Grundsätzlich kann jedes Unternehmen Opfer einer Cyberattacke werden. Wie hoch die Bedrohungslage ist, welchen Schutz es gibt und wie man im Ernstfall reagieren sollte, erläutert Matthias Bölle vom Landeskriminalamt Baden-Württemberg.
Angriffe auf die IT-Infrastruktur in Unternehmen und Institutionen nehmen zu. Können Sie Zahlen aus Ihrem Verantwortungsbereich nennen?
Matthias Bölle: Die Cyber-Bedrohungslage für Deutschland ist auf einem anhaltend hohen Niveau. Die Polizeiliche Kriminalstatistik weist über die letzten Jahre einen stetigen Anstieg der Cybercrime aus. Es lassen sich aus dem Datenbestand der PKS jedoch keine Rückschlüsse auf Geschädigtengruppen, wie Unternehmen oder Institutionen, ziehen.
Gibt es Branchen, die besonders häufig Ziel von Hackerangriffen werden?
Bölle: Alle Unternehmensbranchen können von Cyberangriffen betroffen sein; von den Kriminellen bevorzugte Branchen sind nicht zu erkennen.
Was macht Unternehmen für Hacker und das sogenannte Cybercrime interessant?
Bölle: Täterstrukturen und Tätermotivation sind im Bereich der Cybercrime unterschiedlicher Art. Die meisten Attacken werden von Cyberkriminellen begangen, deren Motivation finanzieller Natur ist. Dies trifft insbesondere auf Ransomware-Gruppierungen und über das Internet begangene Betrugsstraftaten zu.
Sind das die typischen Cyberattacken?
Bölle: Die Anzeigen bei der Zentralen Ansprechstelle Cybercrime beim Landeskriminalamt Baden-Württemberg mit gemeldeten hohen betriebswirtschaftlichen Schäden umfassen zwei auffällige Schwerpunkte: Ransomware und E-Mail-Betrug.
Wie können sich Unternehmen vor Cyberkriminalität schützen?
Bölle: Die Angreifer handeln oft hochprofessionell, sind jedoch grundsätzlich immer auf das Ausnutzen bestimmter Angriffsflächen angewiesen. Hier sind zum Beispiel unvorsichtige oder ungenügend sensibilisierte Mitarbeitende zu nennen. Das regelmäßige Informieren der Belegschaft über aktuelle Betrugsmaschen, Phishingmails oder Gefahren beim Öffnen bestimmter Dateianhänge, aber auch bezüglich der adäquaten Reaktion, falls doch einmal versehentlich falsch gehandelt wurde, sind hier wichtige präventive Aspekte.
Gibt es weitere Angriffspunkte?
Bölle: Eine Angriffsfläche stellen Sicherheitslücken von IT-Systemen dar, die mit dem Internet verbunden sind, oder die mangelnde technische Absicherung von IT-Systemen. Ein gutes Patchmanagement, sprich Anwendungen zeitnah mit Sicherheitsupdates zu versorgen, spielt eine große Rolle, um potentielle Angriffsflächen so klein wie möglich zu halten. Weitere Beispiele sind fehlende Mehr-Faktor-Authentifizierung für Accounts mit weitgefassten Rechten oder für Fernzugriffe auf das Firmennetzwerk.
Kann man Schäden vorbeugen?
Bölle: Hinsichtlich Ransomwareangriffen ist im Ernstfall ein sicheres Backup-Konzept von existentieller Bedeutung. Hierbei ist wichtig, dass das Backup auf mindestens zwei unterschiedlichen Medien erfolgt und mindestens ein Backup physisch vom Netzwerk getrennt ist. Im Hinblick auf große Netzwerke ist die Wiederherstellung von IT-Systemen mittels Backup ein fachlich aufwändiger Prozess, der regelmäßig geübt werden sollte. Das Bundesamt für Sicherheit in der Informationstechnik hat dazu ein Dokument mit dem Titel „Ransomware: Bedrohungslage, Prävention & Reaktion 2021“ veröffentlicht, das Geschäftsführern und IT-Fachkräften dringend empfohlen wird.
