Eine Frau sitzt am Laptop und schaut auf den Bildschirm. Auf dem Bildschirm sind kryptische Zahlenkombinationen zu sehen und ein großes Schloss in der Mitte.
EWE business Magazin

Cyberkriminalität

Irgendwann trifft sie jedes Unternehmen

EWE business Magazin / IT-Security / Interview mit ZAC-Experten
IT-Security
Digitalisierung
12.11.2021  7 Min.
Autor: EWE business Redaktion

Interview: Polizeiexperte über Bedrohungen durch Cyberkriminalität

Laut Kriminalhauptkommissar Frank Puschin unterschätzen viele Unternehmen weiterhin die Gefahren aus dem Netz

Cyberkriminalität trifft irgendwann jedes Unternehmen im Nordwesten – davon ist Frank Puschin überzeugt. Er und seine Kolleginnen und Kollegen in der „Zentralen Ansprechstelle Cybercrime“ (ZAC) für die niedersächsische Wirtschaft haben tagtäglich mit Gefahren aus dem Netz zu tun. Denn sie agieren als polizeiliche Berater für Firmen, Verbände und Behörden bei der Prävention von Cyberkriminalität und im Schadensfall. Unsere Redaktion hat sich mit dem Kriminalhauptkommissar über die Trends der Cyberkriminalität im Nordwesten, die Auswirkungen für Unternehmen und den Stellenwert von IT-Sicherheit unterhalten.

 

Herr Puschin, was genau sind die ZAC und was machen sie?

Puschin: Die ZAC wurden 2011 in jedem Bundesland eingerichtet und sollen Unternehmen, Behörden und Verbänden in dem jeweiligen Bundesland vor und nach einem Cyberangriff Hilfe und Unterstützung bieten. Vor einem Angriff werden Schulungen und Beratungen durchgeführt. Nach einem Cyberangriff unterstützt die ZAC Unternehmen bei der Bewältigung des Angriffs, beispielsweise in einem Krisenteam. Die niedersächsische ZAC bietet unter https://zac-niedersachsen.de umfangreiche Informationen und Kontaktmöglichkeiten für Unternehmen, die ihren Sitz in Niedersachsen haben.

 

Von Cyberkriminalität sind aktuell eine ganze Menge Unternehmen betroffen. Worin genau sehen Sie die größten Gefahren für Firmen?

Puschin: Aktuell stellt der Phänomenbereich der "Ransomware“, also sogenannte Verschlüsselungstrojaner, die größte Bedrohung für Unternehmen dar. Dabei wird ein Unternehmen zunächst durch beispielsweise einen schadhaften E-Mail-Anhang kompromittiert, und danach werden alle Daten des Unternehmens verschlüsselt. In aktuellen Varianten werden vorher auch noch die Daten ausgeleitet und Veröffentlichungen im Darknet gedroht. Die Firma soll dann ein Lösegeld (ein sogenanntes „Ransom“) zahlen, um die Daten wieder entschlüsseln zu können. Ist das Firmenbackup ebenfalls verschlüsselt, stehen die Unternehmen vor großen Schwierigkeiten und teilweise vor dem Ruin.

 

Was sind aus Ihrer Sicht die häufigsten Gründe, warum das Thema IT-Sicherheit weiterhin bei vielen Verantwortlichen in Unternehmen nicht die Priorität genießt, die das Thema eigentlich bräuchte?

Puschin: Die Investition in IT-Sicherheit bringt auf den ersten Blick keine sichtbaren Vorteile, sondern stellt nur einen erheblichen Kostenfaktor dar. Darüber hinaus ist die Gefahr für die Verantwortlichen nicht wirklich greifbar. Häufig herrscht das Gefühl, dass es nur große Firmen betreffen würde. Auch gibt es nur wenige Firmen, die nach einem Angriff mit den Geschehnissen offen umgehen und somit als Warnung für andere gelten. Dies führt dazu, die Risiken nicht wahrzunehmen, weil es ja nur wenige zu treffen scheint. Das mögliche Ausmaß eines Cyberangriffs wird unterschätzt.

