Bitkom sensibilisiert Unternehmen und Behörden für den Bereich Cyberkriminalität. Und warnt vor aktuellen Gefahren. In Nordrhein-Westfalen, Baden- Württemberg, Rheinland-Pfalz, Hessen, Sachsen und Niedersachsen arbeitet Bitkom dafür mit den Landeskriminalämtern zusammen. Erkenntnisse des Bundeskriminalamtes, des Bundesamtes für Verfassungsschutz und der Allianz für Cybersicherheit werden mit einbezogen. Das Ziel: ein IT-Sicherheits-Ökosystem aufzubauen zwischen Staat, Wirtschaft und Wissenschaft. Darüber hat Bitkom-Mitarbeiter Stephan Ursuleac mit dem Diplomatischen Magazin gesprochen.
DM: Sind Cyber-Angriffe für die deutsche Wirtschaft ein Thema?
Stephan Ursuleac: Unbedingt. Im letzten Jahr sind über 200 Milliarden € Schaden durch Sabotage, Spionage und Datendiebstahl entstanden. Es geht oftmals um Kommunikationsdaten, um Email-Inhalte; darum herauszufinden, welche Strukturen gibt es, welche Beziehungen zu anderen Geschäftspartnern gibt es, und um Kundendaten. Je sensibler die Daten sind, desto mehr Erpressungspotenzial ist da, zum Beispiel Patente u.ä.
DM: Geht es dabei auch um Wirtschaftsspionage?
Stephan Ursuleac: Was wir in unserer Studie herausgefunden haben, ist, dass in etwa 8 % aller Angriffe klassische Spionageaktivitäten involviert ist, d.h. dass ausländische Nachrichtendienste dahinter vermutet werden. Das Hauptangriffsziel sind u.a. wissenschaftliche Einrichtungen, wie Universitäten oder Forschungseinrichtungen. Und im Zuge des Ukraine Krieges ist es zudem die Verteidigungsbranche, die angegriffen wird; es wird versucht, Knowhow abzuziehen bzw. Strukturen lahmzulegen.
DM: Das Thema Phishing und Ransomware scheint sich verändert zu haben durch Künstliche Intelligenz. Europol sagt, Künstliche Intelligenz sei eine “ideale Ressource für Kriminelle”. Warum ist das so?
Stephan Ursuleac: Phishing Mails kennen wir ja schon seit vielen Jahren. Sie sind noch immer das Haupt-Einfallstor. Über Phishing-Mails wird versucht, an bestimmte Daten heranzukommen, bzw. es wird versucht, dass der Mail-Empfänger auf einen Link klickt, der infizierte Dateien enthält. Früher waren Phishingmails geprägt durch schlechte Rechtschreibung, Grammatik oder dürftige oder fehlerhafte Formulierungen der Email-Texte. Aber mittlerweile sehen wir, dass diese Bereiche immer professioneller werden. Und das hat vor allem mit der Künstlichen Intelligenz zu tun, die perfekte Texte generiert. Die durch KI generierten Massenmails werden in mehreren Varianten millionenfach verschickt. Und das System kann in Sekundenschnelle erfolgreiche Varianten auswerten: Die werden dann dementsprechend weiterverfolgt. Also mit automatisierten Prozessen kann man mit geringem Aufwand größere Erfolgsquoten erzielen. Irgendwann wird irgendjemand auf den Link klicken und sich vielleicht etwas herunterladen oder Informationen preisgeben.
DM: Was können Unternehmen tun, um sich zu schützen?
Stephan Ursuleac: Grundsätzlich gilt: Jedes Unternehmen und jede Behörde kann Opfer eines Cyberangriffs werden. Was wir auch ganz oft feststellen, ist die Einstellung, “ich bin viel zu unbedeutend, eine kleine kommunale Verwaltung oder ein kleines Unternehmen. Ein paar Mitarbeiter irgendwo auf der Schwäbischen Alb oder so, wer sollte mich jetzt schon großartig angreifen?” Diese Angriffe laufen jedoch automatisiert ab, und nicht immer gezielt gegen einzelne Akteure, es betrifft alle.
Jedes Unternehmen, jede Behörde sollte daher über ein Sicherheitskonzept und über Notfällpläne verfügen, um dann dementsprechend Resilienz aufzubauen. Im Vorfeld gilt es zu überlegen: Wer hat Zugriffsrechte innerhalb des Unternehmens- Netzwerks oder innerhalb einer Behörde, damit man sie gegebenenfalls einschränken kann. Was sind meine sensibelsten Daten und welche Szenarien und Gegenmaßnahmen sind denkbar? Es gilt, über autarke Backups zu verfügen, um für den Fall eines Angriffs schnell wieder arbeitsfähig zu werden. Gibt es Ersatz-IT für den Notfall? Kann man noch kommunizieren? Diese Art der Vorsorge sollte existieren. Auch Gespräche mit Sicherheits-Beratungsunternehmen und der Polizei sind wichtig. Da gibt es unterschiedliche Zusammenarbeiten, je nach Bundesland. Auch die analogen Aspekte sollte man nicht vernachlässigen: Wer kommt in das Gebäude oder auf das Firmengelände? Zum Beispiel Dienstleister, die ganz normalen Zutritt haben usw.
Zu den Vorsorge-Maßnahmen gehört natürlich auch immer der Human Factor. So sollten u.a. Schulungen des Personals, z.B. im Bereich Phishing und Social Engineering durchgeführt werden. Schließlich müssen Strukturen und Prozesse geklärt werden, um im Falle eines Angriffs handlungsfähig zu sein. Habe ich verfügbare Partner, die mich unterstützen? Wer ist wann und worüber zu informieren (z.B. Meldepflichten)? Dabei gilt: IT ist Chef/-in Sache!
DM: Was sollten Unternehmen tun, deren Daten erbeutet worden sind, und es zum Beispiel zu Lösegeldforderungen kommt?
Stephan Ursuleac: Es muss ganz klar sein, wenn das Unternehmen, die Behörde in eine solche Situation reingerät, welche Struktur greift. Wer ist in der Verantwortung? Was tut der Krisenstab etc.? Das muss auf jeden Fall im Vorfeld geklärt sein.
Die Polizei empfiehlt immer: Kein Lösegeld zahlen! Wir wissen nicht, ob diese Lösegeldforderung wirklich dazu führt, dass die verschlüsselten Daten dann tatsächlich wieder entschlüsselt werden. Es kann auch sein, dass Nachforderungen kommen, nach dem Motto: Wer bereit ist, 100.000 € zu zahlen, zahlt auch 200.000 €. Man könnte auch durch die Zahlung gegen Sanktions-Bestimmungen verstoßen. Es gibt auf europäischer Ebene Sanktionen z.B. gegen Nordkorea beim Zahlungsverkehr. Unternehmen machen sich daher gegebenenfalls strafbar. Unternehmen mit Geschäftsbeziehungen in die USA könnten gar in den Verdacht geraten, eine Art Terrorfinanzierung zu unterstützen, wenn sie auf einer Liste von Unternehmen landen, die Terrororganisationen finanzieren. Die Praxis ist jedoch oft eine Grauzone. Droht Unternehmen zum Beispiel bei Nichtzahlung die Insolvenz, stehen sie mit dem Rücken zur Wand. Ein solches Szenario sollte unbedingt mit den Behörden besprochen werden.
Interview Marie Wildermann