Vielleicht sollten wir diesen Erpressern sogar dankbar sein. Ja, den Kriminellen, die Ransomware-Viren auf Computer schmuggeln und Lösegeld fordern, bevor sie den gekaperten Computer freigeben und verschlüsselte Dateien wieder entschlüsseln. Was das ist? Abzocke, die jeden treffen kann.
Und zwar wirklich jeden. Woran Experten mit ihren Warnungen und Appellen allzu oft gescheitert sind, das gelingt den Ransomware-Erpressern: Die Botschaft kommt an. Es kann jeden treffen. Das „Ich bin doch gar nicht wichtig genug“-Argument wird pulverisiert. Denn es geht nicht darum, wie wichtig Menschen, Unternehmen oder Institutionen sind – es geht darum, dass sie Lösegeld überweisen.
Dank der Erpresser fällt uns endlich auf, wie erpressbar wir sind. Nicht nur weil wir auf den Zugriff auf die Daten auf unseren Computern angewiesen sind. Wir sind auch angreifbar, wenn wir den Computer ausgeschaltet und das Smartphone beiseite gelegt haben. Das liegt schlicht daran, dass wir uns in einer zunehmend digitalen Welt bewegen. Solange alles funktioniert, nehmen wir das für selbstverständlich. Aber was ist, wenn nicht? Woran liegt es, wenn in unserem Smart Home die Rollläden nicht hochgehen, obwohl draußen die Sonne scheint? Wer steuert, wenn unser Elektroauto links blinkt und doch rechts abbiegt? Was ist passiert, wenn wir zum Telefon greifen und die Leitung offensichtlich tot ist? Waren da Hacker am Werk?

Die Lücken im Netz

Wahrscheinlich. Hacker sind nonstop auf der Suche nach verwundbaren Stellen, um in fremde Systeme einzudringen – und davon gibt es ständig mehr. Die Hersteller vernetzen so ziemlich alles, was zu vernetzen ist: smarte Fernseher und Musikanlagen, Lampen und Türschlösser. Sie scheinen so fasziniert von den Möglichkeiten der Technik, dass sie die Gefahren offenbar unterschätzen. Zahlreiche Geräte werden mit Standardpasswörtern ausgeliefert, die Angreifer oft im Internet finden können. Und Sicherheitsupdates sind durchaus keine Selbstverständlichkeit. Das alles macht angreifbar.
Mit einem über W-Lan gesteuerten Babyphone alleine können Hacker vielleicht wenig Schaden anrichten, aber wenn sie darüber ins Netzwerk gelangen, haben sie bald Zugriff auf Smartphones und Laptops. Auf diese Weise lernte etwa Darren Cauthon eine ganz neue Bedeutung des Wortes Pay-TV kennen: 500 Dollar Lösegeld müsse er zahlen, las der US-Amerikaner plötzlich auf dem Monitor, bis dahin sei sein Fernseher gesperrt.
Ransomware-Angriffe auf Fernseher werden vorerst selten bleiben, sagt Candid Wüest, Principal Security Engineer beim US-amerikanischen IT-Sicherheitsunternehmen Symantec. Das hat allerdings nichts damit zu tun, dass Fernseher besonders gut geschützt sind. Der Grund ist simpler: Es lohnt sich einfach nicht: „Die Kriminellen verdienen mit Angriffen auf klassische Windows-Computer immer noch viel“, sagt Wüest. „Inzwischen nehmen sie immer mehr Firmen ins Visier, da sie dort noch höhere Summen erpressen können.“ 92,4 Prozent aller bekannten Cyberangriffe attackieren Unternehmen, hat das Beratungsunternehmen KPMG ausgerechnet.

Wie erfolgreich sie sind, lässt sich nur schätzen: Unternehmen reden ungern über Cyberangriffe, deren Opfer sie geworden sind – es könnte ihre Reputation und den guten Draht zu Geschäftspartnern belasten.
Verschont wird indes kaum ein deutsches Unternehmen: 56 Prozent von ihnen haben laut Spezialversicherer Hiscox 2016 einen Cyberangriff festgestellt. Das Schlimme daran: Die meisten waren – und sind – schlecht vorbereitet. 62 Prozent der Unternehmen seien „Cyber-Anfänger“, sagt Robert Dietrich, Hauptbevollmächtigter bei Hiscox Deutschland, „eine erschreckend hohe Zahl“. Ähnlich erschreckend sind die Zahlen der KPMG-Studie „Wirtschaftskriminalität in Deutschland 2016“: 24 Prozent der befragten Firmen klagen über Datendiebstahl oder -missbrauch.
Für ihre Attacken nutzen Wirtschaftskriminelle vielfach nicht nur die IT-Systeme, sondern auch unbedarfte Mitarbeiter. Diese können die Einfallstore öffnen oder auch das eigentliche Angriffsziel sein, etwa bei der besonders perfiden Masche des CEO-Frauds.

