Cybercrime ist auf dem Vormarsch
Dabei erfassen die Behörden nur einen Bruchteil des Gesamtausmaßes
Stephan Ursuleac
Die digitale Sicherheit ist ein entscheidender Faktor für den Wirtschaftsstandort Deutschland. Dabei stehen insbesondere kleine und mittelständische Unternehmen (KMU) und viele regionale Behörden bei der Thematik vor großen Herausforderungen.
Allein 2022 gab es laut Bundeskriminalamt über 130.000 gemeldete Vorfälle im Bereich Cybercrime, Tendenz steigend. Dabei ist jedoch von einem Dunkelfeld von über 90 Prozent auszugehen, da viele Vergehen durch Betroffene nicht zur Anzeige gebracht werden. Als Cybercrime werden alle Straftaten bezeichnet, die unter Ausnutzung der Informations- und Kommunikationstechnik (IuK) oder gegen diese begangen werden. Dazu zählen im engeren Sinne Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten. Im erweiterten Sinne Straftaten, die mittels Informationstechnik begangen werden, aber auch in der analogen Welt stattfinden könnten.
Der Digitalverband Bitkom untersucht zusammen mit dem Bundesamt für Verfassungsschutz seit 2015 jährlich, wie es um die deutsche Wirtschaft beim Thema Wirtschaftsschutz bestellt ist. Allein 2023 entstand der deutschen Wirtschaft ein Schaden von fast 206 Milliarden Euro.
Die Ergebnisse der repräsentativen, branchenübergreifenden Studie von über 1.000 Unternehmen unterstreichen, dass in Zeiten der zunehmenden Vernetzung all unserer Lebensbereiche die Resilienz der deutschen Wirtschaft gegen die steigenden Gefahren aus dem Cyberraum weiter ausgebaut werden muss.
Grundsätzlich kann jedes Unternehmen und jede Behörde Opfer eines Cyberangriffs werden. Das größte Risiko für Unternehmen ist dabei die drohende Insolvenz. Für Behörden steht deren Reputation und damit das Vertrauen der Bürgerinnen und Bürger in die freiheitlich-demokratische-Grundordnung auf dem Spiel.
Angriffe müssen nicht zwangsläufig gezielt auf eine Organisation gerichtet sein, sie können auch im Rahmen einer größeren Kampagne erfolgen. Außerdem können Daten kleinerer Akteure wertvoll sein, um an größere Akteure heranzukommen. Die Täterinnen und Täter können, sowohl von außen als auch von innen, die Tätigkeiten der Organisation kompromittieren. Es gilt daher, einen „Zero-Trust-Ansatz“ zu etablieren. Dieser Ansatz ist eine Cybersicherheitsstrategie, die jedem Akteur misstraut, der auf IT-Ressourcen zugreifen möchte. Somit sollen Datenlecks verhindert und die Sicherheit des Netzwerks erhöht werden.
Strukturierte Gegenmaßnahmen durch staatliche und wirtschaftliche Akteure sind aufgrund der Professionalität der Tätergruppen geboten.
Die Täterinnen und Täter agieren im höchsten Maße professionell, wobei 61 Prozent dem Bereich der organisierten Kriminalität zuzuordnen sind. Weitere Akteure liegen mit etwa sieben Prozent im Bereich ausländischer Nachrichtendienste, die es u. a. auf Know-how, Informationen über Zusammenhänge etc. oder die Sabotage von Infrastrukturen abgesehen haben. Insbesondere China und Russland stehen als vermutete Ursprünge im Fokus. Auch andere Unternehmen oder Innentäter können Ausgangspunkt von Cybercrime sein (Wirtschaftsschutz 2023 (bitkom.org)).
Dieser komplexen Gemengelage können wir nur mit einem integrierten Ansatz eines gemeinsamen Ökosystems aus Staat, Wirtschaft und Wissenschaft begegnen.
Die kriminellen, internationalen Strukturen agieren nach wirtschaftlichen Grundsätzen und arbeitsteilig, im Sinne des Ansatzes: Cybercrime-as-a-Service.
Es gilt, entstandene Kosten für Angriffe zu decken und Profite zu maximieren. Dabei benötigen die Täterinnen und Täter nicht einmal mehr viel Know-how. Ein Überblick der Strukturen von Cybercrime-as-a-Service zeigt, dass Angreifende mit einem geringen Budget fertige Tools, Angriffsoperationen, Informationen zu möglichen Opfern oder zur schnellen Geldwäsche erlangen können.
Unternehmen und Behörden müssen schnellstmöglich umfassend handeln
Organisationen sind Cybercrime nicht schutzlos ausgeliefert. Grundsätzlich sind Angriffsszenarien und mögliche Verteidigungsmöglichkeiten bekannt. Ein 100-prozentiger Schutz ist jedoch nie möglich.
