Herr Kipker, wurde die Universität Bremen schon Opfer von Cyber-Angriffen?
Dennis-Kenji Kipker: Oft werden Angriffe auf die IT der Universität gar nicht kommuniziert. In den letzten Jahren gab es aber vor allem sogenannte Phishing-Attacken. Kriminelle haben sich dabei in E-Mails als IT-Administratoren ausgegeben und Uni-Mitarbeitern mitgeteilt, dass angeblich das E-Mail-Konto gewartet werden müsse. Diese Mitarbeiter wurden dann auf eine gefälschte Website gelockt und aufgefordert, ihre Zugangsdaten einzugeben, welche dann natürlich abgefangen wurden. So haben die Hacker die E-Mail-Konten dann etwa für das Versenden von Spam-Mails missbraucht.
Cyberangriffe richten sich laut Ihrer Studie besonders gegen Unternehmen, die der sogenannten kritischen Infrastruktur zuzurechnen sind. Welche Unternehmen fallen darunter?Das sind Unternehmen, die von besonderer Bedeutung für das Gemeinwohl sind und deren Ausfall schwerwiegende Konsequenzen hätte. Dazu zählen etwa Krankenhäuser, Unternehmen der Wasser- und Energieversorgung, Telekommunikationsfirmen oder auch Banken.
Sie haben schon Phishing angesprochen. Welche Methoden nutzen die Angreifer noch?Neben dem Phishing wird auch sogenannte Ransomware genutzt. Das sind Programme, die die Daten auf dem Rechner verschlüsseln. Die Angreifer fordern dann ein Lösegeld für deren Freigabe. Auch das Social Engineering nimmt zu. Dabei geben sich die Hacker als vermeintlich höhergestellte Personen aus und versuchen, durch Manipulation an vertrauliche Informationen, wie etwa Zugangsdaten, zu kommen. Ein Beispiel in diesem Zusammenhang auch in Deutschland ist der sogenannte CEO-Fraud, wo sich die Täter als Mitarbeiter aus der Buchhaltung oder aus der Geschäftsführung ausgeben, um Geld ins Ausland transferieren zu lassen. Das BKA warnt hiervor explizit.
Es geht also eher um Erpressung als darum, sensible Daten abzugreifen?Sowohl als auch. Bei der Erpresser-Software geht es klar darum, Geld zu erpressen. Das Lösegeld sollte man jedoch nie zahlen, da die Entschlüsselung der Daten nicht garantiert ist. Es gibt aber auch Fälle, wo einfach nur etwas zerstört werden soll. Diese Täter sind allerdings zumeist eher weniger erfahren und nutzen vorgefertigte Programme aus dem Netz. Damit kann man keine kritischen Infrastrukturen lahmlegen. Da geht es dann eher um die Anerkennung. Die professionellen Hacker werden hingegen sowohl von Staaten als auch von Firmen eingesetzt, um sensible Informationen oder Betriebsgeheimnisse abzugreifen.
Im vergangenen Jahr wurden 230 000 Computer mit dem Erpresser-Programm Wanna-Cry infiziert. Auch Unternehmen wie die Deutsche Bahn oder einige Krankenhäuser waren betroffen. Haben die Firmen daraus gelernt?Das kann man nicht generell beantworten. Der Vorfall hat aber sicherlich Aufmerksamkeit für das Thema geschaffen. Viele werden sich an die ausgefallenen Anzeigetafeln auf den Bahnhöfen erinnern. Das war ein Angriff, von dem viele betroffen waren und der überall sichtbar war. In dem Bereich haben die Unternehmen dazugelernt. In der Studie wurde aber festgestellt, dass viele Angriffe immer noch darauf zurückzuführen sind, dass die Mitarbeiter nicht genügend geschult sind. Das war etwa bei dem Cyber-Angriff auf ein Krankenhaus in Neuss der Fall: Ein Mitarbeiter hatte einen E-Mail-Anhang geöffnet, der die Schadsoftware enthielt. So konnte sich das Programm im ganzen System ausbreiten.