Auf der Gegenseite: Professionelle Banden

Das Schema: Per Mail oder Telefon geben angebliche Führungskräfte ihrer Buchhaltung die Order, Geld zu überweisen für die Abwicklung angeblicher Geschäfte. Ganz dringend, extrem wichtig und im Zweifelsfall auch noch streng vertraulich. Die Empfängerkonten werden dann sofort geräumt.
Im vergangenen Jahr fiel eine dreistellige Anzahl von Unternehmen in Deutschland auf diese Masche rein, schätzt das Bundeskriminalamt. Eines davon ist der Autozulieferer Leoni, der 40 Millionen Euro auf ein Betrügerkonto überwies. In diesem Fall müssen die Täter Detailwissen über die firmeninternen Abläufe im Zahlungsverkehr gehabt haben. Was vermuten lässt, dass der Angriff von langer Hand vorbereitet war und die Täter sich schon länger in der Firmen-IT festgesetzt haben könnten.
„Die Hackerszene geht heute hochprofessionell vor, wir haben es mit topausgebildeten und international operierenden Banden zu tun“, warnt Bernd König, Principal Evangelist Cyber Security bei T-Systems.
Allerdings ist ein solcher Fall wie bei Leoni kein Cybercrime im engeren Sinn – CEO-Fraudeure zielen nicht auf das IT-System oder die Daten ihrer Opfer, sondern nutzen sie, um sich das Vertrauen gutgläubiger Mitarbeiter zu erschleichen. Ersetzt werden solche Schäden daher von einer Vertrauensschadenversicherung, kurz VSV.
Deutlich häufiger als in diesen spektakulären Fällen von CEO-Frauds öffnen Mitarbeiter ungewollt die Einfallstore für echte Cyberkriminalität, also Attacken auf die IT. Indem sie unbefangen auf Mail-Anhänge klicken. Indem sie beim fünften Bier an der Bar der netten Bekanntschaft Passwörter verraten. Indem sie den zugeschickten USB-Stick in den Computer schieben.

„Der Mensch und sein Umgang mit Technologie ist immer noch eine bedeutende Schwachstelle“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). „Kontinuierliche Trainings für die Mitarbeiter, um das Bewusst- sein für die Bedrohungen zu schärfen, sind also ganz wichtig.“
Ein geschärftes Bewusstsein setzt an bei der Erkenntnis, dass komplette Sicherheit heute nicht mehr möglich ist. „Dazu ist die Angreiferlage zu dynamisch, zu komplex, und das leider gleichzeitig“, sagt T-Systems-Experte König. Für einen guten Cyberschutz brauche es einen Dreiklang aus Prävention, Detektion und Reaktion.
Zur Prävention zählen die üblichen Firewalls und Spamfilter. Sie halten die automatisierten Standardattacken, die jeden Tag tausendfach erfolgen, effektiv ab.
Für die Detektion zuständig ist Technik, die alle Angriffe in Echtzeit anzeigt, aufzeichnet und klassifiziert: So kann ein erneuter Angriffsversuch aus ein und derselben Quelle schneller abgewehrt werden. Falls doch ein Cyberangriff den Schutzwall durchbricht, womit laut König unbedingt zu rechnen sei, muss eine weitere Verteidigungslinie in Echtzeit aktiv reagieren, betroffene Rechner also sofort vom Netz getrennt, automatisch möglicherweise gekaperte Passwörter gesperrt und im Notfall Daten gelöscht werden.

Bitte checken: Wie gut sind wir abgesichert?

Das Angebot an Schutzpaketen und -dienstleistungen ist weit gefächert. Experten raten jedoch, als ersten Schritt den eigenen Cyberschutz zu analysieren. Für einen ersten Check reiche oft schon ein Tag aus, sagt Robert Reinermann, Geschäftsführer der GDV-Tochter VdS Schadenverhütung. Beim VdS-Quick-Audit analysiert ein Experte vor Ort sowohl das technische als auch das organisatorische Schutzspektrum. Reinermann: „Der abschließende Bericht deckt bestehende Sicherheitslücken auf und listet ganz präzise Vorschläge zur Verbesserung der jeweils individuellen Cyber-Security auf.“

Einer der regelmäßig auftauchenden Vorschläge: häufigere Back-ups. Sie verhindern, dass Unternehmen lahmgelegt sind, sollte etwa ein Verschlüsselungstrojaner alle Firmendateien blockieren: Diese Dateien gibt es ja noch mal, als Back-up.
Experten raten zur sogenannten 3-2-1-Regel. Das bedeutet: Drei Kopien aller kritischen Daten sollten auf mindestens zwei unterschiedlichen Medien liegen- Zum Beispiel: eine Kopie auf der Festplatte, eine auf einer CD und die dritte im Cloudspeicher. Mindestens eines dieser Back-ups sollte außerhalb des Unternehmens gelagert werden. Außerdem sollten IT-Systeme, auf denen besonders sensible Daten liegen, vom restlichen Firmennetzwerk abgekapselt werden.
Das legt der speziell für Mittelständler entwickelte Cyber-Security-Standard VdS 3473 nah. „So können sich eingeschleppte Sicherheitsprobleme nicht in der gesamten Infrastruktur ausbreiten“, sagt Reinermann. Und je besser der Schutz, desto leichter können sich Unternehmen gegen Schäden durch trotzdem erfolgreiche Cyberattacken auch versichern.

Endlich versichert gegen Cyberattacken

Das ist neu. Zwar werden Cyberversicherungen bereits angeboten, doch bislang fast ausschließlich für Konzerne. Der GDV schätzt die Einnahmen in diesem Segment auf jährlich höchstens 50 Millionen Euro. Das könnte durch eine Initiative der EU-Kommission schnell anders werden: Die Datenschutz-Grundverordnung, die 2018 greift, wird der Privatsphäre mehr Gewicht zubilligen. Kunden oder Beschäftigte, deren Daten von Angreifern gestohlen wurden, können deutlich höhere Ansprüche gegen Unternehmen wegen mangelhafter Sicherheitsvorkehrungen stellen.
„Verschärfte Sanktionsmaßnahmen und hohe Bußgelder werden die Unternehmen spürbar treffen“, sagt Lucas Will, Leiter Cyber Risk Practice beim Industrieversicherungsmakler Marsh.

1 2>