Cybercrime kann präventiv begegnet werden. Durch spezielle Investitionen in Hard- und Software lassen sich Schwächen der Netzwerksicherheit beheben. Wird man dennoch Opfer einer Attacke, sollte in jedem Fall staatliche Hilfe in Anspruch genommen werden.
Kundendaten, Patente, geheime Strategiepapiere: In einer zunehmend digitalen Welt sind Daten für viele Unternehmen von unschätzbarem Wert. Natürlich wissen auch Kriminelle um diesen Wert. Cyberangriffe gehören daher zu den großen Bedrohungen des 21. Jahrhunderts. International agierende Hacker gehen immer spezialisierter und arbeitsteiliger vor. Als Crime-as-a-Service werden einzelne Dienstleistungen auf kriminellen Handelsplattformen angeboten und nachgefragt. Cyberangriffe werden dadurch weiter zunehmen und für Unternehmen noch gefährlicher. Im Folgenden soll ein beispielhafter Überblick zu verschiedenen Bedrohungsszenarien, denen sich Unternehmen gegenübersehen, gegeben werden. Dabei soll insbesondere das Phänomen der sogenannten Ransomware dargestellt werden. Gleichzeitig soll deutlich werden: Unternehmen können sich vor Cyberangriffen schützen – auch mithilfe eines vielfältigen Unterstützungsangebots des Staats.
Bedrohungsszenarien
Ziel einer Computersabotage ist es etwa, die IT-Systeme eines Unternehmens durch einen sogenannten DDoS-Angriff (Distributed Denial of Service) außer Gefecht zu setzen. Hier wird durch eine große Anzahl von Anfragen an das Netz das System lahmgelegt. Das Unternehmen ist in der Folge für Kundinnen und Kunden sowie Geschäftspartnerinnen und -partner nicht mehr erreichbar. Beim sogenannten Hacking nutzen Täter gezielt Schwachstellen in den IT-Systemen. Erlangen sie dadurch unbefugten Zugriff auf das System, können sie in großem Umfang sensible Informationen wie Geschäftsgeheimnisse, Kundendaten, Bankzugangs- oder Kreditkartendaten sowie Passwörter abgreifen. Diese Daten werden später zur Erpressung genutzt, an Dritte verkauft oder zur Schädigung des Unternehmens öffentlich zugänglich gemacht. Beim sogenannten CEO-Fraud zielt der Cyberangriff nicht auf das IT-System, sondern auf die Mitarbeiter des Unternehmens. Diese werden beispielsweise durch eine vermeintlich von der Firmenleitung stammende Mail dazu veranlasst, hohe Geldsummen in einer angeblich geheimen Angelegenheit auf das Konto der Betrüger zu überweisen. Durch sogenanntes Phishing verleiten Täter Mitarbeiter dazu, sich auf Homepages, die bekannten und vertrauenswürdigen Internetauftritten nachgebildet sind, anzumelden. Dadurch können Täter Nutzerdaten, insbesondere Passwörter, abgreifen und auf sensible Bereiche der Unternehmens-IT-Infrastruktur zugreifen.
Ransomware
Besonders weitreichende und schwerwiegende Folgen für betroffene Unternehmen können Schadprogramme haben, sogenannte Ransomware. Nachdem sich Täter Zugang zum Netzwerk eines Unternehmens verschafft haben, wird automatisiert oder von den Tätern gesteuert Schadsoftware nachgeladen. Dadurch können die Eindringlinge das Netzwerk weiter analysieren, schließlich die Computersysteme verschlüsseln und sie so unbrauchbar machen. Anschließend verlangen die Täter von den Unternehmen Lösegeld für die Entschlüsselung der Daten. Aufgrund der stetig wachsenden Professionalität der Täter ist die Entschlüsselung regelmäßig ohne den jeweiligen individuellen Key nicht mehr möglich. Das Projekt No More Ransom sammelt und veröffentlicht zwar unter www.nomoreransom.org Informationen darüber, ob es für einzelne Schadsoftware-Typen anderweitige Entschlüsselungsmöglichkeiten gibt. Die Schadprogramme weisen jedoch immer seltener Schwachstellen auf, sodass eine Entschlüsselung ohne Mithilfe der Täter häufig ausgeschlossen ist. Wichtig ist: Unternehmen sollten Cyberattacken jeder Art bei Polizei und Justiz anzeigen. In keinem Fall sollte ein Lösegeld an die Täter gezahlt werden. Eine Zahlung gibt weder die Gewähr für eine tatsächlich funktionierende Entschlüsselung, noch kann sie davor bewahren, dass die Täter durch eine bereits installierte Backdoor weiterhin Zugriff auf die IT-Infrastruktur des Unternehmens haben.
