IT-Sicherheit
Mit zunehmender Digitalisierung werden auch Fragen der IT-Sicherheit und des Datenschutzes drängender. Die Kriminellen rüsten auf und agieren immer professioneller. Peter Vahrenhorst kennt sich aus. Er ist Kriminalhauptkommissar vom Landeskriminalamt NRW und zuständig für die Prävention von Cybercrime mit der Zielrichtung ,,Wirtschaft“. Ein Gespräch über Menschen, Maschen und Moneten.
IHK: Herr Vahrenhorst, sind Sie auch schon mal selbst auf eine Masche von Cyberkriminellen reingefallen?
Vahrenhorst: Ja, definitiv. Das gehört schon fast zum Alltagsrisiko – erst recht, wenn man seit 23 Jahren in dem Bereich tätig ist. Wichtig ist allerdings, dass man aus dem Fehler lernt und ihn nicht nochmal begeht.
Die Angriffe werden immer besser, zielgerichteter und effizienter. Erpressungsversuche nehmen zu. Auch für Experten wird es schwieriger, Angriffe auf Anhieb zu erkennen. Welche Chancen haben kleine Unternehmen, um sich überhaupt gegen solche Attacken zu wappnen?
An erster Stelle müssen Unternehmen das Thema ernst nehmen. Es ist ein Irrglaube zu meinen, man wäre als Betrieb nicht groß genug, um in den Fokus der Hacker zu gelangen. Jeder Betrieb kann Opfer eines Ransomwareangriffs werden – und sei es nur durch Zufall. Bei dem Angriff auf die Universitätsklinik Düsseldorf war anscheinend das eigentliche Ziel die Universität und nicht das Klinikum. Die Hacker haben aber aus Versehen den falschen Adressaten gewählt – das Klinikum hatte den Schaden. Daher ist es für jede Organisation elementar, sich auf den IT-Sicherheitsvorfall vorzubereiten.
Wie sehen heute die gängigen Angriffe auf Unternehmen aus?
Es gibt natürlich die ausgeklügelten Angriffe wie jüngst bspw. über IT-Dienstleister bei dem Kaseya-Vorfall. Wesentlich verbreiteter und Haupteinfallstor Nummer 1 ist jedoch weiterhin die Mail in das Unternehmen, der anschließende Klick auf die vermeintliche Rechnung oder den Anhang und damit verbunden die Installation der Schadsoftware. Dazu kommen vielfach noch technische Schwachstellen: Beispielsweise, wenn das Patchmanagement nicht funktioniert. Oder es finden keine regelmäßigen Back-ups statt. Klar, es gibt keinen 100 %-igen Schutz. Aber man muss es den Angreifern dennoch so schwierig wie möglich machen. Der vermeintliche USB-Stick, der auf dem Parkplatz herumliegt und Schadsoftware enthält, spielt dagegen so gut wie keine Rolle mehr.
Gerne wird das Klischee des bleichen Nerds gezeichnet, der mit Kapuzenpulli bei Pizza und Energydrink im Keller sitzt und hackt. Stimmt dieses Bild? Oder wer sind die Angreifer? Und worauf haben sie es in der Regel abgesehen?
Die bleichen Hoodieträger gab es schon in den 1990ern. Mittlerweile funktioniert das Geschäft aber deutlich professioneller. Wir sprechen hier von Crime-as-a-service. Das Vorgehen ist arbeitsteilig organisiert: Einer stellt Schadsoftware bereit, ein anderer liefert Mailadressen und wieder andere formulieren die Nachrichten an die Opfer. Gleichzeitig werden eine 24/7-Bereitschaft und sogar Erfolgsgarantien geboten. Es hat sich ein eigener Wirtschaftszweig entwickelt.
Der überwiegende Teil von Unternehmen hat weniger als 20 Beschäftigte und keine eigene IT-Abteilung. Was raten Sie diesen Unternehmen, was sind die drei wichtigsten Maßnahmen, um das Schutzniveau zu steigern?
