Erkenntnisse bei Cyber-Lücken werden vielfach nicht umgesetzt

Peter Vahrenhorst, Henning Voß, Dr. Michael Kreutzer und Moderator Hans-Wilhelm Dünn (v.l.n.r.). Quelle: lie

Von den Sicherheitsproblemen in der IT-Technik sind Experten nach Einschätzung von Michael Kreutzer vom Fraunhofer Institut für Sichere Informationstechnologe rund 80 Prozent bekannt, werden aber nicht entsprechend behoben. „Wir sehen uns einer riesigen Welle von Lücken gegenüber, die man hätte fixen können, es aber nicht getan hat“, sagte er am Donnerstag auf der MCC-Konferenz „Cyberrisks for Critical Infrastructures“.

Im Durchschnitt werde ein Cyber-Angriff erst nach 99 Tage bemerkt. Dank zunehmender Awareness habe sich dieser Zeitraum damit bereits von unlängst noch 150 Tagen verkürzt. „Cyber-Sicherheit steht inzwischen überall auf der Agenda“, so Kreutzer. Allerdings wachse mit der Digitalisierung auch die Angriffsfläche für die Cyber-Bedrohungen. Cybersicherheit sei aber die Voraussetzung für eine erfolgreiche Digitalisierung.

Kreuzter nannte eine Reihe von Beispielen für Sicherheitslücken. Neu sei beispielsweise die Erpressung, nachdem die Email-Adresse massenhaft in Newslettern eingetragen worden sei. „Das funktioniert nicht über Botnetze oder Netzwerke, sondern über eine Technik, die für 20 Dollar im Darknet zu kaufen ist“, so Kreutzer. Für die Betroffenen gebe es da wenig Schutzmechanismen. Neu sei auch das Abfangen von Emails, die pdfs mit Rechnungen beinhalten. Letztere würden dann mit neuer Kontonummer versehen und mit der Original-Email an den Empfänger versendet, der die Manipulation nicht erkennen könne.

Wirtschaftsspionage, Sabotage und Datendiebstahl kommt die deutsche Wirtschaft teuer zu stehen. Der Digitalverband Bitkom hatte den dadurch entstandenen Schaden 2017 auf 55 Mrd. Euro geschätzt. Die Dunkelziffer dieser Schäden, die von den Unternehmen ungern in die Öffentlichkeit getragen werden, dürfte höher liegen. Andere Schätzungen gehen von bis zu 100 Mrd. Euro aus. Laut Bitkom waren 53 Prozent der Unternehmen innerhalb der letzten zwei Jahre Opfer von Cyber-Crime. „Melden Sie jeden Vorfall – wir brauchen dies zur Lageeinschätzung und als Nachweis für die Politik, um Fachexpertise aufbauen zu können“, sagte Henning Voß, Referent Wirtschaftsschutz vom Landesverfassungsschutz NRW.

Er wie auch andere Referenten der Tagung empfahlen, Notfall-Pläne aufzustellen. Laut Bitkom-Studie mangelt es daran noch mehr als jedem zweiten Unternehmen. Diese Pläne sollten physisch in der Schublade liegen und auch den Umgang mit Fehlern im Betrieb regeln, sagte Kriminalhauptkommissar Peter Vahrenhorst vom Kompetenzzentrum Cyber-Crime des Landeskriminalamtes NRW. Da Cyber-Angriffe zeitkritisch seien, sei es wichtig, dass die Mitarbeiter sich trauten in Notfallsituationen zu regieren und dies auch, wenn sie selbst falsch gehandelt hätten.

Viele Cyber-Angriffe werden nach wie vor erst durch falsches Handeln von Mitarbeitern möglich. Voß warnte davor, dass unvorsichtig mit vermeintlich unwichtigen Daten umgegangen werde. Über soziale Medien – Karrierenetzwerke oder auch die privaten Netzwerke – bekämen Angreifer eine Fülle von Informationen, die sie für Social Engineering ausnutzen würden. Seien private Interessen erst einmal bekannt, folgten manipulierte Emails mit Schadsoftware.

Autorin: Monika Lier