Schwächen der Netzwerksicherheit
Wie erhalten die Täter Zugang zum Netzwerk eines Unternehmens? In den vergangenen Jahren wurde die vorherrschende Methode des massenweisen Verbreitens von Schadsoftware durch E-Mails zunehmend durch gezielte Angriffsformen abgelöst. Täter suchen verstärkt Schwächen in der Netzwerksicherheit und nutzen diese aus, wie die VPN-Software oder den sogenannten Remote Desktop Port von Windows zum Fernzugriff auf Computersysteme. Beides wird vor allem im Rahmen des Homeoffice, gerade in der Corona-Pandemie, immer relevanter. Es ist zu erwarten, dass Täter künftig Sicherheitslücken in weitverbreiteter Software umgehend zum Eindringen in fremde Netzwerke gezielt nutzen werden. So reagierten etwa die Täter nach Bekanntwerden der Lücken in der Software Microsoft Exchange Server innerhalb weniger Tage. Ein zeitnahes Einspielen aller verfügbaren Sicherheitspatches für die verwendete Software ist daher für Unternehmen genauso wichtig wie das Vorhalten von Backups, die getrennt vom eigentlichen Netzwerk und offline aufbewahrt werden.
Prominente Opfer
Die Täter schrecken bei ihren Angriffen auch vor großen Unternehmen mit professioneller und ressourcenreicher IT-Sicherheit nicht zurück. Dies zeigen die in den Medien berichteten Attacken auf Acer, die Funke Mediengruppe, den Spieleentwickler CD Projekt und die Software AG. Dass diese Fälle häufig im Fokus der Öffentlichkeit stehen, darf aber nicht darüber hinwegtäuschen, dass oft gerade die mittelständischen Unternehmen von Cyberattacken betroffen sind.
Lösegeldforderung und Reputationsverlust
Besonders perfide ist im Zusammenhang mit Ransomware die Double Extortion. Dabei verschlüsseln die Täter nicht nur die IT-Systeme der Unternehmen, sondern spähen im Vorfeld auch die dort befindlichen Daten aus und kopieren diese. Im Anschluss verlangen die Täter nicht nur die Zahlung eines Lösegelds für die Entschlüsselung der IT-Systeme; gleichzeitig drohen sie für den Fall der Nichtzahlung auch mit der Veröffentlichung der Daten. Dazu werden vielfach Seiten im Darknet betrieben, auf denen dann auch tatsächlich Unternehmensdaten unter konkreter Angabe der Firma veröffentlicht werden. Durch den Datenabfluss sind die geschädigten Unternehmen häufig angehalten, ihrer gesetzlichen Meldeverpflichtung an die Datenschutzbehörden nachzukommen und zugleich ihre Kunden über den Sicherheitsvorfall zu benachrichtigen. Der damit verbundene öffentliche Vertrauens- und Reputationsverlust kann im Einzelfall schwerer wiegen als die unmittelbaren Beeinträchtigungen der IT-Infrastruktur.
