Script-Kiddies mit vergleichsweise geringem Know-how und Profi-Hacker in der Cybercrime-Szene haben eins gemeinsam: Sie tun es für Geld, gerne auch zusammen. Cyberattacken werden heute zunehmend als ausgeklügelte und arbeitsteilige Dienstleistungen ausgeführt. Crime-as-a-Service.
„Richtig interessant wird es im Bereich hochorganisiert begangener Cyberkriminalität“, sagt Peter Vahrenhorst, Kriminalhauptkommissar und Experte im Cybercrime-Kompetenzzentrum des LKA NRW. Er ist zuständig für die Cybercrime-Prävention im Bereich Wirtschaft. Vahrenhorst war viele Jahre als IT-Ermittler tätig und kennt Täter, Tatmittel und Motive genau. „Organisiert handelnden Cyberkriminellen geht es vor allem um Geld und Macht. Das sind Experten, die permanent im System nach Schwachstellen suchen und sie gegen Geld an andere Hacker weitergeben.“
Ransomware-Angriffe. Dabei geht es meistens um Geld, das erpresst wird, indem die Täter vorher durch eine Software den betroffenen Unternehmen Daten abziehen, ins eigene System überführen und dort verschlüsseln (kryptieren). Danach folgt ein Erpresserschreiben an die Firma mit dem Ziel: Lösegeld gegen die Herausgabe der Daten. Bekanntes Beispiel: die Cyberattacke auf die Uniklinik Düsseldorf 2020.
Besonders kleine und mittlere Unternehmen sind nicht gut geschützt. Handwerk, Industrie, Handel, Gastronomie und Hotellerie haben Optimierungsbedarf bei ihrer IT-Sicherheit. „Jedes Unternehmen muss jederzeit mit einem Angriff rechnen“, beschreibt Innenminister Herbert Reul die Bedrohungslage.
Eine weitere Schwachstelle ist das „Social Engineering“. Hier täuschen die Täter die Beschäftigten, indem sie sich in deren Vertrauen einschleichen, meistens über die E-Mail-Konten der User. Sie geben sich beispielsweise als IT-Techniker aus, um ihnen Passwörter oder andere sensible Daten zu entlocken. Oder sie schicken gleich Schadprogramme als Anlage mit, um später die Geldsummen zu fordern, wenn die Unternehmensdaten im digitalen Orbit verschwunden sind. Die Bandbreite der Täter mit diesem Modus Operandi ist besonders groß: Hackerkollektive, Wettbewerber, aktuelle oder ehemalige Beschäftigte (sogenannte Innentäter) oder sogar staatliche Akteure schleichen sich auf diesem Weg in die IT-Landschaft der Unternehmen ein.
Notfallpläne müssen her. Und zwar dringend. Laut einer Bitkom-Umfrage hat nur knapp die Hälfte aller Unternehmen in Deutschland einen Worst-Case-Plan. Ein großes Problem, da die heutigen Smart-HomeLösungen im Büro und im Homeoffice nahezu überall Angriffsziele bieten. Stephan Ursuleac, Referent für Öffentliche Sicherheit & Verteidigung im Bitkom, empfiehlt: „Unternehmen sollten bereits vor einem Cyberangriff gemäß einer standardisierten Methodik Vorbereitungen treffen, zum Beispiel nach dem Vierklang IT-Security, Strukturen & Prozesse, physische Sicherheit sowie Human Factor. Das verlangt etwas mehr Know-how, ist aber oft Grundlage für eine Cyber-Police.“ Eine Cyber-Police kann sinnvoll sein und die Schäden eines Hackerangriffs teilweise auffangen.
„Der Faktor Mensch ist der größte Schwachpunkt in den Unternehmen“, sagt Ursuleac. Hier seien Schulungen und die Sensibilisierungsmaßnahmen wichtig und ausbaufähig, ebenso das Krisenmanagement. Allerdings seien die Täter nicht unbesiegbar. Die aus den Erpressungen eingenommenen Kryptowährungen müssen umgetauscht werden. „Das sind gute Identifizierungsansätze für die Polizei, um den Tätern auf die Spur zu kommen“, so Ursuleac. 2019 lag die Aufklärungsquote immerhin bei 30 Prozent.
Bei der Prävention kommt dem kooperativen Ansatz innerhalb der Cybersicherheitsarchitektur eine besondere Bedeutung zu. Schon seit Jahren kooperiert das CybercrimeKompetenzzentrum des LKA NRW mit verschiedenen Netzwerkpartnern. Es gibt die Sicherheitskooperation Cybercrime – Bitkom (zusammen mit fünf weiteren LKAs), die Sicherheitspartnerschaft NRW, den EcoVerband der Internetwirtschaft, networker NRW und VOICE, den Bundesverband der IT-Anwender.
Die Hotline des LKA
Die Bekämpfung von Cybercrime ist nach wie vor ein kriminalstrategischer Schwerpunkt der Polizei NRW. Unternehmen, Institutionen und Behörden, die Beratung oder eine sofortige Unterstützung nach einem Cyberangriff benötigen, erreichen das LKA NRW über die Hotline unter der Telefonnummer 0211-939-4040.