“Security is not a static condition”
Cyberkriminalität ist eine reale Bedrohung wachsenden Ausmaßes. VIVID sprach mit dem Kölner Oberstaatsanwalt und Cybercrime-Experten Markus Hartmann über das hochgradig professionale Niveau von Angriffen im Netz – und warum das Thema Sicherheit zwingend Chefsache ist.
Herr Hartmann, Wie gravierend ist die Bedrohung aus dem Netz?
Cyberkriminalität ist heute ein durch und durch professionalisiertes Geschäftsmodell. Wir haben arbeitsteilige Infrastrukturen auf Seiten der Kriminellen, die eine ganze Reihe von Services anbieten, die Cyberkriminalität so erfolgreich machen: Die eine Gang sucht nach Sicherheitslücken und veräußert sie an die nächste Gruppierung. Die wiederum ist darauf spezialisiert, in die Unternehmen einzudringen, Daten zu verschlüsseln und Lösegeld zu erpressen. Wieder andere Gruppierungen sind zuständig für Finanztransaktionen. Cybercrime ist ein durchindustrialisiertes Geschäftsfeld geworden, das aus Sicht der Täter höchst erfolgreich und lukrativ ist. Mit jeder Lösegeldforderung wächst der Markt. Zudem agieren immer mehr staatlich gelenkte oder motivierte Akteure, jenseits der finanziellen Motivation und betreiben Cyberspionage, Cybersabotage oder den Zugriff auf Intellectual Property. In beiden Bereichen beunruhigt uns die zunehmende Quantität und Qualität der Angriffe.
Wie hat sich die Kriminalität im Netz geändert?
Die 18-jährigen Hacker, die wir anfangs aus den Kellern holen mussten, weil sie Bankdaten gehackt haben, sind nicht mehr unsere Klientel mit der größten Aufmerksamkeit. Immer mehr Kriminelle gehen ins Netz, weil sich immer mehr Leben ins Netz verlagert. Früher wurde noch sozusagen mit der Schrotflinte geschossen, in der Hoffnung, dass der Angriff mit der Schadsoftware jemanden trifft. In der zweiten Phase gab es schon gezielte Angriffe auf Unternehmen, von denen sich Kriminelle Lösegeld erhofft haben. Die dritte Phase, in der wir uns jetzt befinden, läuft auf komplexem, höchst professionellem Niveau. Ein Beispiel: Sobald ein Software-Update draußen ist, analysieren es die Täter, um die ursprüngliche Sicherheitslücke zu finden. Ab da beginnt ein Wettlauf. Findet der Täter zuerst die Sicherheitslücke, während ein Unternehmen das Update noch nicht eingespielt hat, hat er gewonnen.
„Früher wurde noch sozusagen mit der Schrotflinte geschossen, in der Hoffnung, dass der Angriff mit der Schadsoftware jemanden trifft.“
Was sind die größten Cyberbedrohungen für Unternehmen?
Das derzeit alles überragende Thema ist die so genannte Ransomware, eine schädliche Software, die Daten im Unternehmen verschlüsselt und bei der die Täter für die Freigabe des Entschlüsselungs-Keys ein Lösegeld fordern. Sie legt ein Unternehmen komplett lahm. Viele Konzerne haben daraufhin ihre Backup-Strukturen verbessert. Heute erpressen Täter nicht nur mit der Entschlüsselung, sie klauen vorab Kundendaten und drohen zusätzlich damit, diese zu veröffentlichen. Eine Gefahr gerade für innovative Unternehmen wie Start-Ups und Hidden Champions im Mittelstand ist die Entwendung intellektueller Güter. Die dritte Bedrohung sind Vermögensschädigende Delikte wie der CEO Fraud, bei dem Täter sich als Unternehmenschef ausgeben und Mitarbeiter verleiten, größere Überweisungen ins Ausland zu überweisen.
Sollte man bei einem Angriff Lösegeld zahlen?
