Cybercrime und die Bedrohungen für die Wirtschaft (Teil 2)

Von ORR Ass. jur. Frank Grantz, Altenholz

5 Reaktionsmöglichkeiten

Ausweislich der oben dargestellten Szenarien und Studien werden die Cyberangriffe auf Wirtschaftsunternehmen unstreitig zunehmen. Es stehen jedoch diverse Mittel und Wege zur Verfügung, die nur noch durch die Unternehmen umgesetzt werden müssten.

5.1 Anzeigeverhalten verbessern

Laut BITKOM sei das Anzeigeverhalten grundsätzlich gut. Lediglich 2% der angegriffenen Unternehmen hätten darauf verzichtet, ihre Sicherheitsvorfälle an staatliche Stellen zu melden.²⁷ Ein Großteil der befragten Unternehmen (⁷⁸%) habe zudem zwar Strafanzeige gestellt²⁸, jedoch erfolgten viele der Anzeigen und Meldungen nur im Rahmen oder aufgrund von gesetzlich verpflichteten Meldungen (²⁰%).²⁹ Als Begründung für eine Nichtanzeige wurden von den befragten Unternehmen mehrere Argumente angeführt. So befürchten die Unternehmen zum einen, dass mit einer Anzeige (Reputations-)Schäden verbunden sein könnten (³⁸%) und zum anderen, dass es sich dabei um einen „sich nicht rechnenden“ Aufwand handeln würde (³⁷%). 35% der befragten Unternehmen befürchteten, dass mit der Anzeige negative Konsequenzen für sie verbunden seien, wie beispielsweise im Rahmen Ermittlungen beschlagnahmte oder sichergestellte Hardware (³⁶%). 38% der Befragten schließlich führten an, dass sie glauben, dass die Täter ohnehin nicht gefasst werden würden.³⁰ Gerade für die Ermittlungsbehörden ist jedoch ein gutes Anzeigeverhalten erforderlich, um durch die immer stärker aufgestellten Spezialdienststellen die Aufklärung dieser Fälle und damit auch die Prävention sicherzustellen.³¹ Ein etwaiges „Risiko“ für die Unternehmen könnte bspw. durch eine inzwischen von sämtlichen Versicherungen angebotene Cyberversicherung ausgeglichen werden.³²

5.2 BSI und Zusammenschlüsse nutzen; Austausch, gemeinsame Konzepte

Sowohl von Seiten staatlicher Organisationen als auch von privaten Einrichtungen werden umfassende Schutzmöglichkeiten angeboten. So stellt das BSI bspw. Anleitungen und Hilfen für Unternehmen her und bietet diese zum Abruf. Hier sind z.B. das IT-Grundschutzkompendium³³ sowie entsprechende Sicherheitszertifikate des BSI ISO 27001 ³⁴ zu nennen, die entsprechende IT-Grundschutzbausteine gezielt für verschiedene Unternehmensbereiche bereithalten. Darüber hinaus gibt es auch gezielt Zusammenschlüsse und Vereinigungen, die gemeinsam Initiativen gegen Cyberangriffe ergreifen. So bietet bspw. die Allianz für Cybersicherheit in ihrem Downloadbereich Videos und Materialen für den Unternehmensschutz an. Aktuell gehören dieser Initiative 3608 Unternehmen und Institutionen an.³⁵ Auch Zusammenschlüsse wie die Charter of Trust ³⁶ bieten eine gute Strategie gegen Cyberangriffe. Aber auch für einzelne Unternehmenskategorien werden umfangreiche Hilfen bereit gestellt, so z.B. durch die BaFin für Finanzinstitute.³⁷ oder die Möglichkeit des Erwerbs von Sicherheitszertifikaten für Unternehmen, z.B. in Form eines Audit.³⁸

5.3 IT-Sicherheitsmanagement/ Complience³⁹

Wichtig erscheint aber auch ein geschlossenes Konzept für das Management des jeweiligen IT-Systems im Unternehmen zu gestalten. Je nach Größe und Umfang des Unternehmens müssen Konzepte für das Funktionieren des IT- und Kommunikationssytems als auch für das Mitarbeitermanagement zur IT-Sensibilisierung erstellt, kontrolliert und überwacht werden. Dieses könnte z.B. im Wege eines umfassenden IT-Complience⁴⁰ sichergestellt werden. Dieses sollte zunächst die technische Ebene berücksichtigen. Ein aktuell gepatchtes Betriebssystem mit darauf ausgerichteter Virenschutzsoftware bzw. Firewall stellt schon die erste große Hürde für einen potentiellen Angreifer dar. Leider nutzen nur 71% der befragten Unternehmen ein solches System, kleine und mittelständische Unternehmen gar nur zu 65%.⁴¹ Auch regelmäßige Kontrollen der IT-Systeme mit besonderer Detektionssoftware wie z.B. Rootkitrevealern etc. sollten durchgeführt werden.⁴² Der Datenverkehr muss bei Verdacht eines Angriffs immer überwacht werden. Hierzu gibt es verschiede Programme, z.B. Wireshark, die u.U. sogar ein Übertrag von gestohlenen Passworten ermöglichen. Anhand dieser Informationen können die Ermittlungsbehörden dann gezielt eingeschaltet werden.⁴³ Für den Fall, dass Auffälligkeiten festgestellt werden, sollte auch ein unternehmensbezogener Notfallplan erstellt werden, in welchem die Möglichkeiten beschrieben werden, einen Datenabfluss zu stoppen oder wie ggf. systemsichernde Elemente eingesetzt werden müssen. Auch erste Ansprechpersonen sollten aufgeführt werden. Ein solches Notfallmanagement wird aktuell allerdings nur bei 43% der befragten Unternehmen vorgehalten.⁴⁴ Ein wichtiges und besonders erforderliches Element des Complience wird aber immer ein überzeugendes Mitarbeitermanagement bezogen auf die IT-Systeme darstellen. Dieses wird bisher nur von 59% der befragten Unternehmen überhaupt durchgeführt bzw. berücksichtigt.⁴⁵ Sicherheitsüberprüfungen von Personal bzw. auch von entsprechenden Ex-Mitarbeitern sind erforderlich, zudem sind gegebenenfalls entsprechende vertragliche und haftungsrechtliche Regelungen in den Arbeitsvertrag oder in Betriebsvereinbarungen aufzunehmen. Schließlich sollte regelmäßig auch eine finanzielle Absicherung insbesondere kleinerer und mittlerer Unternehmen erfolgen. Dieses kann bspw. durch eine Cyberversicherung geschehen. Diese Leistungen werden inzwischen von diversen Versicherungsanbietern individuell angeboten.⁴⁶

Graphiken: Andreas Dondera, LKA Hamburg.