Cyberkriminalität wird häufig mit Großunternehmen in Verbindung gebracht. Sind nur Dax-Konzerne gefährdet?
Gefährdet ist jeder, der einen von außen sichtbaren Internetzugang hat. Betroffen sein können alle Arten von Firmen, vom Ein-Mann-Betrieb über Ingenieurbüros, kleinere Firmen bis hin zu DAX-Konzernen. In der Vergangenheit wurden auch schon von außen erreichbare Netzwerkspeicher von Privatpersonen verschlüsselt, mit anschließender Lösegeldforderung.
Lohnt sich für Cyber-Kriminelle der Hackerangriff auf einen Kleinbetrieb?
Getreu des Mottos „Kleinvieh macht auch Mist“ sind auch in kleineren Unternehmen Zahlungen zu erwarten, zumal Angriffe auf kleinere Betriebe häufig einfacher durchzuführen sind, da oftmals die IT-Sicherheit nicht so professionell betrieben wird wie etwa bei größeren Unternehmen. Man weiß, dass die meisten Cyber-Angriffe aus Russland und China, Nordkorea erfolgen.
Warum gelingt es nicht, diese „Angreifer“ auszuschalten?
Meist ist es nicht der eine Angreifer, sondern es steckt in der Regel eine ganze Gruppierung dahinter, die einer Art Firmenstruktur gleicht. Oft kennen sich auch nicht alle Angriffsparteien und arbeiten remote zusammen. Strafverfolgung ist von Deutschland aus in anderen Ländern nicht immer trivial und an Hürden geknüpft.
Es fehlen Pflichten zum Speichern und Herausgeben von Daten, die zeitliche Komponente spielt ebenfalls eine Rolle. Hier ist als Stichwort die Vorratsdatenspeicherung zu nennen.
Gibt es diese Art der Kriminalität im ländlich geprägten Landkreis Sigmaringen überhaupt? Also Hacker-Angriffe auf kleine Handwerksbetriebe oder mittelständische Firmen? Kennen Sie Beispiele?
Es gab und gibt auch im Landkreis Sigmaringen Beispiele für Angriffe von Cyberkriminellen. Erfolgreiche und auch mindestens einen, der durch die Polizei verhindert werden konnte. Beispiele sind Ransomware, Phishing, Business-Email-Compromise, …
Wie gehen die Angreifer vor? Können Sie den Ablauf schildern?
Es gibt diverse Vorgehensweisen, die sich unterscheiden. Ein Beispiel ist die so genannte Ransomware: Über Phishing abgefangene Daten können ein erstes Einfallstor darstellen. Oder man verschafft sich über ein nicht gepatchtes Netzwerkgerät wie eine Firewall oder eine VPN-Anbindung Zugriff aufs Firmennetz. Oder die Täter finden eine Schwachstelle eines Herstellers, die selbst diesem noch nicht bekannt ist. Anschließend versuchen die Angreifer das Netzwerk zu erkunden, erweiterte Rechte zu erhalten und dann vor einer Verschlüsselung gegebenenfalls noch Daten abfließen zu lassen.
Gibt es Warnzeichen, dass womöglich ein Hackerangriff erfolgen wird oder schon erfolgt ist?
Teilweise können durch Meldungen von Schwachstellen vom BSI erste Hinweise auf eine mögliche Angreifbarkeit erlangt werden. Beim Monitoring des eigenen Firmennetzwerks könnten ggf. Anomalien im Normalbetrieb auffallen, welche unter Umständen Hinweise auf eine Kompromittierung liefern könnten. So beispielsweise neu angelegte Benutzerkonten, legitim angelegte Benutzer, die zu unüblichen Zeiten arbeiten und auf das Netzwerk zugreifen oder sonstiger auffälliger Netzwerkverkehr.
Wie hoch sind die Schäden, wenn es zu einem Angriff kommt?
Hier spielen die Güte und die Regelmäßigkeit einer Datensicherung eine entscheidende Rolle. Somit können die Schäden von einer mit wenig Aufwand zu bewerkstelligenden Backup-Wiederherstellung und einer zeitnahen Wiederaufnahme des Betriebs bis hin zu einem längerfristigen Totalausfall des Unternehmens mit all seinen finanziellen und reputationsschädigenden Folgen reichen.
Warum sollte man die Angriffe anzeigen?
Nur so gelingt es überhaupt, Täterinfrastruktur aufzuklären, also das Netzwerk der Täterschaft kennenzulernen. Einzelne Anzeigen führen eher selten zum direkten Erfolg, aber jeder Vorfall liefert weitere Erkenntnisse zur Täterschaft und bietet die Chance, Fehler von Tätern zu entdecken und sukzessive näher an die Täterschaft zu kommen. Erfolgreiche Ermittlungsverfahren gibt es immer wieder, auch mit Festnahmen, teilweise auch durch Kooperation mit und in anderen Ländern. Diese Kooperation betrifft auch den gegenseitigen Austausch von Erkenntnissen, um durch viele einzelne Puzzlesteine nach und nach ein Gesamtbild zu erhalten. Ohne Anzeigen ist das alles nicht möglich.
Gibt es auch Hacker-Angriffe, die aus dem Unternehmen heraus erfolgen?
Es gibt diverse Arten von Angriffen und Straftaten von innen heraus. Beispielsweise können (unzufriedene) Mitarbeiter der Täterschaft zuarbeiten, z.B. durch Anklicken von Links oder die Preisgabe von Zugangsdaten. Weiterhin besteht die Gefahr, dass sich Personen bewerben, welche evtl. auch das Ziel der Informationsbeschaffung für Dritte verfolgen.
Wird durch den zunehmenden Einsatz der KI der Kampf gegen Cyber-Kriminalität erschwert oder womöglich verbessert?
KI kann hier durchaus unterstützen – allerdings gilt das für beide Seiten, für die gute und die böse!
Fragen: Siegfried Volk