Das ist eine ganz komplexe Fragestellung, bei der man sich immer bewusstmachen sollte: Wer zahlt, nährt den Erpressungsmarkt. Die Zeiten, in denen man sich noch mit einem halben Bitcoin freikaufen konnte, sind vorbei. Die Forderungen sind mittlerweile angepasst an das Finanzniveau der angegriffenen Unternehmen und reichen oft vom sechsstelligen und bis zum siebenstelligen Bereich. Es ist uns viel lieber, wenn Unternehmen sich vorher so aufstellen, dass sie im besten Fall gar nicht kompromittiert werden, und wenn doch, dass sie so gute Backup-Strukturen haben, um davon im Geschäftsbetrieb nicht dauerhaft eingeschränkt zu werden.
Wie kann ich mich als Unternehmer:in konkret vor Cyberkriminalität schützen?
Sich diese Frage überhaupt zu stellen, ist der erste Schritt. Das größte Defizit ist, dass Cybersicherheit nicht zur Chefsache gemacht wird, sondern Angelegenheit derer ist, die irgendwo im Keller in der IT-Abteilung sitzen. Das ist ein ganz dringendes Problem. Da die Infrastrukturen in den Unternehmen so unterschiedlich sind, gibt es leider nicht die eine Checkliste. Man muss analysieren, wo die eigenen Strukturen angreifbar sind – technisch und inhaltlich dafür sorgen, dass qualifizierte Mitarbeiter oder Dienstleister in der Lage sind, diesen andauernden Monitoring-Prozess auch durchzuführen. Sicherheit ist kein statischer Zustand. Sicherheit erreiche ich dadurch, dass ich mich jeden Tag aufs Neue frage: Wo sind Risiken hinzugekommen und wie bewerte ich diese? Diesen Prozess dauerhaft und iterativ im Unternehmen zu etablieren ist die einzige Antwort auf die Frage. Ich kann heute sicher sein und morgen vergessen, einen Patch einzuspielen und dann steht die Tür sperrangelweit offen.
Wo lauern die Gefahren in der Zukunft?
Der Grad der Professionalisierung auf Seiten der Täter ist aus unserer Sicht noch nicht ausgeschöpft. Wir werden noch mehr und qualitativ noch hochwertigere Angriffe sehen. Und: Wir werden uns weniger auf einer unternehmerischen, vielmehr gesamtgesellschaftlichen Ebene kritisch Rechenschaft darüber abgeben müssen, wie gefährdet wir in unserer eigenen Infrastruktur sind. Denn kein Unternehmen kann arbeiten, wenn die staatlichen Grundinfrastrukturen nicht funktionsfähig sind. Mit mehr digitalen Infrastrukturen steigt natürlich auch die digitale Angreifbarkeit. Der Fall des Universitätsklinikums in Düsseldorf etwa hat sehr deutlich gezeigt, dass ein einfacher Ransomware-Angriff Gesundheit, Gesundheitsfürsorge und sogar Leben aufs Spiel setzen kann. •
Über ZAC NRW
Die ZAC NRW führt Cybercrime-Verfahren von herausgehobener Bedeutung. Sie ist darüber hinaus zentrale Ansprechstelle für Fragestellungen aus dem Bereich der Cyberkriminalität für Staatsanwaltschaften und Polizeibehörden Nordrhein-Westfalens und anderer Länder sowie des Bundes. Ferner steht sie als Kontaktstelle für die Zusammenarbeit mit Wissenschaft und Wirtschaft zur Verfügung, soweit dies mit ihrer Aufgabe als Strafverfolgungsbehörde vereinbar ist.
Markus Hartmann
Senior public prosecutor as head of department at the Cologne public prosecutor's office
Head of the Central and Contact Point Cybercrime North Rhine-Westphalia (ZAC NRW)
Since 2006, public prosecutor, initially in the general and white-collar criminal divisions (corruption offences)
Since 2008 responsible for cybercrime and ICT offences
Founding head of the ZAC Cologne (predecessor of the ZAC NRW)
Head of the Central and Contact Point Cybercrime North Rhine-Westphalia since its foundation in April 2016
2016: 5 public prosecutors in the Central Unit, end of 2021: 38 public prosecutors in the Central Unit
Interview Karolina Landowski
Pictures istock; Andreas Brück, ZAC NRW