Dass niemand vor Cyberkriminalität und einem Angriff durch Cyberkriminelle geschützt ist, zeigen jüngste Schlagzeilen über Amazon-Chef und aktuell reichsten Menschen der Welt Jeff Bezos. Der britischen Zeitung „The Guardian“ zufolge, sei Bezos Opfer eines Hacking-Angriffs geworden, der vom privaten WhatsApp-Konto des saudischen Kronprinzen Muhammad Bin Salman ausging. Innerhalb weniger Stunden seien große Mengen Daten abgeflossen, darunter auch Bilder und Nachrichten, die auf eine außereheliche Affäre hindeuten. Knapp neun Monate später wurden diese Details dann publik.
Cyberkriminalität in Zahlen
Das BKA hat kürzlich seinen Lagebericht Cybercrime für das Jahr 2018 veröffentlicht. Auf den ersten Blick scheint sich die Lage etwas zu beruhigen:
87.106 Fälle von Cybercrime im engeren Sinne (+1,3 %)
271.864 Fälle mit dem Tatmittel Internet unter allen Straftaten (4,9% am Gesamtanteil)
723 Fälle von Phishing im Onlinebanking (-49%)
60,7 Mio. Euro Schaden im Bereich Computerbetrug (2017: 71,4 Mio.)
Trotzdem sollten sich Unternehmen nun keinesfalls in Sicherheit wägen, die Zahlen sind mit Vorsicht zu genießen. Auch das BKA selbst spricht von einer hohen Dunkelziffer, denn die Statistiken setzen sich nur aus denjenigen Fällen zusammen, die der Polizei offiziell gemeldet wurden. Obwohl es seit der Einführung der DS-GVO eine Meldepflicht für Datenpannen (zu denen Cyberangriffe meistens zählen) gibt, versuchen viele Unternehmen die Sache geheim zu halten, etwa aus Angst vor Imageschäden. Auch viele betroffene Privatpersonen melden einen Cyberangriff oft nicht bei der Polizei, teils weil sie am erfolgreichen Ausgang der Ermittlungen zweifeln und teils aus Scham, weil der Hacker bspw. mit der Veröffentlichung von intimem Bildmaterial droht.
Wie wahrscheinlich ist es, Opfer von Cyberkriminalität zu werden?
Dazu hat der Digitalverband Bitkom wenige Tage vor dem BKA-Bericht eine Studie veröffentlicht. Demnach sind 75% der deutschen Unternehmen in den letzten zwei Jahren einem Datendiebstahl zum Opfer gefallen, weitere 13% vermuten ebenfalls betroffen zu sein. Die Arten solcher Angriffe reichen vom analogen Diebstahl von IT- oder Telekommunikationsgeräten, bis hin zum Ausspähen digitaler Kommunikation bzw. dem Abhören von Besprechungen und Telefonaten. Verglichen mit den Jahren 2016/2017, in denen „nur“ 53% der befragten Geschäftsführer angaben, Cyberkriminellen zum Opfer gefallen zu sein, ist die Zahl der betroffenen Unternehmen also deutlich gestiegen. Laut Bitkom-Präsident Achim Berg, haben sowohl Umfang als auch Qualität der Angriffe deutlich zugenommen. „Die Freizeithacker von früher haben sich zu gut ausgerüsteten und technologisch oft sehr versierten Cyberbanden weiterentwickelt – zuweilen mit Staatsressourcen im Rücken“.
Eine Entwarnung, wie sie beim ersten Lesen des BKA-Berichts suggeriert wird, gibt es also längst nicht. Ganz im Gegenteil zeigt es eher auf, dass die meisten Betroffenen einen Angriff immer noch unter den Teppich kehren, statt ihn, wie es die DS-GVO verlangt, zu melden. Die Angst vor Imageschäden scheint also immer noch größer als die Angst vor Bußgeldern.
Schäden durch Cyberkriminalität
Der von Cyberkriminellen verursachte Schaden lässt sich aufgrund der hohen Dunkelziffer nicht genau beziffern. Daher ist es nicht verwunderlich, dass die in der polizeilichen Kriminalstatistik erfassten Schäden große Diskrepanzen zu den Daten der Privatwirtschaft aufweisen. Die CyberRisk-Sparte des Versicherers R+V kalkuliert zwischen 10.000 und 25.0000 € pro Schadensfall bei kleinen und mittelständischen Unternehmen (KMU), wobei die Schadenssumme natürlich von der Art und Qualität des Angriffs abhängt. Kumuliert man analoge und digitale Angriffe, so entsteht ein jährlicher Schaden von 102,9 Milliarden Euro für die deutsche Wirtschaft. Natürlich ist auch das BKA sich dessen bewusst und merkt an, „[…] dass die verhältnismäßig geringen Schadenssummen in polizeilichen Statistiken das tatsächliche Ausmaß in keiner Weise widerspiegeln dürften.“.
Auf welche Gefahrenquellen der Cyberkriminalität sollten Sie achten?
Knapp 38% der betroffenen Unternehmen führen die Angriffe auf Einzeltäter zurück und jeder fünfte Angriff wird der organisierten Kriminalität zugeordnet. Als eine der Hauptgefahrenquellen identifiziert die Studie ehemalige Mitarbeiter, mit einem Anteil von 33%. Hinzu kommen konkurrierende Unternehmen, ca. 20% der Attacken gehen auf das Konto von Mitbewerbern. Aber auch die aktive Belegschaft ist oft Einlasstor für Cyberkriminelle, auch wenn ihnen kein absichtliches Fehlverhalten unterstellt wird. Sie brauchen also nicht zwingend immer das modernste und teuerste IT-Sicherheitssystem, oftmals ist die Sensibilisierung der eigenen Mitarbeiter entscheidend.
Fazit
Die Lage hat sich also keineswegs entspannt, mit dem Voranschreiten der Digitalisierung (Industrie 4.0, Internet of Things (IoT), Automotive IT etc.) bieten sich auch immer mehr neue Wege für Cyberkriminelle. Die Schäden sind teilweise massiv, auch wenn viele betroffene Unternehmen die Meldepflicht weiterhin ignorieren. Trotzdem müssen KMU nun nicht zwangsweise große Investitionen in ihre Firewall tätigen, auch hier gilt der Grundsatz der Verhältnismäßigkeit. Mit der Schulung und Sensibilisierung der Mitarbeiter können oft viele Angriffe vorzeitig erkannt und verhindert werden.
Daniel Lüttgens
