Es ist eines der weniger partytauglichen Gesprächsthemen: Cyberkriminalität. Schon der Begriff schürt diffuse Ängste, da sich niemand vor ihr sicher wähnen kann. Und in der Tat: Die Gefährdung reicht weiter und ihr Schadenspotenzial ist viel größer, als die meisten ahnen.
Zwar weiß man, dass die Hoffnung nur allzu trügerisch ist, man selbst, die eigene Kanzlei oder das eigene Unternehmen seien zu wenig prominent, um ins Visier der Täter zu geraten, dennoch klammert man sich im Alltag gerne daran. Gewiss: Kommerzielle Virenschutz-Software, stets auf dem aktuellen Stand gehalten, ist ein absolutes Muss, doch vermag sie nur eines einer ganzen Reihe potenzieller Einfallstore zu schließen und ist allenfalls im Privatbereich gerade noch hinreichend. Besonders fatal ist, dass die Opfer cyberkrimineller Handlungen ihr Betroffensein – etwa bei Phishing oder Identitätsdiebstahl – oft nur mit Verzögerung oder gar nicht erkennen – bei Kaperung ihres Endgeräts als Teil eines fremdkontrollierten Botnetzes etwa. Die Zahl angezeigter Angriffe ist daher nur ein winziger Bruchteil der tatsächlich verübten Straftaten. Selbst Unternehmen scheuen oft die Anzeige, um Reputationsverlusten vorzubeugen. Zudem ist das Gefährdungsbewusstsein, solange man selbst oder das eigene Unternehmen noch nicht betroffen war, bei den meisten Menschen sonderbar abstrakt: Cybercrime – ein Phantom. Das Bundeskriminalamt definiert Internetkriminalität allgemein als die Summe aller Straftaten, die im Internet selbst oder auf Basis der Technologien des Internets begangen werden. Davon abzugrenzen ist die Computerkriminalität (Cybercrime) im engeren Sinne, bei der der Computer selbst zur Tatwaffe wird, aber nicht das Internet als solches von Bedeutung ist. Letzteres birgt die größeren Gefahren.
Schaden: mehr als 100 Milliarden Euro
Einer Studie der Bitkom von Ende 2019 zufolge betrug der Schaden, den die deutsche Wirtschaft durch Datendiebstahl, Sabotage und Ausspähung im Erhebungsjahr erlitten hat, knapp 103 Milliarden Euro, was fast einer Verdoppelung gegenüber 2016 und 2017 entspricht (55 Milliarden Euro). Drei Viertel, also 75 Prozent der rund 1.000 von der Bitkom befragten Unternehmen waren bereits einmal Ziel von Angriffen. Auch hier war die Zahl mit 53 Prozent bei der vorgängigen Untersuchung von 2016 und 2017 noch deutlich niedriger gewesen. Sorgen macht Bitkom-Präsident Achim Berg hierbei nicht nur der Umfang, sondern auch die wachsende Raffinesse der Attacken: „Die Freizeit-Hacker von früher haben sich zu gut ausgerüsteten und technologisch oft sehr versierten Cyberbanden weiterentwickelt – zuweilen mit Staatsressourcen im Rücken.“ Das Täterfeld ist weit gefächert. Ein Drittel der geschädigten Unternehmen gab an, dass ehemalige Mitarbeiter vorsätzlich Schäden angerichtet hätten, ein Viertel sieht Fahrlässigkeit von Angestellten als Ursache für erfolgte Angriffe. Ein Fünftel aller Attacken geht auf das Konto der organisierten Kriminalität, in zwölf Prozent der Fälle gerieten ausländische Nachrichtendienste in Verdacht. Rund 30 Prozent der Angriffe ließen sich nach Osteuropa zurückverfolgen, 27 Prozent nach China, 19 Prozent nach Russland und 17 Prozent in die USA. Bei einem knappen Viertel war die Herkunft unklar.