Datenhehlerei
Eine weitere kriminelle Erscheinungsform im Zusammenhang mit Ransomware besteht darin, dass die Täter versuchen, die erbeuteten Daten und Informationen selbst zu nutzen beziehungsweise zu verwerten. Die Daten werden entweder für eigene kriminelle Taten verwendet oder naheliegender an andere Täter weiterverkauft, die sich auf die kriminelle Nutzung solcher Daten spezialisiert haben. So können etwa durch den Verkauf von Zahlungs- oder Zugangsdaten nennenswerte Beträge erzielt werden.
Staatliche Hilfe
Angesichts dieser nur beispielhaft genannten Bedrohungslagen für Unternehmen ist es notwendig und wichtig zu wissen: Der Staat lässt die Unternehmer nicht allein. Polizei, Verfassungsschutz und Justiz haben in Bayern jeweils spezialisierte Einheiten geschaffen. Für den Justizbereich steht – neben den örtlichen Staatsanwaltschaften – die Zentralstelle Cybercrime Bayern bei der Generalstaatsanwaltschaft Bamberg (ZCB) als Ansprechpartnerin für Unternehmen jeder Größe bereit. Daneben hat das Bayerische Justizministerium die Broschüre „Cybercrime – Hilfe für betroffene Unternehmen“ herausgegeben. Sie gibt insbesondere Antworten auf die Fragen: Mit welchen Angriffen muss ich rechnen? Wie kann ich mein Unternehmen schützen? An wen kann ich mich wenden?
Selbstschutz
Einen wesentlichen Beitrag zur Verhinderung von Cyberangriffen können und müssen die Unternehmen selbst leisten – durch ein modernes IT-Sicherheitssystem und -management sowie durch entsprechende Schulung und Sensibilisierung ihrer Mitarbeiter. Investitionen in Hardware, Software und Mitarbeiterschulungen sind unerlässlich, um gegen Cyberangriffe gewappnet zu sein. Konkret auf das Phänomen Ransomware bezogen heißt das: Ransomware können und müssen die Unternehmen aktiv mit einer entsprechenden Netzwerkkonzipierung und -absicherung sowie mit einem validen Back-up-Konzept begegnen.
Fazit und Ausblick
Wenn es doch zu einem Cyberangriff gekommen ist, unterstützen die bayerische Justiz sowie die bayerische Polizei die Unternehmen durch eine effektive Strafverfolgung. Bei der Zentralstelle Cybercrime Bayern (ZCB) ermitteln an der Schnittstelle von Cybercrime und klassischer Wirtschaftskriminalität Spezialstaatsanwälte und IT-Experten. Die ZCB arbeitet eng mit den Zentralstellen anderer Bundesländer zusammen und ist auch international bestens vernetzt. Die ZCB wurde 2018 mit dem Ziel verstärkt, Wirtschafts-Cybercrime noch wirksamer zu bekämpfen. Dieser Einsatz zahlt sich aus. Daneben setzt die bayerische Justiz auf die Vermögensabschöpfung. Verbrechen darf sich nicht lohnen. Die Erträge aus Straftaten werden deshalb in Bayern konsequent abgeschöpft. Die Justiz hat dazu in München eine eigene Zentrale Koordinierungsstelle Vermögensabschöpfung eingerichtet, die die Gerichte und Staatsanwaltschaften unterstützt. Wichtig ist deshalb, dass Unternehmen die Strafverfolgungsbehörden über Cyberangriffe informieren. Nach wie vor scheuen viele geschädigte Unternehmen davor zurück, Anzeige zu erstatten. Dabei kann jeder bekannt gewordene Fall zu neuen und wichtigen Ermittlungsansätzen verhelfen. Die Beeinträchtigungen der Unternehmensabläufe durch die Ermittlungen sind gering. In einer Situation, die für Unternehmen existenzbedrohend sein kann, können die erfahrenen Spezialisten von Polizei und Justiz wertvolle Hilfe leisten.
Mehr dazu
Entwicklungspfad Datenschutz
DATEV-Consulting: Beratungsangebot IT-Strategie und IT-Sicherheit
