Cybercrime und die Bedrohungen für die Wirtschaft (Teil 1)

Von ORR & Ass. jur. Frank Grantz, Altenholz

1 Einleitung

Bereits im Jahre 2014 führte der damalige FBI-Direktor James Comey aus: „There are two types of American companies: those that have been hacked and those that don’t know it yet.“²

Diese Aussage ist heute noch gültig und trifft sicherlich auch für die deutschen Wirtschaftsunternehmen zu. Ausweislich einer Studie von BITKOM³ aus dem Jahre 2018 gaben z.B. 68% der befragten Industrieunternehmen an, Opfer von Cyberangriffen geworden zu sein, 19% gaben an, vermutlich betroffen zu sein.⁴ Dazu gesellt sich eine hohe Dunkelziffer⁵ und die Aussage von Strafverfolgungsbehörden, dass Cybercrimedelikte weiterhin ansteigen.⁶ Insgesamt sind der deutschen Wirtschaft in den letzten 2 Jahren ca. 43,4 Mrd. Euro an Schäden durch Cyberangriffe entstanden.⁷

Dabei gibt es auch keine festgelegten Kostenarten, die tatsächlich unter diesen Schadensbegriff zu fassen sind, so dass die oben genannte Zahlen sicherlich nur als Anhalt dienen können. Denn gerade auch zusätzliche Personalkosten für die Störungsbeseitigung und vor allem die schwer zu erfassenden⁸ Image- und Reputationsschäden bilden einen bedeutenden Faktor für ein wirtschaftlich ausgerichtetes Unternehmen; so sollen bspw. alleine 8,8 Mrd. Euro des gesamtwirtschaftlichen Schadens auf Image- und Reputationsschäden zurückzuführen sein.⁹

Die offene Struktur, die technischen Möglichkeiten und die Anonymität sind regelmäßig Ursachen dafür, dass das Internet als Angriffsplattform missbraucht wird. Aufgrund der mit der digitalen Vernetzung (Industrie 4.0¹⁰, Internet of Things, Smart Cities) steigenden Komplexität der Systeme kommen altbekannte, konventionelle Sicherheitsmechanismen schnell an ihre Grenzen und vermögen es nicht, Zuverlässigkeit und Beherrschbarkeit in gewohntem Maße zu gewährleisten. Hinzu kommen weitere Angriffspunkte für Hacker, z.B. durch die Nutzung betrieblicher Smartphones oder der Nutzung von Clouds.

2 Cybercrime und IUK

Der internationale Begriff „Cybercrime“ lässt sich aus juristischer Perspektive nicht eins zu eins ins Deutsche übertragen. Das BKA definiert in der jährlichen Veröffentlichung „Cybercrime – Bundeslagebild“ unter diesem Schlagwort die Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten (Cybercrime i.e.S.) oder die mittels dieser Informationstechnik begangen werden.¹¹ Des Weiteren werden auch Bezeichnungen wie EDV, Internetkriminalität, IUK oder Computerkriminalität verwendet, deren Ausprägungen sich regelmäßig durch neue Formen IT-basierter Angriffe fortentwickeln. Von Seiten der KPMG¹² wird zudem der Terminus „ecrime“ definiert, und zwar als die Ausführung von wirtschaftskriminellen Handlungen unter Einsatz von Informations- und Kommunikationstechnologien zum Schaden einer Einzelperson, eines Unternehmens oder einer Behörde.

3 Ausprägungen und gängige Angriffsmöglichkeiten

Als Angriffsmethoden und -mittel aus dem Bereich des Cybercrime werden regelmäßig ähnliche Modalitäten verwendet. Der BSI Lagebericht 2018¹³ spricht im Wesentlichen von „DDoS, Botnet und APT-Angriffen“, von sog. „drive by exploids“, „Spear Phishing“, Infektionen mit Schadsoftware (Keylogger, Ransom, Trojaner oder Rootkits), aber auch das Vorgehen via Spammails und dem oft damit verbunden Social Engineering muss bedacht werden. Darüber hinaus gibt es Grundvoraussetzungen, bei deren Nichtbeachtung Schwachstellen entstehen, die dann gezielt als Einfallstor für Cyberangriffe genutzt werden können.

3.1 Allgemeine Schwachstellen

Aufgrund der umfassenden digitalen Möglichkeiten und vernetzten Anlagen ist das Wissen über diese Funktionsweise der Gesamtanlage mit kaum mehr überschaubaren Systemen und Anwenderprogrammen nur bei wenigen Fachleuten und Experten vorhanden. Für gewöhnliche Nutzer sind Fehler in eingesetzten Programmen nur erkennbar, falls sie offen am Bildschirm sichtbar sind oder zu einem unrichtigen Ergebnis führen. Die Kontrollmöglichkeiten der Nutzer bleiben damit beschränkt.¹⁴Lösungen sind zwar verfügbar, entsprechen jedoch häufig nicht den Anforderungen der Anwender an Komfort, Intuitivität und Bedienbarkeit.¹⁵ Dieses stellt naturgemäß ein Risiko dar. Weitere Schwachstellen sind insbesondere veraltete Software und sog. „ungepatchte¹⁶“ Systeme. Vielfach werden selbst die bereits in der Software integrierten und einzustellenden Autoupdate Funktionen nicht genutzt. Auch das Nutzen veralteter Versionen von Betriebssystemen, die nicht mehr mit Patches unterstützt werden, stellt ein allgemeines Risiko und damit eine weitere Schwachstelle dar. Ein weiterer Problembereich sind die in Unternehmen vielfach genutzten mobilen Endgeräte. Sie stellen ein lohnendes Angriffsziel dar, da sie üblicherweise das komplette digitale (Arbeits-)Leben des Besitzers wiederspiegeln. Neben Gefahren durch Verlust und Diebstahl gibt es dabei besondere Herausforderungen bezüglich der IT Sicherheit auf dem Betriebssystem, dessen Aktualisierung und der installierten Apps. Um den jederzeitigen Zugriff auf Daten zu ermöglichen, werden zudem sog. eCloud¹⁷- Lösungen angeboten, die ebenfalls gerne zum Ziel von Hackerangriffen werden. Schließlich führt auch eine unzureichende Absicherung industrieller Steuersysteme zu einer besonderen Schwachstelle im Betrieb, insbesondere wenn durch die Entwicklung im Bereich der Industrie 4.0 die erweiterte Vernetzung dieser industriellen Steuerungssysteme über die internen Netze eines Unternehmens erfolgt ist.

IT-Labor einer Cybercrime-Dienststelle.