Über 90 Prozent des Aufwands sollten Unternehmen und Behörden als Vorbereitung vor einer möglichen Kompromittierung durch Cybercrime betreiben. Dies verhindert das Ausmaß von Schäden erheblich. Unternehmen in der Cybersicherheit, sowie polizeiliche, behördliche und privat-gesellschaftliche Akteure können Organisationen dazu kompetent unterstützen. Die Akteure sollten ihren Schutzbedarf feststellen, Bedrohungen (Angriffsvektoren) identifizieren, bzw. kennen und eine Risikoanalyse durchführen, also Bedrohungen auf die eigene IT bewerten, um im Ernstfall geeignete Maßnahmen zu ergreifen.
Der Bereich Cybersicherheit umfasst die Teilbereiche IT-Sicherheit, Prozesse & Strukturen, Human Factor und physische Sicherheit.
Im Fokus der IT-Sicherheit von Organisationen steht das Thema Resilienz. Diese reduziert die Komplexität und ermöglicht besser beherrschbare Systeme. Grundvoraussetzung ist ein kompetenter Personalkörper, bzw. der Zugang zu professionellen Partnern.
Mit diesen Partnern lassen sich Schutzmaßnahmen besprechen und etablieren. Dazu zählen u. a.:
- die Etablierung des Zero-Trust-Ansatzes und Regelwerkes, inkl. von Berechtigungskonzepten und Überlegungen zur Endpunktsicherheit (Schutz von Endgeräten wie PCs, Smartphones usw., die auf ein Netzwerk zugreifen können sowie Wifi-Security)
- die Definition schützenswerter Güter
- die Identifizierung möglicher Angriffsvektoren, zur Implementierung und Anwendung geeigneter präventiver Maßnahmen (Erkennen von Cyberangriffen, Anomalie-Erkennung, Threat Hunting zur Identifikation potenzieller Bedrohungen im Netzwerk, Penetrationstests zur Identifikation von Schwachstellen, das Aufstellen von Passwort-Guidelines, eine IT-Notfallkarte und so weiter)
- die Datensicherheit (Schutz von digitalen Datenbanken vor Schäden, Diebstahl usw.)
- die Überwachung und Wartung der Umgebung
- das Erstellen von Backups, die Standby- und Hardware-Redundanz, auch am Endpoint, ermöglichen
Auch sollten Organisationen Ernstfälle durch Szenarien üben und daraus entstehende Implikationen auf das Geschäftsmodell antizipieren und in Notfallplänen adaptieren (Notfalldokumentation und Handbücher). Dazu sind im Vorfeld geeignete Verträge mit Notfall-Dienstleistern abzuschließen und Kontaktwege zu üben. Dabei sollte der IT-Grundschutz des BSI als Basisstandard etabliert sein. Komplexere Organisationen mit sensiblen Daten sollten über ein Informationssicherheitsmanagement-System (ISMS) nach der ISO/IEC 27001 verfügen.
Details und weitere Maßnahmen sind mit Sicherheitsdienstleistern durchzusprechen. Einen kostenlosen Erstüberblick können ggf. auch die Zentralen Ansprechstellen Cybercrime (ZAC) in den Landeskriminalämtern der Länder oder für den KRITIS-Sektor das Bundeskriminalamt bieten.
Cybersicherheit umfasst nicht nur digitale, sondern auch analoge Komponenten für ein Gesamtkonzept. Insbesondere, wenn eine Organisation einen gezielten Angriffspunkt darstellt, sei es für andere Unternehmen, ausländische Nachrichtendienste, die organisierte Kriminalität, oder weitere Akteure.
Hier sollte ebenso ein analoger Sicherheitsplanungsprozess durchgeführt werden. Dieser umfasst eine Analyse über mögliche Risiken und Schwachstellen. Auch hier gilt: Organisationen müssen sich ihrer wertvollen Daten und Güter bewusst sein, sodass sich Schutzziele, Sicherheitszonen und einzelne Sicherheitsmaßnahmen ableiten lassen. Allein bei der Auswahl scheinbar banaler Aspekte, z. B. von Fensterscheiben (Klassen RC1N – RC6 bzw. einer Zeit zur Überwindung von 1 bis 20 Minuten) oder der Klärung, wer Zugang zum Firmenmüll hat, lassen sich spürbarere Schutzwirkungen erzielen.
Je nach Sicherheitslevel der Organisation sollten auch sämtliche technische Möglichkeiten, z. B. das Abhören mittels Lasertechnologie über Fensterscheiben usw. adaptiert werden, unter Beachtung gesetzlicher Normen und technischer Leitlinien und Standards. Auch hier gibt es die Möglichkeit zur Beratung durch professionelle Dienstleister oder die Polizei.
Am Ende gilt: Cybersicherheit ist Chef- bzw. Chefinnensache und keine ausgelagerte Aufgabe der IT-Abteilung. Grundsätzlich sollten Unternehmen und Behörden 15–20 Prozent ihres jährlichen IT-Budgets für Sicherheitsmaßnahmen im Bereich Cybersicherheit investieren. Sie schützen damit ihre Existenz und Reputation. Wichtig ist dabei, sowohl private als auch staatliche Akteure, vor allem die Polizei, vor und nach Cybercrimevorfällen einzubeziehen. Dies ermöglicht umfassendere Schutzmaßnahmen, die Einleitung von Ermittlungsverfahren gegen die verschiedensten kriminellen Akteure. Das Ziel ist, die Zusammenarbeit mit internationalen Partnern zur Verfolgung der kriminellen Strukturen und Lessons Learned zur Adaption weiterer Maßnahmen für den nächsten Vorfall, zu stärken.