 

Wie fahrlässig ist es aus Ihrer Sicht, wenn Unternehmen zu wenig in IT-Sicherheit investieren?

Puschin: Abgesehen von den durchaus möglichen Gefahren für Leib oder Leben von Menschen ist schon der im Raum stehende monetäre Schaden eines Cyberangriffs immens und kann schnell zu einer Existenzbedrohung führen. Speziell im Hinblick darauf, dass früher oder später jedes Unternehmen Opfer von Cyberangriffen wird und es oft nur eine Frage der Zeit ist, sollten Firmen in die IT-Sicherheit investieren.

 

Eine Frau steht in einer Automobil-Produktionshalle nutzt im Stehen ein Tablet.
Das WLAN in einer Fabrik ist ein gern genutztes Einfallstor für Cyberkriminelle. (Bild: Morsa Images / E+ / Getty Images)

 

Gehen wir mal einen Schritt weiter. Ein Unternehmen wird erpresst. Was raten Sie?

Puschin: Sofern es sich hierbei um Ransomware handelt, ist unsere generelle Empfehlung, das Lösegeld nicht zu bezahlen. Denn selbst wenn nach der Bezahlung eine Entschlüsselung durch die Täter ermöglicht wird, ist eine sofortige Rückkehr zum Alltagsbetrieb nie gegeben. Die Software zur Entschlüsselung ist häufig fehlerbehaftet, arbeitet nur langsam oder berücksichtigt besondere Berechtigungen nicht. Dadurch sind immer erhebliche Nacharbeiten erforderlich. Außerdem ist die komplette Infrastruktur als kompromittiert anzusehen und macht in den meisten Fällen einen Neuaufbau erforderlich. Durch die Zahlung von Lösegeld wird darüber hinaus der Anreiz für kriminelle Akteure nur noch weiter erhöht, mittels Ransomware anzugreifen. Wenn für ein solches Szenario keine Notfallpläne oder Prozesse vorhanden sind, empfiehlt es sich, zügig die richtige Expertise zu holen, um erste Schritte einzuleiten.

 

Zum Thema Cybercrime hat sich ja regelrecht ein Wirtschaftszweig in der Underground-Economy gebildet. Was sind aktuell Ihre Beobachtungen?

Puschin: Interessant in diesem Zusammenhang ist, dass oftmals schon bei einem Ransomware-Angriff mehrere Gruppierungen zusammenarbeiten. Es gibt Anbieter, die sich auf den initialen Zugriff auf ein Unternehmensnetzwerk spezialisiert haben, oft durch gezielte E-Mail-Attacken mit Schadsoftware. Dann gibt es Teams, die sich im Netzwerk ausbreiten und sich weitere Rechte verschaffen. Danach kommt dann eine andere Gruppierung, die Daten ausleitet, sie verschlüsselt und dann die Firma erpresst. Bei allen Schritten kann es sich natürlich auch um ein und dieselbe Gruppe handeln.

 

Wie hat sich die Qualität der Angriffe in den letzten Monaten verändert?

Puschin: Die Qualität der erfolgreich ausgeführten Angriffe unterscheidet sich je nach betroffenem Unternehmen mittlerweile häufig. Das erste Selektionskriterium zur Auswahl möglicher Opfer ist meist eher technischer Natur. Das kann zum Beispiel bedeuten, dass eine Gruppierung explizit nach öffentlich erreichbaren Systemen sucht, welche eine alte beziehungsweise verwundbare Software im Einsatz haben, um somit ins Netzwerk zu gelangen. Häufig wird erst nach dieser erfolgreichen Kompromittierung eine genauere manuelle Betrachtung des betroffenen Unternehmens vorgenommen, um die weitere Vorgehensweise anzupassen oder den Zugang zum Netzwerk an Dritte zu verkaufen.

 

Herr Puschin, danke für Ihre Zeit.

Interessante Artikel aus dem EWE business Magazin

Beitrag teilen

Mehr Datenschutz: Erst bei Klick auf einen Link werden Daten an Dritte übermittelt.