Wie sieht für deutsche Unternehmen die Gefahrenlage hinsichtlich Cyber-Kriminalität aus? Wer sind heute die Täter – und wie kann man sich vor ihnen schützen?  Matthias Erler von GIT SICHERHEIT sprach darüber mit Kriminalhauptkommissar Peter Vahrenhorst, Landeskriminalamt Nordrhein-Westfalen Peter Vahrenhorst ist dorf für die Cybercrime-Prävention im Bereich Wirtschaft zuständig. Davor war er u.a. jahrelang als IT-Ermittler tätig.

GIT SICHERHEIT: Herr Vahrenhorst, im Bereich Cybercrime-Prävention kann man Sie sicher ohne weiteres als alten Hasen bezeichnen. Wie schätzen Sie die Gefahrenlage diesbezüglich für die deutsche Wirtschaft heute ein?

Peter Vahrenhorst: Ich sehe mich so sehr als Flucht neigenden Hasen – eher schon als durch Erfahrung schlau gewordenen Fuchs. Was die Einschätzung der Gefahrenlage für die deutsche Wirtschaft betrifft: Hier besteht die Schwierigkeit, dass bei weitem nicht jeder Vorfall bei der Polizei angezeigt wird. Es gibt viele Gründe, nicht zur Polizei zu gehen – daher gehen wir von einem großen Dunkelfeld aus, das die polizeiliche Statistik nicht erfasst. Wir selbst nutzen gerne die Studien und Erhebungen von Bitkom und Verfassungsschutz. Demnach sagen 51 Prozent der befragten kleinen und mittelständischen Unternehmen in Nordrhein-Westfalen, sie seien schon mal Opfer von Cyber-Kriminalität gewesen.

Unterscheidet sich diese Gefahrenlage in unserer eher mittelständisch als nur von großen Konzernstrukturen geprägten Volkswirtschaft stark von der in anderen europäischen Ländern?

Peter Vahrenhorst: Diese Prägung macht uns vergleichsweise vulnerabler als andere vergleichbare Länder. Viele unserer KMUs sind ja am Weltmarkt agierende Hidden Champions – das ist ein Kern der deutschen Wirtschaft. Und dazu gehören eben besonderes Know-how, Kompetenz und Ingenieurswissen. Auf IT-Risiken wiederum sind sie häufig nur mäßig eingestellt. Für eine eigene IT-Abteilung und komplette Rechenzentren sind sie oft nicht groß genug – deren Aufgaben erledigen sie eher nebenbei. Das ist ein zusätzlicher Risikofaktor, da sie noch stärker im Fokus der Angreifer stehen, die um diese Schwachstellen wissen. Gelegenheit macht Täter. Beim Schutz dagegen, kann man die Lage mit dem Einbruchschutz für eine Wohnung vergleichen: Der Einbrecher meidet die mit hohem Zaun und Alarmanlage geschützte Wohnung und entscheidet sich für das schlechter gesicherte Nachbarhaus. Ich muss also zusehen, dass meine Mauer höher ist als die der Nachbarn.

Die „Awareness“, also das Bewusstsein für die Gefahren hat sicher inzwischen zugenommen in deutschen Unternehmen?

