zurück 
20.2.2019

Workshop 1: Cyber Crime und die Möglichkeiten der Bekämpfung

Teresa Ritter, beim Digitalverband bitkom Bereichsleiterin für Sicherheitspolitik und Verteidigung, und Florian Lindemann vom Fortbildungs- und Trainingsanbieter Cyber Akademie sprachen über Formen, Motivationen, Zahlen und Schutz im Bereich Cyber Crime.

Aufmerksame Workshop-Teilnehmer folgen den Ausführungen von Teresa Ritter und Florian Lindemann. (© bpb/BILDKRAFTWERK/Zöhre Kurc)


Cyber Crime

Florian Lindemann erläuterte, dass Cyber Crime nicht unbedingt gänzlich neue Formen von Kriminalität beinhalte. Man könne jedoch sagen, dass sich kriminelle Handlungen durch die zunehmende Digitalisierung und Vernetzung stärker in den virtuellen Raum verlagerten. Zu Formen von Cyber Crime gehörten zum Beispiel Diebstahl/Betrug (Identitätsdiebstahl, Phishing, CEO-Fraud), Erpressung (Ransomware, Krypto-Trojaner WannaCry), gezielte Angriffe auf Reputation (Wettbewerb), Spionage (Social Engineering, Infiltration) und Sabotage (Lahmlegen von Anlagen, DDoS-Angriffe).

Zu den Risiken und Schäden, die durch Cyber Crime entstehen könnten, zählte Lindemann zum Beispiel Betriebsausfall, Wiederherstellungskosten, Know how-Abfluss, Reputationsverlust, Ansprüche Dritter und Strafen.

Täterkreis und Motivation

Zum Täterkreis gehörten häufig Menschen aus dem unmittelbaren Umfeld der Unternehmen, also aktuelle oder ehemalige Mitarbeiter, Kunden, Dienstleister, Lieferanten oder Wettbewerber. Es gebe jedoch auch "Hobby Hacker“, also technikaffine Kriminelle oder Fälle von organisierter Kriminalität, die profitorientiert agierten. Hinzu kämen Staaten und Organisationen mit staatlichem Auftrag.

Die Motivation der Täter könne verschieden gelagert sein, es könne zum Beispiel politische, technologische, wettbewerbstechnische oder monetäre Hintergründe geben. Bei politischer oder technologischer Motivation möchten die Täter üblicherweise länger im System bleiben, bei Geld als Motivation ginge es meist um kurzfristige Erfolge (z.B. durch Erpressung), so Lindemann.

Bis zur Entdeckung elaborierter Angriffe könne es in Deutschland ca. 300 Tage dauern.

Die Gefahr ist real: Zahlen und Fakten

Teresa Ritter präsentierte Ergebnisse einer Studie der bitkom (Wirtschaftsschutz-Studie), in der 500 deutsche Unternehmen telefonisch zum Thema Cyberangriffe, Schäden, Kosten und Schutz befragt wurden.

68% aller befragten Unternehmen waren demnach im Jahr 2017 von Cyber Crime betroffen, 19% vermuten es. Dabei wurden Mittelständler am häufigsten angegriffen. Möglicherweise hofften Angreifer, über deren Vernetzung mit großen Konzernen auch auf diese Zugriff zu erhalten. Viele Unternehmen beklagten Diebstahl von IT- oder Telekommunikationsgeräten, 47% der befragten Unternehmen sagten, sie seien Opfer digitaler Angriffe geworden. Dazu gehörten Infizierung mit Schadsoftware, Ausnutzen von Software-Schwachstellen, Phishing-Angriffe und Passwortdiebstahl. Die Unternehmen sagten aus, dass Cyber Crime in den letzten zwei Jahren stark (37%) oder eher (47%) zugenommen habe und dass sie auch in Zukunft einen weiteren Anstieg erwarten.

Beim Datendiebstahl seien vor allem Mails, Kunden- und Finanzdaten betroffen. Nach Angabe der Unternehmen habe es sich meist um unkritische Business-Informationen gehandelt. Nur 11% der betroffenen Unternehmen gaben zu, dass kritische Unternehmensinformationen wie Patente gestohlen worden seien.

