Weyhe - Von Sigi Schritt. Nicht nur Großkonzerne, sondern auch kleine und mittelständische Unternehmen sind laut dem Weyher Wirtschaftsförderer Dennis Sander von Cyberattacken und Hackerangriffen bedroht. IT-Experte Peter Debus kennt das Vorgehen der Hacker.

Welche Daten stehen im Fokus der Hacker?

Im Grunde ist das sehr unterschiedlich. Geht es beispielsweise darum, Lösegeld zu fordern nach einem Angriff durch einen Verschlüsselungstrojaner, so hat der Angreifer zum großen Teil auf Office-Dokumente abgesehen. Auf der anderen Seite gibt es auch Angriffe, die es speziell auf Kreditkartendaten abgesehen haben. Im Grunde sind fast alle Daten gefährdet.

Wie schwer ist es für Hacker, solche Daten abzugreifen?

Leider oftmals nicht sonderlich schwer. Es gibt zwei große Probleme: Die Systeme und die Technologien dahinter entwickeln sich mit rasender Geschwindigkeit weiter. Hierbei liegt der Fokus aber immer auf Merkmale wie Schnelligkeit, Komfort und anderen technischen Fortschritten, aber fast nie auf Sicherheit. Zum anderen haben wir in Deutschland jahrelang das Thema IT-Sicherheit völlig unterschätzt. Sowohl in der Politik, als auch in der Wirtschaft, hat man die Bedrohungslage nicht erkannt.

Wo und wie werden abgegriffene Daten verwendet?

Es gibt zahlreiche Szenarien, die denkbar sind. Bank- und Kreditkartendaten werden oftmals im Darknet angeboten und verkauft. Handelt es sich um personenbezogene Daten, werden diese ebenfalls verkauft und dienen oft dazu, Identitätsdiebstähle durchzuführen. Hierbei nimmt eine Person, die komplette Identität des Opfers im Internet an. Anschließend wird zum Beispiel Ware auf den Namen des Opfers gekauft. Natürlich gibt es auch den vorher angesprochenen Fall von Ransomware. Die Daten werden dann nicht gestohlen, sondern verschlüsselt und für den Besitzer unbrauchbar gemacht. Anschließend erhält er eine Lösegeldforderung, wenn er seine Daten wiederhaben möchte.

Was passiert, wenn Hacker personenbezogene Daten von Kunden erbeuten – inwieweit sind Unternehmen, dessen Daten „abgegriffen“ wurden, haftbar für vertrauliche Informationen Dritter?

Wer nachweisen kann, dass sinnvolle und hohe Sicherheitsvorkehrungen getroffen hat, wird vermutlich in den seltensten Fällen damit rechnen müssen, in die Haftung genommen zu werden. Anders sieht es aber aus, wenn sich nach einem Cybervorfall herausstellt, dass der Betroffene nicht dafür gesorgt hat, die Messlatte für einen Angreifer hochzulegen, beispielsweise wenn keine Hardware-Firewall, kein sinnvoller Virenschutz oder keine Datensicherung vorhanden war. Laut Gesetzgeber ist jeder Unternehmer verpflichtet, Prävention gegen solche Angriffe zu betreiben. Tut er dies nicht, und es werden im schlimmsten Fall bei ihm Daten von Dritten gestohlen, wird es dann schnell unangenehm für ihn.

Ist der Live-Hack ein reales Szenario?

Wir können natürlich keinen komplexen Angriff zeigen. Hacker benötigen manchmal Stunden, Tage, einige sogar Monate.

Wer ist stärker betroffen - sind es eher Unternehmen oder private Internet-Nutzer?

