ein Virus wird per Mail von einem PC zum anderen weitergegeben
21.01.2023    Madeline Sieland
  • Drucken

Drei von vier Internetnutzerinnen und -nutzer in Deutschland waren 2022 von Cyberkriminalität betroffen. Das zeigt eine Studie des Digitalverbands Bitkom. Besonders häufig sind die unberechtigte Weitergabe persönlicher Daten an Dritte, Betrug bei Online-Shopping und -Banking sowie Ransomware-Attacken.

Laut dem „Digitalbarometer 2022“, erstellt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Polizeilichen Kriminalprävention, haben 79 Prozent derjenigen, die Opfer von Cyberkriminalität wurden, auch einen Schaden hinnehmen müssen. Die größten finanziellen Schäden verursachen Betrugsmaschen; betroffene Privatpersonen verloren dadurch im Schnitt 674 Euro.

Sicherheitsmaßnahmen sind Pflicht – privat und beruflich

„Wer sich im Internet bewegt, muss damit rechnen, auf Cyberkriminelle zu treffen. Deshalb ist es wichtig, dass alle entsprechende Sicherheitsmaßnahmen treffen. Das reicht von der Verwendung sicherer Passwörter über die Installation von Virenschutzsoftware bis zur sparsamen Weitergabe persönlicher Informationen“, sagt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder. „Aber auch gesunder Menschenverstand hilft gegen Cyberkriminelle.“

Und das gilt nicht nur im Privatleben, sondern auch im Business. Denn die finanziellen Schäden für Unternehmen sind im Fall eines Cyberangriffs immens: Der deutschen Wirtschaft entsteht ein jährlicher Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Und: Die IT-Bedrohungslage werde sich in diesem Jahr weiter verschärfen, prognostiziert der IT-Sicherheitsexperte G DATA. Grund dafür sei die zunehmende Professionalisierung der Cybercrime-Szene.

„Ein zentrales Problem für die IT-Sicherheit in Deutschland ist und bleibt, dass Unternehmen die Warnungen zu Schwachstellen oder Sicherheitsrisiken nicht ernst nehmen“, sagt Andreas Lüning, Mitgründer und Vorstand von G DATA CyberDefense. „Sie unterschätzen weiterhin das reale Risiko eines Cyberangriffs für sich und setzen auf das Prinzip Hoffnung. Dabei müssen Verantwortliche jetzt handeln, denn angesichts der wirtschaftlich angespannten Lage kann sich kein Unternehmen Umsatzeinbußen oder Betriebsausfälle leisten, die ihren Ursprung in einem IT-Sicherheitsvorfall haben.“

Was ist Social Engineering?

Um den technologischen Schutz gegen Schadsoftware zu umgehen, wird allerdings vermehrt der Mensch als Einfallstor genutzt – durch sogenanntes Social Engineering.

Das BSI beschreibt das Vorgehen der Kriminellen wie folgt: „Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt, um Personen geschickt zu manipulieren. Cyberkriminelle verleiten das Opfer auf diese Weise beispielsweise dazu, vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.“

Cybersecurity-Experte Niclas Lahmer erklärt, wie Unternehmen sich vor Social Engineering schützen können.

Zur Person

Niclas Lahmer, Autor Buchs „Social Engineering: Die neuen Angriffsstrategien der Hacker“

Niclas Lahmer

ist Geschäftsführer von IAGO. Das Unternehmen bietet Schulungen und Beratungen zu den Themen Gefahrgut und Gefahrstoff, Luftsicherheit und Cybersecurity an. Lahmer ist zudem Autor des Buchs „Social Engineering: Die neuen Angriffsstrategien der Hacker“ (Redline Verlag, 224 S., 20 Euro)

Adäquate Sicherheitskonzepte sind eine schiere Notwendigkeit. Dennoch verfügt nur jedes zweite Unternehmen über einen Plan für den Fall eines Cyberangriffs. Warum wird das Risiko, selbst zum Opfer zu werden, offenbar nach wie vor unterschätzt?