Profis am Werk
Die zunehmende Professionalisierung der Täter lässt diese immer mehr zum sogenannten Big Game Hunting übergehen, der Großwildjagd, will sagen: zu Angriffen auf größere Unternehmen, Institutionen und Universitäten, zumeist mit Ransomware, die, einmal in ein Netzwerk eingeschleust, dessen sämtliche Daten verschlüsselt und erst gegen Zahlung immenser Lösegeldsummen wieder freigibt – oder bei Weigerung zu publizieren droht. In aller Regel geht es den Tätern um Geld, im weiteren Sinne handelt es sich also um eine Form der Geiselnahme (der Daten) und Erpressung. Die Erlöse, meist in Bitcoins zu zahlen, sind auf ihren weiteren Wegen kaum zu verfolgen, was den Tätern zusätzlich in die Hände spielt. Insofern sind große Erfolge der Ermittler gegen die zumeist aus dem Ausland operierenden Täter eher die Ausnahme als die Regel, auch wenn es gelegentlich spektakuläre Erfolge gibt. Im Juni 2021 gelang in einer gemeinsamen Aktion der südkoreanischen und ukrainischen Polizei ein Schlag gegen eine Bande, die mit dem Krypto-Trojaner Cl0p seit 2019 über drei Jahre hinweg weltweit rund eine halbe Milliarde US-Dollar Schaden angerichtet hatte. In Deutschland waren vor allem Autozulieferer ihre Opfer: Hier gelang es der Bande, 130 Server und 600 Clients mehrerer Firmen zu verschlüsseln. Ein weiteres Interessengebiet der Täter sind sensible Daten, die sich vermarkten lassen. Jedes fünfte Unternehmen in Deutschland hat bereits erleben müssen, dass Daten abgeflossen sind. 46 Prozent der Betroffenen beklagen den Diebstahl von Kommunikationsdaten, 23 Prozent von Kundendaten, 25 Prozent von Mitarbeiterdaten und 26 Prozent von Finanzdaten. Geschäftsinformationen wie Marktanalysen oder Informationen zur Preisgestaltung sind bei jedem achten Unternehmen (zwölf Prozent) abgeflossen. Betroffen sind außerdem Zugangsdaten zu Netzwerken, zu Einzelrechnern, Daten zu Produktionsabläufen, überhaupt der gesamte betriebswirtschaftliche Datenbestand. All dies, für Wettbewerber durchaus wertvoll, findet international seine Abnehmer. Diese Underground Economy wächst stetig und ist mittlerweile eine kriminelle, globale Parallelwirtschaft, der es lediglich um materiellen Profit geht. Längst gibt es im Darknet auch ein sogenanntes Cybercrime-as-a-Service (CaaS) – mit steigender Relevanz. Kriminelle Handlungen wie die Infiltration von Firmennetzen werden hier als buchbare Dienstleistungen angeboten, Botnetze aus gekaperten Rechnern vermietet, illegal erlangte, personenbezogene Daten verkauft. Dadurch können auch weniger cyberaffine Tatwillige zum Player werden.
Würmer, Botnetze …
Ebenso kriminell, wenn auch in zumindest einem historisch gewordenen Fall der Räson westlicher Staaten dienend, ist die aktive Sabotage von Produktionsabläufen. Der Computerwurm Stuxnet etwa, dessen Urheber nie zweifelsfrei ermittelt werden konnte, sabotierte 2010 die Steuerelektronik Simatic S7 des Herstellers Siemens, die unter anderem die Drehzahl von Industriemotoren regelt. Dies konnte aber darum niemandem auffallen, weil alle auslesbaren Betriebsdaten der damit angesteuerten Geräte vermeintlich normale Werte anzeigten. Fatal wurde der Angriff für die Betreiber der iranischen Urananreicherungsanlage in Natanz, die das eigentliche Ziel der ganzen Operation gewesen sein dürfte: Durch die Stuxnet-induzierte Fehlsteuerung drehten die Gaszentrifugen der Anreicherungsanlage mit viel höherer Drehzahl als angezeigt, was zu der – beabsichtigten – Zerstörung der Zentrifugen führte.
… und DDoS
Eine andere Form der Bedrohung stellen DDoS-Angriffe dar. Auch deren Anzahl und Schlagkraft nehmen zu. Distributed-Denial-of-Service-Attacken zielen darauf ab, durch Überlastung mit Anfragen Webserver in die Knie zu zwingen. Hierzu wird eine Vielzahl zuvor gekaperter Rechner zu einem Botnetz zusammengeführt und zu einem bestimmten Zeitpunkt auf ein Unternehmen losgelassen, dessen Erreichbarkeit und Kommunikationsfähigkeit damit gleichsam in Geiselhaft genommen wird. Nur gegen Zahlung eines Lösegelds wird der Überlastungsangriff gestoppt.
Was tun?
Auch wenn es die altbekannten Rezepte sind: Nur stete Wachsamkeit und eine konsequente Verhinderung des Imports von ausführbarem Code verhelfen zu mehr Sicherheit. Und auch das verfängt nicht, wenn ein Saboteur im Unternehmen, in der Kanzlei selbst sitzt. Insofern ist das Fazit ernüchternd wie jeder Blick auf die Gefahren des Lebens. Völlige Sicherheit gibt es nicht