Beide, aber auf unterschiedliche Art und Weise. Bei Privatpersonen sind es fast ausschließlich zufällige Angriffe. Das bedeutet, dass das Opfer nicht speziell ausgewählt ist, sondern zufällig ausgewählt wird. Bei Unternehmen ist dies zwar auch oft der Fall, dennoch gibt es aber hier zielgerichtete Angriffe, bei denen es speziell darum geht, dieses ausgewählte Unternehmen anzugreifen. Die Motive sind hier auch wieder zahlreich: Für den Angreifer wertvolle Daten, Konkurrenzkampf, Rache von unzufriedenen Mitarbeitern und Lösegeldforderungen.

Sollten Unternehmen eher auf interne oder externe Expertise setzen?

Kleine und mittelständische Unternehmen können im Grunde nur auf externe Expertise setzen, da sich der Aufwand für eine interne nicht lohnt.

Wie können sich Betriebe mit möglichst geringem Aufwand vor Angriffen schützen?

Der Aufwand muss im Verhältnis zum Risiko oder aber zur Wichtigkeit der zu schützenden Daten stehen. Grundsätzlich ist aber ein Grundschutz für jedes Unternehmen unabdingbar. Dazu gehört eine Hardware-Firewall, ein sinnvoller Virenschutz und eine Datensicherung. Ohne einen dieser Bausteine handelt der entsprechende Unternehmer höchst fahrlässig. Dies ist auch für kleine Unternehmen heutzutage ohne gigantischen Aufwand zum Glück machbar. Wichtig sind aber außerdem organisatorische Dinge, wie einen Plan, Updates einzuspielen oder Arbeitsanweisungen, zum Umgang mit Daten. Je höher das Risiko ist, dass jemand an meine Daten will, weil ich zum Beispiel sehr bekannt bin, oder aber die Brisanz der Daten, die es zu schützen gilt, desto höher muss natürlich auch der Aufwand sein, diese zu schützen. Von einem einfachen Grundschutz bis hin zu fein abgestimmten Sicherheitssystemen ist also alles möglich. Positiv ist aber, dass jeder Unternehmer mit jedem Budget heute etwas für die IT-Security tun kann.

Was können Unternehmen nach einem Datenklau tun?

Die Frage ist sogar, was sie tun müssen, denn wenn personenbezogene Daten abgeflossen sind oder zumindest der Verdacht besteht, muss dieser Fall gemeldet werden. Nach einem Datendiebstahl ist es für die Unternehmen oft schwierig, da in vielen Fällen dafür kein Notfallplan existiert. Zudem muss an vielen Stellen gleichzeitig agiert werden. Beispielsweise, Beweise sichern, Lauffähigkeit schnell wiederherstellen, Kunden informieren, Mitarbeiter informieren und einweihen. Hierbei kann schnell der Überblick verloren gehen und im schlimmsten Fall werden grundlegende Fehlentscheidungen getroffen, die Beweise zerstören oder sogar Angreifern weiteren Zugriff ermöglichen. Ein passendes Beispiel, was oft getan wird, in den wenigsten Fällen aber hilfreich ist, ist das sofortige Herunterfahren und Abschalten aller Systeme. Daher raten wir dazu, keine Kurzschlussreaktionen zu tätigen und Ruhe zu bewahren. Anschließend sollte ein Fachmann kontaktiert werden, der dann alle Schritte nach einem Notfallplan durchführt und organisiert. Werden wir zu einem Forensik-Einsatz gerufen, ist es für uns meistens am besten, wenn noch möglichst wenig getan wurde vorher.

Gibt es in ihrem Bereich einen Fachkräftemangel?

Absolut, ja! Sowohl im normalen IT-Bereich aber noch viel mehr im Bereich der IT-Security fehlt das Fachpersonal. Sie können sich vorstellen, dass eine ohnehin bereits angespannte Situation nicht dadurch besser wird, dass es nur wenige Leute gibt, die sich der Problematik überhaupt annehmen können. Auch hier hat man leider in den letzten Jahren in Deutschland kaum etwas getan und die Situation nicht ernst genommen. Die nächsten Jahre müssen wir dies unbedingt aufholen.

Vortragsabend im Weyher Rathaus