Es liegt also oft an der Unachtsamkeit von einzelnen Mitarbeitern?Ja. Zum einen fehlt es den Mitarbeitern aus kleinen und mittelständischen Unternehmen oft am nötigen Know-how. Zum anderen mangelt es an finanziellen Ressourcen, um etwa einen Hauptverantwortlichen für IT-Sicherheit abstellen zu können. Oft werden Mitarbeiter genommen, die sich damit ein wenig auskennen und die sich das Thema dann aneignen sollen. Bis zu einem gewissen Grad ist das auch möglich, aber es ist nicht vergleichbar mit einem echten IT-Spezialisten. In der Forschung versuchen wir, eine gewisse "Awareness" für diese Unternehmen zu schaffen. Da sind spezielle Ausbildungslehrgänge denkbar, die extra für kleine und mittelständische Unternehmen entwickelt werden.
Was kann jeder einzelne Mitarbeiter tun, um zur IT-Sicherheit beizutragen?Allein die regelmäßige Installation von Sicherheitspatches kann helfen. Sobald ein Update etwa für Windows herauskommt, sollte man es auch durchführen und nicht direkt wegklicken. Sicherungskopien können auch helfen. Dank Cloudspeichern passiert das bei vielen Systemen heute schon automatisch. Das sind relativ einfache Sachen, die manchmal aber trotzdem nicht umgesetzt werden. Es gibt da eine gewisse Durchklick-Mentalität, die recht weit fortgeschritten ist. Da muss noch viel Überzeugungsarbeit geleistet werden, besonders von der Führungsebene der Unternehmen. IT-Sicherheit ist leider oft unbequem.
Reichen die Maßnahmen seitens der Regierung wie etwa das IT-Sicherheitsgesetz aus?
Für den Bereich der kritischen Infrastruktur ist da einiges getan worden und konkrete Maßnahmen wurden umgesetzt. Bei den kleinen und mittleren Unternehmen sollte der Gesetzgeber aber noch einmal nachlegen.
Was meinen Sie konkret?Bei kleinen und mittelständischen Unternehmen ist IT-Sicherheit einfach nur eine allgemeine Compliance-Anforderung. Das bedeutet, dass es zu den unternehmerischen Pflichten im Allgemeinen dazugehört. Für diese Unternehmen lässt sich davon schwer ableiten, was jetzt der tatsächliche Maßstab für sie ist. Das müsste genauer definiert werden. Im IT-Sicherheitsgesetz wird etwa auf den Stand der Technik verwiesen, der sich mit Normen und Standards konkretisieren lässt. Für kleinere Unternehmen gibt es hingegen überhaupt keinen gesetzlichen Richtwert.
Welche weiteren Schritte sind in Sachen IT-Sicherheit zu erwarten?Die Europäische Union hat Ende letzten Jahres ihre neue Cyber-Sicherheitsstrategie vorgestellt und ist im Bereich der Gesetzgebung sehr aktiv. Da wird sich insbesondere für mittelständische Unternehmen einiges tun, da eine europaweite IT-Sicherheitszertifizierung geschaffen werden soll. Wenn ein Unternehmen in Deutschland bereits zertifiziert wurde und etwa Leistungen in Frankreich anbieten will, braucht es sich so nicht erneut zertifizieren zu lassen. Das zeigt auch, dass IT-Sicherheit mittlerweile nicht nur ein nationales, sondern auch ein europäisches Anliegen ist. Datenströme machen an Landesgrenzen eben keinen Halt.
Dr. Dennis-Kenji Kipker ist seit 2016 wissenschaftlicher Geschäftsführer am Institut für Informations-, Gesundheits- und Medizinrecht der Universität Bremen. Im Rahmen seiner Forschung war er an der bundesweiten Studie „Monitor IT-Sicherheit Kritischer Infrastrukturen" beteiligt.
Rétablir l'original