Holen Sie sich B4BSCHWABEN.de auf Ihr Smartphone.
Klicken Sie auf das Symbol zum „Teilen” in der Toolbar von Safari. Finden Sie die Option „Zum Home-Bildschirm”. Mit einem Klick auf „Hinzufügen” ist die Installation abgeschlossen! Schon ist die Website als App auf Ihrem iOS-Gerät installiert.
B4BSCHWABEN.de: Welche Arten von Cyberangriffen sind derzeit am häufigsten?
Tim Buchwald: Am häufigsten ist in den Medien von Ransomware-Angriffen zu hören, weil diese die größte Auswirkung für die Betroffenen haben. Bei Ransomware-Angriffen verschlüsseln Hacker die Daten von Unternehmen. Sie sperren Unternehmen aus dem eigenen System aus, um anschließend Lösegeld zu fordern. Das hat vor allem für kleine und mittlere Unternehmen häufig zur Folge, dass sie in Zahlungsengpässe geraten oder sogar die Insolvenz droht. Häufig sehen wir aber auch Phishing Kampagnen. Dabei versuchen die Angreifer zum Beispiel Office 365 zu übernehmen. Sie schicken eine E-Mail, die dazu auffordert, sich bei Office 365 für ein Meeting einzuloggen. Wenn man sich einloggt, gibt man seine Zugangsdaten aber auf einer fremden Seite ein. Damit können die Angreifer den E-Mail-Account übernehmen und können zum Beispiel Rechnungen im Namen des Unternehmens verschicken, bei denen aber die IBAN ausgetauscht wurde.
Welche „Einfallswege“ gibt es für die Angreifer?
David Wilpert: Einmal gibt es technische Schwachstellen, Sicherheitslücken bei Systemen und Programmen werden ausgenutzt und die Täter bekommen so Zugriff. Aber der Großteil der erfolgreichen Hackerangriffe ist auf menschliches Fehlverhalten zurückzuführen, durch das die Täter irgendwie ins System kommen. In den meisten Fällen gibt es jemanden, der auf einen Link geklickt oder Daten herausgegeben hat. Wenn die Täter einmal im System sind, können sie ihre Rechte erweitern und dann richtig Schaden anrichten.
Wie sollten sich Unternehmen vor Cyberangriffen schützen?
Wilpert: Wir müssen Menschen zur Firewall machen: Awareness ist ein ganz großer Faktor. Die Mitarbeitenden müssen geschult werden, welche Art von Angriffen es gibt und wie sie diese Angriffe erkennen. Wenn man das seinen Mitarbeitenden beibringt und zusätzlich Grundlagen wie sichere Passwörter mit an die Hand gibt, dann ist schon ein großer Teil bei der Sicherheit erreicht. Zudem gibt es noch technische Schutzmaßnahmen wie Firewalls, diese sind auch enorm wichtig. Übrigens egal wie groß das Unternehmen ist. Jede Firma kann von Angriffen betroffen sein.
Buchwald: Heutzutage ist jedes Unternehmen ein kleines IT-Unternehmen und muss sich mit der IT-Sicherheit beschäftigen. Denn spätestens im Angriffsfall wird man dazu gezwungen. Dann wird es für das Unternehmen im Regelfall teurer, als wenn sie das schon vorher gemacht hätten. Wir empfehlen auch, im Voraus einen Notfallplan zu erstellen, denn bei einem Angriff ist jedes Unternehmen erstmal in einer Chaosphase.
Wilpert: Diesen Notfallplan muss man dann auch mal durchspielen. Es bringt nichts, dass man sich theoretisch Gedanken gemacht hat. Ob der Plan funktioniert, zeigt sich erst in der Praxis.
Was sollte ein Unternehmen machen, wenn es gehackt wurde?
Buchwald: Natürlich erstmal den Notfallplan aktivieren, die Cyberversicherung und die Polizei verständigen. Außerdem innerhalb von 72 Stunden die Datenschutzbehörde informieren, das schreibt die DSGVO vor. Alles Weitere lässt sich aber nicht pauschal sagen. Das hängt von den Unternehmen ab und davon, was genau passiert ist. In manchen Fällen muss man das System isolieren und vom Netz nehmen. Aber nicht jedes Unternehmen kann einfach mal eben vom Netz gehen.
Wie sollten Unternehmen reagieren, wenn die Hacker sie erpressen?
Wilpert: Das ist eine Frage, die wir sehr oft hören. Grundsätzlich empfiehlt die Polizei, kein Lösegeld zu zahlen. In erster Linie sollten die Unternehmen ihren Notfallplan aktivieren und zeitnah die Polizei verständigen. Wichtig ist: Ein Cyberangriff kommt von keinem seriösen Businesspartner, auf das Wort der Hacker kann man sich also nicht verlassen. Die Polizei ist in diesen Fällen beratend tätig, letztlich können wir aber keinem Unternehmen eine Handlungsweise vorschreiben.