Reicht das aus, um sich abzusichern?
Bölle: Je nach ausgenutztem Angriffsvektor ist es im Einzelfall schwer bis unmöglich, sich durch präventive IT-Sicherheitsmaßnahmen zu hundert Prozent abzusichern. Wichtig ist daher, sich bereits im Vorfeld hinsichtlich reaktiver Maßnahmen vorzubereiten, um im Ernstfall Cyberangriffe bestmöglich bewältigen zu können und schnellstmöglich wieder handlungsfähig zu sein. Im Vergleich mit Unternehmen, die sich organisatorisch gut auf einen möglichen Cyberangriff eingestellt haben, brauchen schlecht vorbereitete Unternehmen viel länger, um ihre IT-Systeme wieder lauffähig zu bekommen. Die Zentrale Ansprechstelle Cybercrime, kurz ZAC, empfiehlt daher die Vorbereitung für den Ernstfall, sprich: sich auf den Ausfall der IT vorzubereiten und die Aufrechterhaltung der Arbeitsfähigkeit geschäftskritischer Bereiche zu üben. Es sollte ein Notfallkonzept mit abzuarbeitenden Arbeitsschritten und allen relevanten internen und externen Kontaktdaten erstellt und allen zuständigen Mitarbeitenden auch in ausgedruckter Form zur Verfügung gestellt werden.
Und was ist im Fall einer Cyberattacke als erstes zu tun?
Bölle: Das Landeskriminalamt Baden-Württemberg bietet mit der ZAC eine spezialisierte Kontaktstelle für Wirtschaftsunternehmen und Behörden zur Beratung und Anzeigenerstattung an. Die Mitarbeiter können auf langjährige polizeiliche Erfahrung und Expertise im Umgang mit Angriffen auf IT-Infrastrukturen zurückgreifen.
Und wie ist dann der Ablauf?
Bölle: Neben Hinweisen zu notwendigen Sofortmaßnahmen, um die Attacke bestmöglich einzudämmen, erhalten die betroffenen Unternehmen weitergehende Hinweise zur effektiven Vorfallsbewältigung im konkreten Fall. Die Maßnahmen werden anhand der jeweiligen Umstände mit dem betroffenen Unternehmen abgestimmt. Hierfür arbeiten die Cybercrime-Fachstellen der Polizei eng mit den Betroffenen und gegebenenfalls mit von diesen beauftragten IT-Dienstleistern zusammen, um relevante Erkenntnisse auszutauschen. Die Forensiker der Polizei sichern in enger Abstimmung mit dem betroffenen Unternehmen und unter jederzeitiger Rücksichtnahme auf deren Interessen, relevante Spuren. Erkenntnisse aus der Forensischen Analyse hinsichtlich des Angriffsvektors, der ausgenutzten Schwachstellen sowie der Zeitdauer und des Umfanges der Kompromittierung werden mit den Geschädigten geteilt und können eine wichtige Hilfestellung für die weitere Absicherung der IT-Systeme sein. Auf der Homepage der ZAC stellt das Landeskriminalamt darüber hinaus aktuelle Warnmeldungen zu neuen Phänomenen oder Modi Operandi, aber auch allgemeine Hinweise und Handlungsempfehlungen bereit, etwa in Bezug auf Prävention und Reaktion im Falle von Ransomwareangriffen.
Lassen sich die Täter ermitteln?
Bölle: Ein hohes Maß an kriminalistischer Erfahrung und Kompetenz, gepaart mit tiefgreifenden IT-Kenntnissen, sind für die Ermittlungsarbeit unabdingbar. Mit akribischer Ermittlungsarbeit ist es möglich – trotz der hohen Professionalität bei den Cyberattacken – Spuren bis zu den Akteuren zurückzuverfolgen.
Interview: Dirk Täuber
Zur Person: Matthias Bölle ist Leiter der Abteilung Cybercrime und Digitale Spuren beim Landeskriminalamt Baden-Württemberg.