Peter Vahrenhorst: Das Bewusstsein für die Gefahr ist gestiegen. Als wir 2011 das Cyber-Crime-Kompetenzzentrum gebildet hatten, war es noch gering, aber es hat sich merklich gesteigert. Allerdings ist hier noch viel Luft nach oben, denn die Problematik wird deutlich komplexer. Die Digitalisierung verläuft schneller, als die zu implementierenden Sicherungsmaßnahmen. Viele technische Einfallstore für Angriffe nehmen wir nicht mehr ohne weiteres als solche wahr: Den mit dem Internet verbunden Fernseher, die Sprachsteuerung mit möglichem Lauschangriff im Wohnzimmer – aber eben auch die Videokonferenz im Meetingraum und der vernetzte Firmenwagen. Wir haben uns bei der Polizei damit selbst bereits befasst: So gab es mal die Idee, PCs in Streifenwagen einzubauen. Nach einer intensiven Testphase haben wir uns dagegen entschieden, da wir feststellten, dass wir uns nicht anmaßen können, die Technik so zu beherrschen, dass wir sie ruhigen Gewissens einsetzen können. Stattdessen arbeiten wir mit Smartphones, die physisch vom Fahrzeug getrennt bleiben. Der normale Nutzer beispielsweise eines neuen Mittelklassewagens nimmt diese Gefahren meist gar nicht mehr wahr. Auch Unternehmen müssen weg von dem Gedanken, dass die Angriffe nur über den Rechner kommen, wie das früher mal war. Heute gibt es Glühbirnen mit Sprachsteuerung, vernetzte Kühlschränke in der Kantine, die wie der PC Teil des Netzwerks sind. Passwortmanagement und Firewalls bleiben wichtig – aber man muss eben viel weiter denken heute. Schranke und Bodyscanner am Werkstor kann ich mir sparen, wenn hinten die Rauchertür offen steht – genauso ist es in der IT. Smarte Glühbirnen dürfen zum Beispiel nicht in den Hausmüll – das ist so, als würde man einen Haustürschlüssel samt Adressschildchen wegschmeißen. Wir brauchen deshalb andere Prozesse, andere Denkmodelle.

Es geht auch um Gefahrenbewusstsein bei den Mitarbeitern . . .  

Peter Vahrenhorst: In der Tat ist es letztlich immer ein Mensch, der das IT-Gerät bedient. Und Menschen machen Fehler, die ich einkalkulieren muss. Die Mitarbeiter müssen dafür sensibilisiert werden, dass sie keine schwachen Passwörter nutzen, nicht auf Links klicken, etc. Bei allen Maßnahmen geht es darum, ein möglichst gleichschenkliges Dreieck aus Sicherheit, Usability und Funktionsfähigkeit herzustellen und zu erhalten. Zu verlangen, x-mal ein Passwort einzugeben, schränkt die Usability, also den Komfort zum Beispiel viel zu stark ein. Andererseits muss man immer erklären und plausibel machen, dass das Dreieck nie gleichschenklig ist – eine Seite ist immer kürzer. Es ist eine notwendige Gratwanderung. Die Idee, die Dinge teilweise vom Netzwerk zu entkoppeln, ist – ebenso wie die Verteufelung der Technik – unrealistisch.

Werden aus all dem, Ihrem Eindruck nach, in der Praxis die richtigen Schlüsse gezogen?

Peter Vahrenhorst: Es sollte sich zumindest stärker herumsprechen, dass die Digitalisierung nicht nur neue Technik, sondern neue Prozesse und Modelle und neues Denken erfordert. Wir brauchen einen anderen Umgang mit der Technik – auch ein Querdenken für die Fälle, in denen die Technik nicht funktioniert. Dazu gehören Vertrauen und eine ausgereifte Fehlerkultur. Es macht keinen Sinn, Mitarbeiter mit fristloser Kündigung zu strafen, wenn sie auf eine täuschend gut gemachte Mail klicken. Wir brauchen andere Parameter. So gehen wir auch bei der Polizei vor. Wir erheben nicht den Zeigefinger, sondern beobachten, was funktioniert und lernen. Es ist zum Beispiel unrealistisch, das Online-Banking zu verbieten. Wir müssen weg vom Verbieten und lieber fragen, wie wir vernünftigmit der umgehen können.

Was sind denn heute die typischen Verläufe bzw. Angriffspunkte der Erpressung seitens der Hacker?

Peter Vahrenhorst: Es geht praktisch immer um Erpressung. Heute braucht man dafür eben keine Sprengsätze mehr, sondern kann von der Couch aus agieren. Der Klassiker ist nach wie vor die E-Mail, die den Empfänger dazu bringt, einen Link anzuklicken oder Anhang zu öffnen. Daraufhin wird alles verschlüsselt und man wird aufgefordert etwa in Bitcoins oder anderen Cryptowährungen zu zahlen. E-Mails können eben massenhaft versandt werden – und sie sind Alltag. Jede Bewerbung geht ja heute per E-Mail ein. Der Weg über eingeschleuste USB-Sticks und dergleichen ist in der Realität dagegen erheblich seltener.

Wie kann dieser Drache besiegt werden? Sind kleinere und mittlere Unternehmen überhaupt hinreichend in der Lage, effektive Strategien der Cybercrime-Bekämpfung zu entwerfen und umzusetzen?