Als erstes: Die Bedrohungslage ernst nehmen. Dazu gehört, sich Gedanken über drohende Konsequenzen zu machen, wenn keine IT mehr zur Verfügung steht. Zweitens: Schuster bleibt bei deinen Leisten. Das Thema IT-Sicherheit ist äußerst komplex. Daher ist es sinnvoll, Experten hinzuzuziehen, um sein Sicherheitsniveau zu steigern. Und drittens, aber sicher nicht abschließend: Unternehmen sollten sich kümmern, BEVOR der IT-Sicherheitsvorfall eintritt. Ist dieser erst einmal passiert, bleibt keine Zeit, sich in Ruhe einen Überblick zu verschaffen. Dann muss schnell gehandelt werden.
Wenn dann der Fall der Fälle eingetreten ist: Wie sollen sich Unternehmen verhalten, wenn sie Opfer eines Angriffs geworden sind? Und: Welche Unterstützung bietet das LKA?
Das LKA betreibt seit 10 Jahren das Cybercrime-Kompetenzzentrum. Hier arbeiten Experten für Computerforensik, Telekommunikationsüberwachung, Auswertung, Analyse und Prävention sowie die Zentrale Internetrecherche Hand in Hand. Über den Single Point of Contact sind wir unter der Nummer 0211-939 4040 rund um die Uhr erreichbar. Wir empfehlen Unternehmen, den IT-Notfallplan genauso zu üben wie die Fluchtwege im Rahmen einer Brandschutzübung. Wenn der Ernstfall eingetreten ist, raten wir dazu, Anzeige zu erstatten. Nur so können wir Täter ermitteln und im besten Fall weitere Delikte verhindern. Bei Lösegelderpressungen sollten Zahlungen nur als Ultima Ratio in Erwägung gezogen werden. Also ausschließlich dann, wenn der Betrieb aufgrund des Angriffs vor dem existenziellen Aus steht.
Zum Abschluss: Haben Sie jemals selbst das Wort „Passwort“ als Passwort verwendet?
Definitiv nein. Aber abgestuft war sicherlich schon mal ein schwächeres Passwort für weniger wichtige Dinge dabei. Das Thema ist nicht zu unterschätzen. Als LKA haben wir daher die Präventionskampagne „Mach dein Passwort stark“ initiiert. Mit anschaulichen Beispielen wollen wir dabei unterstützen, persönliche Daten im Netz besser gegen Missbrauch abzusichern.
Herr Vahrenhorst, vielen Dank für das Gespräch.
IT-Sicherheitstag NRW 2021: mit Vollspeed sicher in die digitale Zukunft!
Rasant hat sich das Corona-Virus global ausgebreitet. Und mit ihm die Cyber-Bedrohungen und -attacken in der virtuellen Welt. Jetzt heißt es, mit diesem Tempo Schritt zu halten und mit dem IT-Sicherheitstag NRW „mit Vollspeed sicher in die digitale Zukunft“ zu gehen. Dabei stehen aktuelle Themen wie Cloud Security, Sicherheitslücken und aktuelle Gefahrenquellen sowie passende Gegenmaßnahmen im Mittelpunkt des virtuellen Infotags. Bereits zum 9. Mal veranstaltet IHK NRW – die Industrie- und Handelskammern in Nordrhein-Westfalen e. V. – den Fachkongress für den Mittelstand, der in diesem Jahr am 2. Dezember 2021 von 10:00 Uhr bis 16:00 Uhr online stattfindet.
Kleine und mittlere Unternehmen erhalten praxisnahe Tipps, wie sie sich vor Angriffen schützen können und im Ernstfall verhalten sollten. In praxisorientierten Impulsvorträgen, parallelen Basic- und Expertenforen werden aktuelle Fragestellungen im Bereich der IT-Sicherheit diskutiert.
Weitere Informationen und die kostenfreie Anmeldemöglichkeit unter
www.it-sicherheitstag-nrw.de.
