiederherstellen der Daten nicht funktionierte oder wichtige Daten aufgrund von Änderungen in der Filestruktur gar nicht mitgesichert wurden.
Wenn man sich auf dieses Szenario vorbereitet, kann man den Schaden und die Ausfallzeiten bei einem Angriff deutlich minimieren. Eine allgemeine Aussage kann man hier jedoch nicht treffen. Die zu treffenden Maßnahmen sind individuell, da je nach Priorität beispielsweise die Netzverfügbarkeit, die Produktivität oder die Datensicherheit gegeneinander abgewogen werden müssen. Eine Anzeigeerstattung kann bei der örtlichen Kriminalpolizei oder der Zentralen Ansprechstelle Cybercrime beim LKA BW erfolgen. Die Kollegen der Inspektion Cyberkriminalität werden in Zivil und ohne Aufsehen bei der Firma aktiv. Es ist wohl vielen Firmen peinlich, wenn ein solcher Vorfall bekannt wird.
Und wer leistet die notwendige Aufklärungsarbeit in der Region, damit Unternehmen wissen, wie sie sich schützen können oder zu handeln haben?
Ich sehe hier die Kammern oder diverse Verbände in der Pflicht. Durch permanente Informationen der Mitglieder muss eine Sensibilisierung erfolgen. Auch die Polizei hat schon bei Veranstaltungen solcher Organisationen präventive Vorträge gehalten. Konkrete Maßnahmen im Firmennetzwerk müssen von einer IT-Firma oder eigenen Administratoren geleistet werden. Nicht zu vergessen ist eine Versicherung für den ITSchadensfall, die jedoch auch Sicherheitsmaßnahmen an der Infrastruktur einfordern wird.
Jüngst wurde in Baden-Württemberg eine Cybersicherheitsagentur (CSBW) gegründet, die im kommenden Jahr operativ an den Start gehen soll. Sie bildet dann die Zentrale einer neuen Cybersicherheitsarchitektur. Welche Vorteile hat das?
Die Cybersicherheitsagentur nimmt keine polizeilichen Aufgaben wahr. Sie wird Daten und Erkenntnisse zu Sicherheitslücken, Schadprogrammen und Hackerangriffen sammeln und auswerten. Die daraus gewonnenen Erkenntnisse sollen in einem landesweiten Lagebild dargestellt werden und andere Behörden können informiert werden. Bei konkreten Gefahren kann die CSBW auch Warnmeldungen veröffentlichen.
Den wesentlichen Vorteil sehe ich in der Vernetzung mit Verwaltung, Kommunen, Wirtschaft und Wissenschaft. Hier erfolgt ein Wissenstransfer, der für eine bessere Sicherheit in der IT sorgt. Die CSBW kann auch Anordnungen und Maßnahmen für Behörden des Landes treffen, wo ja besonders sensible Daten vorhanden sind.
Mit den IT-Spezialisten, den gewonnenen Erkenntnissen und ihrer Expertise kann sie den Landesbehörden, Städten und Gemeinden nach einem Angriff bei der Wiederherstellung helfen. Wenn eine Organisation für das öffentliche Gemeinwesen von besonderer Bedeutung ist (KRITIS Unternehmen), wie beispielsweise Energieversorger oder Krankenhäuser, kann auch hier Hilfe geleistet werden.
Die Corona-Pandemie zeigt aktuell, welche Bedeutung funktionierende und sichere IT-Infrastrukturen haben. Was kann jeder Einzelne tun, um sich digital sicherer zu bewegen?
Das ist eine Frage, die sehr schwer und nicht vollumfänglich zu beantworten ist. Ich empfehle eine aktualisierte Hardware und regelmäßige Systemupdates. Für wichtige Daten sollte ein regelmäßiges Backup vorhanden sein, das an einer sicheren Stelle aufbewahrt wird. Zweifellos hilft es auch, gesunden Menschenverstand und etwas Misstrauen walten lassen.
Man sollte sich regelmäßig informieren und zum Umgang mit der eingesetzten Software oder Applikation fortbilden. Bei unklaren Situationen im Internet sollte immer persönlich und nicht über Mail, Chat oder SMS kommuniziert werden. Nie sollten persönliche Daten im Netz oder am Telefon Preis gegeben werden. Passwörter müssen regelmäßig geändert und vor allem sollten nicht überall die gleichen benutzt werden. Ein zusätzlicher Schutz bietet die Zwei-Wege-Authentifizierung. Sensible, persönliche Daten oder Firmendaten sollten verschlüsselt abgelegt werden.
Zudem ist für jede Person einfach eine gewisse Medienkompetenz erforderlich. Insbesondere Unternehmer sollten auch ihre Angestellten diesbezüglich regelmäßig fortbilden oder informieren. Die Erfahrung zeigt, dass so in vielen Fällen ein nicht unerheblicher Schaden hätte abgewendet werden können. Längst nicht alle Angriffe sind nur technischer Natur. Oftmals ist das Einfallstor ein wie auch immer veranlasstes aktives Tun eines Mitarbeiters, verursacht durch Unwissenheit.
1 Kommentar
Ein wichtiger Punkt die Installation von externer Software oder Browser PlugIns sollte nur nach einem Check möglich sein. Auch sollten Dienstleitungsanbieter (z.B. Webinare) darauf verzichten die Teilnehmer zur Installation von zusätzlicher Software zu zwingen.
Das gilt auch für die Webinarreihe der Handwerkskammer Südbaden die die Teilnehmer zwingt die Software „gotowebinar“ zu installieren. Es gibt jede Menge Alternativen die keine Installation von zusätzlicher Software erfordern.
Die Webinarreihe ist grundsätzlich begrüssenswert nur sollte sie nicht dazu zwingen Grundlagen der Datensicherheit zu verletzen