Die Schäden summieren sich in Deutschland auf 22 Milliarden Euro pro Jahr. Die größten Schäden sehen die Unternehmen durch Imageschäden bei Kunden oder Lieferanten, im kleineren Umfang auch durch Patentrechtsverletzungen, Ausfall, Diebstahl und Schädigung von Informations- oder Produktionssystemen.

Die Täter seien sehr schwierig zurückzuverfolgen, häufig meinen die Unternehmen jedoch, zu wissen, wer hinter den Angriffen steckt. Teresa Ritter ging auf die Frage ein, wie man Täter oder den Ursprung eines Angriffs ermitteln könne. Je nach Ermittlungsstufe würden private Dienstleister, Landeskriminalämter oder Verfassungsschutz hinzugezogen, auch ZACs (Zentrale Ansprechstellen Cybercrime der Polizei) oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) würden häufig kontaktiert. Große Unternehmen hätten oft Abteilungen, die selbst ermittelten und mit den Ergebnissen zu Strafverfolgungsbehörden gingen, so Ritter. Die Dunkelziffer sei jedoch immens hoch. Vieles werde nicht gemeldet, vieles werde nicht entdeckt.

Zukünftige Bedrohungen für IT-Sicherheit

Vor allem unentdeckte Sicherheitslücken seien eine große Bedrohung, ebenso Schad-/Malsoftware und die zunehmende Anzahl an vernetzten Geräten.

Fallbeispiel

Florian Lindemann stellte Fallbeispiele für große Cyber Crime-Fälle vor – etwa den Angriff auf das Logistikunternehmen Maersk durch Petya-Ransomware im Jahr 2017, bei dem das gesamte Unternehmen lahmgelegt wurde und Lösegeld erpresst werden sollte. Ursächlich war eine bekannte Software-Schwachstelle, die nicht behoben worden war. Auch die Deutsche Bahn AG war bereits Opfer einer Ransomware (Wannacry).

Sicherheitsvorkehrungen

IT-Sicherheit müsse im Unternehmen zur Chefsache gemacht werden, so Lindemann. Als wichtigste Sicherheitsvorkehrungen nannte Lindemann neben technischem Basisschutz ein eigenes Notfallmanagement (z.B. schriftlich geregelte Abläufe, Ad-hoc-Maßnahmen). Dies sei vor allem bei kleinen Unternehmen nicht ausreichend etabliert. Es müsse zudem organisatorische Sicherheitsvorkehrungen geben, ganz wichtig sei das Personal. Vor der Besetzung sensibler Positionen sollten Background-Checks erfolgen, alle Mitarbeiter sollten zu Sicherheitsthemen geschult und es sollte ein Sicherheitsverantwortlicher bestellt werden, so Lindemann. Der Fachkräftemangel im IT-Sicherheitsbereich sei ein großes Thema für Unternehmen, so Ritter. Langfristig sei verstärkte digitale Bildung bereits in den Schulen wichtig. In Israel beispielsweise werde Programmieren schon ab der Grundschule gelernt, auch in vielen asiatischen Ländern sei die Lage besser.

Cyber-Versicherungen würden zunehmend gefragt, diese versicherten jedoch nur Unternehmen, bei denen eine solide Basis-Absicherung vorhanden sei. Insofern sei es auch eine Frage der Unternehmensorganisation – man werde gezwungen, Maßnahmen zu ergreifen, die man meist ohnehin wegen des Datenschutzes umsetzen müsste.

Lindemann betonte, wie wichtig es sei, gesamtgesellschaftlich ein Bewusstsein für die Gefahren von Cyber Crime herzustellen. Man solle nicht nur in Branchen oder Sektoren denken, alle seien mit den Bedrohungen konfrontiert, Kooperation und eine vertrauensvolle Zusammenarbeit zwischen Sektoren seien nötig.

In der Verantwortung der Behörden sahen die Referierenden die Aufklärung, zudem müssten Strafverfolgung und Justiz personell und materiell gestärkt werden und bekannte Sicherheitslücken müssten sofort an betroffene Unternehmen kommuniziert werden. Es sollten Anlaufstellen für akute Fragen/Sicherheitsvorfälle bereitgestellt und kommuniziert werden.

Dokumentation: Katharina Reinhold
Nach oben © Bundeszentrale für politische Bildung Zur klassischen Website von bpb.de wechseln