Peter Vahrenhorst: Der Drache kann durchaus bekämpft werden. Hier empfehle ich, an das Pareto-Prinzip zu denken: Mit 20 Prozent des Aufwandes stemmt man 80 Prozent des Erfolges. Auf die IT angewendet bedeutet das: Die grundsätzlichen Hausaufgaben machen: Das Netzwerk segmentieren, Patch-Management, Back-ups durchführen – das bringt schon mal 80 Prozent der IT-Sicherheit. Die fehlenden 20 Prozent können zum Beispiel mit Hilfe eines IT-Dienstleisters gelöst werden. Wenn dann ein Restrisiko von etwa 5 Prozent bleibt, könnte dies durch eine Cyberschutzversicherung abgedeckt werden. Eine weitere Empfehlung an Unternehmen: Reden Sie darüber mit Ihren Wettbewerbern. Sie haben schließlich die gleichen Probleme.

Herr Vahrenhorst, Sie sind ja beim Landeskriminalamt NRW als Kriminalhauptkommissar tätig. Welche Rolle spielt Ihre Abteilung bei der Prävention von Cyberkriminalität?

Peter Vahrenhorst: Wir befassen uns mit Prävention, aber auch mit der Verfolgung von Straftätern. Denn die Angreifer sitzen nicht etwa nur in Osteuropa, China und Russland, sondern auch in Deutschland. Wir sind ein wirtschaftsstarkes Bundesland und immerhin der achtgrößte Wirtschaftsraum Europas. Wir haben uns für eine Strategie des Single-Pointof-Contact entschieden, an den sich betroffene Unternehmen wenden können – die Zentrale Ansprechstelle Cybercrime erreichen sie unter der Rufnummer 0211 939 4040.

Wie kommen Sie diesen Tätern in der Regel auf die Spur?

Peter Vahrenhorst: Man erwischt die Täter meist nicht über die IT-Systeme – dafür ist er zu schlau auf diesem Gebiet. Aber die eingenommene Cryptowährung zum Beispiel möchte er irgendwann umtauschen. Allgemein gesprochen: Irgendwann muss er von der digitalen in die reale Welt überwechseln. Dann tauchen zum Beispiel Bankverbindungen oder E-Mails auf. Täter machen Fehler. Hier können dann Ermittlungen ansetzen und Täter identifiziert werden. Hausdurchsuchungen können zum Beispiel aufdecken, welche Technik ein Verdächtiger zu Hause hat, etc. Das Täterbild hat sich verändert. Ende der 90er Jahre war das noch ein blasser Nerd im Keller seines Elternhauses, der die Telefonrechnung seiner Eltern ein wenig nach unten manipulieren wollte. Heute gibt es fast ausschließlich Profis. Das sind teils Leute, die tagsüber als Admin in einem Unternehmen arbeiten und nachts als Hacker tätig sind, weil sie’s können. Vor allem aber ist Cybercrime organisiert und geht dabei arbeitsteilig vor. So kann man sich etwa ein Botnet mit einer bestimmten Rechenleistung für eine bestimmte Zeit mieten. Und es gibt Dienstleister, die sich an den Umsätzen beteiligen lassen.

Wenn Sie abschließend einen Blick in die nähere Zukunft werfen würden – von welchen Herausforderungen, Aufgaben und vielleicht nach ausgehen?

Peter Vahrenhorst: Wir haben früher gerne von Fünf-Jahres-Zeiträumen gesprochen, wenn es um Planungen und Strategien ging. Heute können wir in solchen langen Schritten nicht mehr denken – man muss viel schneller sein. Was vor zehn Jahren noch nicht vorstellbar erschien, ist heute Alltag. Zyklen werden schneller – und sie verändern ganze Branchen: Braucht man bei Online-Banking und bargeldlosem Verkehr überhaupt noch Bankfilialen? Wenn es autonomes Fahren gibt – brauche ich dann überhaupt noch einen Führerschein? So sind auch Fragen der Cyberkriminalität ständig im Umbruch. Es gibt viele verschiedene Muster, nichts lässt sich vorhersehen. Das erwähnte Pareto Prinzip ist die beste Strategie – großangelegte Strategieplanungen werden nicht funktionieren.