Buchwald: Die beste Chance, seine Daten wiederzubekommen ist, wenn man ein funktionierendes Backup hat. Das sollte nicht im gleichen System gespeichert, sondern davon getrennt sein – und offline verfügbar.
Wie läuft es ab, wenn ein Unternehmen die Polizei informiert?
Buchwald: Grundsätzlich sind wir als Quick Reaction Team 24/7 für die Unternehmen da. Bei großen Schadenslagen fahren wir auf jeden Fall zu dem Unternehmen und unterstützen es vor Ort. Das heißt in den meisten Fällen, dass wir Ansprechpartner sind, um mit unserer Erfahrung in Krisensituationen die anfängliche Chaosphase zu bewältigen und zu schauen, dass die wichtigsten Maßnahmen getroffen werden. Dann kommt natürlich unsere Arbeit als Polizei dazu, Strafverfolgungsmaßnahmen einzuleiten. Das heißt, die Beweismittel sichern und mit den entsprechenden Partnern wie IT-Dienstleister, Versicherung und interner IT-Abteilung im Austausch bleiben.
Wilpert: Wichtig ist: Wir beschlagnahmen keine Server oder Computer. Das ist eine Angst, die uns immer wieder begegnet. Wir arbeiten vor Ort und sichern dort dann die Spuren im System. Wir nehmen keinem Unternehmen etwas weg, wir behindern sie auch nicht. Unser oberstes Ziel ist, das Unternehmen wieder arbeitsfähig zu machen. Das hat Vorrang vor unseren Ermittlungen. Die Ermittlungen müssen dann auch warten, wenn sie den Aufbau verzögern würden.
Wie schwer ist es, die Täter zu identifizieren?
Buchwald: Es ist möglich, es gibt auch regelmäßig Erfolge. Aber man muss sich auch bewusst sein, dass das im Cyberraum deutlich schwerer ist. Es hängt etwa davon ab, wie schnell das Unternehmen reagiert. Wir bekommen häufig erst ein paar Wochen später die Mitteilung, auch weil Unternehmen den Angriff nicht gleich bemerken. Cyberspuren sind dann aber vielleicht schon verwischt. Weil die Ermittlungen so schwer sind, setzen wir auf Prävention. Mit unseren Awareness-Veranstaltungen wollen wir schon vor den Angriffen bei den Unternehmen sein.
Wie haben sich aus Ihrer Erfahrung Cyberangriffe über die Jahre verändert?
Buchwald: Es ist auf jeden Fall deutlich professioneller worden. Die Tätergruppen organisieren sich besser. Es gibt nicht die eine Tätergruppe, die von Anfang bis Ende alles macht, sondern die Gruppen teilen die Arbeit auf. Manche suchen nach Sicherheitslücken, melden oder verkaufen sie. Eine andere Gruppe führt den Angriff durch. Das ist mittlerweile alles höchst arbeitsteilig und professionell aufgezogen.
Wilpert: Es gibt sozusagen Dienstleister, wie in einer freien Marktwirtschaft.
Gerade kleinere und mittlere Unternehmen können sich vielleicht keine eigene Abteilung für IT-Sicherheit leisten. Haben Sie hier Tipps, wie diese sich trotzdem vor Hackerangriffen schützen können?
Buchwald: Wichtig ist: IT-Sicherheit ist Chefsache. Das heißt, die Unternehmensleitung muss sich erstmal bewusst sein, dass sie etwas tun müssen. Wenn das eigene Unternehmen es nicht stemmen kann, dann lohnt es sich auf jeden Fall, einen professionellen IT-Dienstleister hinzuzuziehen. Die Kosten dafür sollte man lieber ausgeben, als dass man dann später den Schadensfall hat. Denn der kostet mehr. Außerdem sollten die Unternehmen intern Awareness schaffen, durch Schulungen oder als ersten Schritt auch über unser Angebot. Ganz wichtig ist die Multifaktor-Authentifizierung, um sich vor Phishing zu schützen. Ein einfacher Schritt ist auch, dass die Mitarbeitenden nicht über den Administratoraccount auf ihren Geräten arbeiten. Denn dann kann ein Täter nichts installieren, wenn er den Zugang ausgespäht hat. Eine gut konfigurierte Firewall ist auch essenziell.
David Wilpert und Tim Buchwald sind Ermittler beim Cybercrime Kommissariat, Polizeipräsidium Schwaben Nord. Sie leiten dort das Quick Reaction Team und führen Awareness-Schulungen für Unternehmen durch.