Niclas Lahmer: Hacker haben entweder wirtschaftliche, kriminelle, politische oder terroristische Interessen. Dazu gehört beispielsweise das Lahmlegen von Infrastrukturen, um Angst und Panik zu verbreiten. Unternehmen sind meist die Opfer von Cyberkriminalität, weil es dort mehr zu holen gibt als bei Privatpersonen. Daneben gibt es auch Kriminelle, die aufgrund von persönlichen Interessen – seien es Liebschaften, Neid, Cyberstalking – nur Privatpersonen angreifen.

Das Risiko, zum Opfer zu werden, ist gegeben. Das kann man nicht anzweifeln. Und dass dieses Risiko oft unterschätzt wird, liegt in erster Linie an einer Sache: Als Privatperson können wir uns nicht vorstellen, was ein Cyberkrimineller alles für Möglichkeiten hat.

Und wie ist es in Unternehmen? Dort müsste es doch – vor allem aufgrund der Tragweite möglicher Schäden – ein stärkeres IT-Sicherheitsbedürfnis geben.

Lahmer: In Unternehmen ist es gang und gäbe, dass in Dinge investiert wird, die Geld bringen. Investments in die Sicherheit bringen allerdings keine monetären Renditen. Wenn es gilt, Wirtschaftlichkeit versus Sicherheit abzuwägen, entscheiden sich Unternehmerinnen und Unternehmer in erster Linie für die Wirtschaftlichkeit. Denn so gewährleisten sie das Fortbestehen des Betriebs. Sicherheit hingegen ist eigentlich ein sekundäres, fast schon tertiäres Thema. Nehmen Sie zum Beispiel die Datenschutzgrundverordnung und deren Umsetzung: Sie wird nach wie vor von vielen Unternehmen nur lapidar nebenbei behandelt.

Als größtes Cyberrisiko in Unternehmen gelten die eigenen Angestellten, die zum Beispiel unbedacht auf Mail-Anhänge klicken. Mit Social Engineering machen sich Cyberkriminelle diese Schwachstelle zunutze. Welche Tricks kommen dabei zum Einsatz?

Lahmer: Jeder Angestellte kann durch Social Engineering zum Innentäter werden. Innentäter sind Menschen, die innerhalb einer Organisation über sensible Informationen über die Infrastruktur oder das Business verfügen und durch deren Herausgabe dem Unternehmen massiven Schaden zufügen könnten.

Eine Methode von Cyberkriminellen ist zum Beispiel das Verteilen sogenannter Rubber-Ducky. Dabei handelt es sich um USB-Sticks oder andere Speichermedien, welche mit einem Skript versehen sind. Das ist sogar relativ leicht; man kann es sich aus dem Internet ziehen und entsprechend der eigenen Interessen bearbeiten. Dieses Skript kann beispielsweise ein Trojaner sein. Oder ein Key-Logger, der alle Eingaben auf der Tastatur mitschreibt. Oder das Skript lädt Schadsoftware aus dem Internet.

Rubber-Ducky wurden bei einer US-Behörde mal testweise auf dem Parkplatz verteilt. Man wollte herausfinden, wie viele Mitarbeitende diese herumliegenden USB-Sticks mitnehmen und in einen behördlichen Rechner stecken.

Und? Was ist passiert?

Lahmer: Ein Großteil der Mitarbeitenden, die auf dem Parkplatz diesen USB-Stick fanden, haben ihn tatsächlich in ihren Arbeitsrechner gesteckt und hätten damit die Infrastruktur der Behörde komplett lahmlegen können. Wäre es nicht nur ein Test gewesen, hätte das natürlich katastrophale Folgen haben können.

Und ähnliche Vorfälle hat es in der Vergangenheit tatsächlich bereits gegeben. So haben Cyberkriminelle Rubber-Ducky-USB-Sticks über die Zäune von Atomkraftwerken geschmissen. Hätten Mitarbeitende diese Sticks in einen Rechner im Kraftwerk gesteckt, hätten Kriminelle darüber Zugang zu den Systemen erhalten können. Das ist glücklicherweise nicht passiert.

Wie ließe sich der Risikofaktor Mensch minimieren, um die IT-Sicherheit erhöhen?

Lahmer: Das Erste, was definitiv passieren muss: das Personal für die Möglichkeiten von Cyberkriminellen, etwa das Social Engineering, sensibilisieren. Dies kann nur durch adäquate Sicherheitsschulungen geschehen – nicht nur von IT-Mitarbeitenden, sondern auch in allen anderen Abteilungen.

