Ein bisschen ist auch Hollywood daran Schuld, dass das Bild, das wir von einem typischen Hacker-Angriff haben, ein Zerrbild der Realität ist: Ein Nerd, der alleine in seinem Keller sitzt und entweder auf Zahlenkolonnen starrt oder bunte Animationen betrachtet, während er Dateien kopiert (was sinnlose Verschwendung von Rechenleistung wäre). Realistischer ist, dass auf seinem Monitor das Gleiche wie bei einem autorisierten Nutzer zu sehen ist (wenn er sich den Zugang verschafft hat) oder er gleich auf der Ebene des Betriebssystems agiert. Und ebenso ist es realistischer, dass es sich nicht um eine Person handelt, sondern um eine koordinierte Gruppe.
Unstreitig ist aber ein konstitutives Merkmal von Cybercrime, dass die Angriffe im Prinzip aus jedem Land der Erde und eben wirklich „grenzenlos“ erfolgen können und die Täter (im Unterschied zur Handlung im Film) oft unerkannt bleiben. Die Bedrohung in der Cyberwelt ist allerdings immanent und gewinnt mit der zunehmenden Digitalisierung naturgemäß und rasant an Bedeutung.
Das wussten Sie alles schon, weil Sie ein aktiver Netflixer sind beziehungsweise für ein Unternehmen verantwortlich? Geht Ihr IT-Chef Ihnen mittlerweile richtig auf die Nerven, langweilt Sie wahlweise mit seinen Aufrüstungsphantasien? Okay. Kommen wir zu den harten Fakten.
Berliner Kammergericht lahmgelegt
Wenn Sie diesen Beitrag lesen, spricht einiges dafür, dass Sie in einem KRITIS-Unternehmen arbeiten, also in den kritischen Infrastrukturen. Hierzu zählt man Einrichtungen, deren funktionieren für das Gemeinwohl unverzichtbar sind. Für das Bundesministerium des Innern, für Bau und Heimat sind neun Infrastrukturen relevant. Die Energieversorgung gehört hier genauso dazu wie die Wasserversorgung und Abwasserentsorgung, das Gesundheitswesen/die Ernährung, Informations- und Kommunikationstechnik, Transport und Verkehr, der Katastrophenschutz sowie das Finanz- und Versicherungswesen.
Auch Parlament/Regierung/Öffentliche Verwaltung und Justizeinrichtungen werden als einer der neun KRITIS-Sektoren eingeordnet, was uns nahtlos zum Fall des Berliner Kammergerichts führt, das sich dank einer Spam-Mail eine Schadsoftware einfing und einige Tage digital daniederlag, auch wenn es jüngst erste Erfolgsmeldungen gab. Wenig tröstlich in so einer Situation ist es, dass in den Netzen der Bundesverwaltung pro Monat immerhin rund 28.000 Emails mit Schadsoftware abgefangen werden, und zwar bevor sie die Postfächer ihrer Adressaten erreichen. In seinem Jahresbericht zur „Lage der IT-Sicherheit in Deutschland 2018“ berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) aber nicht nur hierüber. Es stellt ganz grundsätzlich fest, dass die „Gefährdungslage in den Kritischen Infrastrukturen … insgesamt auf hohem Niveau“ ist und mahnt auch aktuell wieder zu Aufmerksamkeit und Kooperation.
Im Jahr 2018 gab es über 87.000 Cybercrime-Fälle im engeren Sinne. Allgemein wurde das Internet in über 270.000 Fällen als Tatmittel genutzt. Dies weist die polizeiliche Kriminalstatistik für Deutschland aus. Das Bundeskriminialamt spricht auf seiner Webseite zudem von einer hohen Dunkelziffer.
Spricht man mit Stadtwerklern und Netzbetreibern, wird schnell klar: Sie werden an manchen Tagen mit hunderten von Angriffsversuchen konfrontiert. Erwartbar hebt Ihr IT-Mann jetzt den Finger und sagt typischerweise, dass neben der Ertüchtigung der IT-Systeme auch Ihre Mitarbeiterinnen und Mitarbeiter entsprechend sensibilisiert werden müssen. Spätestens nun wird Ihnen klar, dass Sie sich bereits mitten in einem echten Compliance-Thema befinden. Verantwortungsketten müssen organisiert, Regeln geschaffen, ihre Wirksamkeit getestet und Mitarbeiter geschult werden. Um die Arbeitsfähigkeit Ihres Unternehmens zu schützen, finanzielle sowie Imageschäden abzuwenden und – im Falle des Falles, last but not least – auch Ihnen als Führungskraft den Hals zu retten.
Rechtlichen Vorgabe am Ball zu bleiben
Zudem müssen Sie das BSI-Gesetz und die BSI-Kritisverordnung und ihre besonderen Anforderungen an die IT-Sicherheit beachten, denn (wir sagten es bereits) die kritischen Infrastrukturen sind außerordentlich gemeinwohlrelevant. Jeder kennt das Beispiel Ukraine, wo Ende 2015 in Hunderten von Städten mit einem Mal der Strom ausging. Hundertausende von Menschen waren damals stundenlang ohne Strom. Damit ist die Gefahr eines möglichen Blackouts nicht nur Thema für die Debatte um die Versorgungssicherheit, sondern auch für die Diskussion rund um die Cybersicherheit. Und wird noch einmal mehr zum zentralen Anliegen der „C-Suite“, also der obersten Ebene des Unternehmens.
Laut BSI-Gesetz müssen die Unternehmen „angemessene organisatorische und technische Vorkehrungen“ treffen. Was der Laie „Gummiparagraf“ nennt, ist für den Fachmann der „Interpretationsspielraum“, was nicht dazu verleiten soll, das hier ausgesprochene Handlungsgebot zu unterschätzen. Sehr klar lässt sich für den Juristen hier entnehmen: Stillstand ist nicht. Sie müssen immer „am Ball bleiben“, das Wettrüsten hinsichtlich der IT-Technologien und -maßnahmen beobachten und auf der Sicherheitsseite auch mitspielen.
Nicht nur hier gilt Sepp Herbergers Fußballweisheit „Nach dem Spiel ist vor dem Spiel“. Sie müssen neben Ihrem IT-Leiter auch Ihre Organisation im stetigen Blick haben, nachbessern, das Vier-Augen-Prinzip leben, immer wieder schulen und testen. Sonst geht es Ihnen wie dem armen Papierunternehmen, dessen Zertifikate-Konto durch eine täuschend echte Phishing-Email „der DEHSt“ und mit ahnungsloser Unterstützung eines leider damals noch allein handlungsfähigen Mitarbeiter leergeräumt wurde (Schaden: 2,5 Millionen Euro). Oder dem Unternehmen, das Wechseldatenträger für Mitarbeiter-Überstunden ausnahmsweise zuließ und dank einer Ransomware, im Volksmund auch Erpressersoftware genannt, seine Steuerungskomponenten lahm legte (Schaden: k.A.).
Hören Sie also nicht weg, wenn Ihr ITler wieder dringend was Neues kaufen muss oder Ihr Compliancemanager Ihre Mannschaft (und Sie) in die nächste Cyberabwehr-Schulung schicken möchte. Sonst haben Sie bald mehr Hollywood im Haus als Sie verkraften möchten.