IT-Security-Dienstleister und Polizei stehen nicht in Konkurrenz zueinander, sondern ergänzen sich
Insbesondere wirtschaftliche Organisationen stehen der Kontaktierung der Polizei bei Cybersicherheitsvorfällen skeptisch gegenüber. Oft ist unklar, was die Einbeziehung der Polizei im Vorfeld oder eine Strafanzeige bei einem Vorfall bezwecken kann, bzw. wie sich deren Leistungen von Cybersicherheitsunternehmen unterscheiden.
Im Vorfeld kann die Polizei einen ersten Überblick zu Awareness-Maßnahmen bieten. Dies schafft Organisationen Sicherheit, bevor sie sich professionellen Dienstleistern zuwenden, um mit denen auf Augenhöhe zu sprechen. Im Ernstfall kann die Polizei zusammen mit Dienstleistern Maßnahmen ergreifen, wird jedoch keine IT-Systeme wiederherstellen. Die Polizei legt den Fokus auf die Strafverfolgung der Täterinnen und Täter und nicht auf die Einhaltung von bspw. IT-Sicherheitsrichtlinien der geschädigten Institution. Sie führt internationale Ermittlungen, erhebt Daten von Internet Service Providern, kann Täter und Gruppierungen benennen und zur Zerschlagung der Täter-Infrastruktur beitragen. Auch eine Nachbereitung ist mit der Polizei gestaltbar: Was lief gut, was kann verbessert werden?
Diese Maßnahmen stehen in keiner Konkurrenz zu Cybersicherheitsdienstleistern, sondern ergänzen sich. Unternehmen im gewerblichen Cybersicherheitsbereich verfügen über den Erstzugriff auf Datenspuren, Kenntnis der Opfersysteme, Nähe und Vertrauen zu Geschädigten, und helfen bei der Wiederherstellung der IT-Infrastruktur und ggf. von Daten.
Bei der Auswahl von Dienstleistern sollte berücksichtigt werden, diese bereits vor einem Sicherheitsvorfall einzubeziehen. Dies fördert neben dem Vertrauen der Partner auch die Kenntnis von Strukturen und Prozessen innerhalb der Organisation und führt zu tiefgreifenderen Sicherheitsmaßnahmen, bzw. zur späteren Minimierung von Schäden. Die regelmäßige Verbindung hilft auch, Neuerungen in der Organisation oder beim Dienstleister zu adaptieren und so die Sicherheit zu stärken.
Auch sollte auf die personelle, zeitliche und räumliche Verfügbarkeit von Dienstleistern geachtet werden, um Reaktionszeiten im Ernstfall einzuschätzen: Wann kann wer wo sein?
Ebenso sind Referenzen von Dienstleistern zu beachten, u. a. auch: Zertifizierungen, ob geeignetes Personal vorhanden ist, und ob der Dienstleister ggf. bereits Partner der Polizei oder eigener geschäftlicher Kontakte ist und so weiter. Geeignete Dienstleister lassen sich z. B. über das BSI, Handelskammern, Wirtschaftsverbände (z. B. Durchsicht der Mitgliedschaft) oder Referenzen von Partnern finden. Anfallende Honorare sollten nicht als Kosten, sondern als Investition in die Funktionsfähigkeit der Organisation betrachtet werden.
Cybercrime wird das Wirtschaftsleben in Deutschland in den kommenden Jahren weiter prägen. Durch die steigende Konnektivität der Gesellschaft gehört das Thema Cybersicherheit ins Zentrum aller Sicherheitsüberlegungen einer Organisation. Cyber-Awareness muss in die DNA einer jeden Organisation übergehen. Laut Bitkom investieren befragte Unternehmen mittlerweile 14 Prozent ihrer IT-Ausgaben in das Thema Cybersicherheit, mit steigender Tendenz.
Jede Organisation sollte sich als Teil eines gesamtgesellschaftlichen Ökosystems betrachten. Es gilt, einen ganzheitlichen und nachhaltigen Wirtschaftsschutz zu etablieren. Dabei muss stets ein enger und vertrauensvoller Erfahrungsaustausch mit den Sicherheitsbehörden aufrechterhalten werden.
Deutschland verfügt über die nötigen Ressourcen an Know-how und Vernetzungspotential der relevanten Akteure, z. B. in der Sicherheitskooperation Cybercrime oder der Allianz für Cybersicherheit. Hier gilt es, noch stärker zusammenzuarbeiten und Synergien zu nutzen.
Crisis Prevention 4/2023
Oberstleutnant d. R. Stephan Ursuleac
Referent Verteidigung & Öffentliche Sicherheit
Bitkom e. V.
E-Mail: s.ursuleac@bitkom.org