Sofern sie Luftverkehrssendungen verschicken, unterliegt beispielsweise die Logistik von Unternehmen den Bestimmungen der Europäischen Union. Laut der Verordnung DVO 2015/1998 sind seit 2022 Awareness-Trainings zur IT-Sicherheit verpflichtend. Denn Mitarbeitende im Bereich Fracht & Versand haben schließlich Zugriff auf sensible Informationen zu Dingen, die in Passagier- oder Frachtflugzeuge verladen werden sollen. Das könnten sich Cyberkriminelle oder Terroristen zunutze machen, indem sie über diese Daten herausfinden, welches Flugzeug welche Fracht laden soll, um verbotene Gegenstände – etwa unkonventionelle Spreng- und Brandvorrichtungen – an Bord zu schmuggeln.

Sicherheitsschulungen sind wirklich für alle Abteilungen wichtig. Nur dadurch lässt sich die Sicherheit erhöhen und den Mitarbeitenden der „Risikofaktor Mensch“ nahebringen.

Wie sollten IT-Sicherheitsschulungen gestaltet sein, damit sie tatsächlich einen nachhaltigen Effekt haben?

Lahmer: Zunächst einmal muss eine solche Sicherheitsschulung durch den Gesetzgeber verpflichtend werden. Denn Unternehmen fangen nicht an in Schulungen zu investieren, wenn sie dazu nicht gezwungen werden.

Zudem muss eine solche Schulung natürlich von einem Ausbilder durchgeführt werden, der über ausgereifte Kenntnisse verfügt, der aber das Thema auch lebt. Das heißt, diese Person muss konkrete Beispiele in petto haben, um Mitarbeitende für IT-Sicherheit, Cyberangriffe, Social Engineering sensibilisieren zu können.

Welche Maßnahmen sollten in Unternehmen darüber hinaus ergriffen werden, um zumindest einen Basisschutz vor Cyberangriffen zu gewährleisten?

Lahmer: Ich gebe Ihnen ein Beispiel: Viele Unternehmen erlauben ihren Mitarbeitenden nach wie vor „bring your own device“. Das heißt, private Rechner können mitgebracht und im Firmennetzwerk angemeldet werden. Das ist der absolute Wahnsinn, weil hier die Verschlüsselung nicht gewährleistet wird. Die privaten Daten verschmelzen sozusagen mit den Firmendaten. Das birgt natürlich ein großes Sicherheitsrisiko.

Wir müssen also zunächst erst einmal anfangen solche sehr naiven Dinge zu verhindern. Darüber hinaus muss es verboten werden, im Betrieb Dienste zu nutzen, von denen bekannt ist, dass sie nicht DSGVO-konform sind.

Wo sollte Cybersicherheit in Unternehmen angedockt sein, damit dem Thema tatsächlich die nötige Aufmerksamkeit zuteil wird? Braucht es zum Beispiel zwingend einen Chief Information Security Officer?

Lahmer: Ich halte es für richtig und zielführend, den Datenschutzbeauftragten im Betrieb einen höheren Stellenwert und mehr Kompetenz zu geben und ihnen mehr Aufgaben zuzutrauen. Das Thema Cybersicherheit sollte meiner Meinung nach dort verortet werden. Schulungen für Datenschutzbeauftragte sind bereits sehr umfassend, sollten aber zudem noch IT- und Cybersecurity inkludieren.

Wenn ein Betrieb dafür extra einen Chief Information Security Officer einstellt, ist das eine hervorragende Sache. Jedoch können sich viele mittelständische oder kleine Bertriebe so etwas nicht leisten. Das bedeutet im Klartext: Das Thema wird dann direkt bei der Unternehmerin oder dem Unternehmer liegen müssen. Hier sollten entsprechende Unterweisungen und Schulungen – zum Beispiel durch die Industrie- und Handelskammern oder vergleichbare Einrichtungen oder auch durch private Dienstleister – verpflichtend werden, damit die Unternehmerschaft sich des Themas bewusster wird.

21.01.2023    Madeline Sieland
  • Drucken
Zur Startseite