Die Polizei schaut genau hin

Im Dezember 2020 meldeten die Medien beispielsweise, dass der Holzmindener Konzern Symrise – einer der führenden Hersteller von Aromastoffen – Opfer eines Cyberangriffs geworden war. Hacker hatten offenbar Teile der Produktion lahmgelegt und versuchten, die Firma mit Schadsoftware zu erpressen.

Einer, der die Story kennt, ist Arnd Begemann aus Detmold. Er ist ein Kripo-Mann, allerdings offiziell ein Regierungsbeschäftigter. „Ich trage daher keine Uniform“, so der gelernte Wirtschaftsinformatiker. Bei der Polizei in Lippe sitzt Begemann rein räumlich in Lage, zuständig ist er aber im Bereich Cybercrime für ganz Lippe. Seit rund einem halben Jahr kümmert sich Begemann vorzugsweise um Prävention und versucht, das Gefahrenbewusstsein bei der Nutzung von digitaler Technologie zu erhöhen. Begemann: „In meinen ersten Monaten in diesem neuen Job habe ich mich verstärkt um Cybermobbing an Schulen gekümmert. Künftig dürften Spionagefälle in der Industrie eine größere Rolle spielen. Wir beobachten beispielsweise eine Zunahme von sogenannten CEO-Fraud-Angriffen.“ CEO-Fraud ist eine Betrugsmasche, bei der Firmen unter Verwendung falscher Identitäten zur Überweisung von Geld manipuliert werden (siehe Infokasten). Begemann: „Wird dabei Geld überwiesen, ist es auf ausländischen Konten oftmals nicht mehr zu retten.“ 

Für den Detmolder laufen die Gefahren im Netz auf drei Ebenen ab: technisch, beispielsweise mit einer schlecht konfigurierten Firewall, organisatorisch, oft durch das Fehlen des Vier-AugenPrinzips, und personell, weil Mitarbeiter:innen nicht gut genug geschult wurden. 

«Begemann: „Wir sprechen vom Risikofaktor Mensch.“

Kriminelle hätten somit leichtes Spiel, sich E-Mail-Adressen zu besorgen, ganze Accounts zu kapern und Identitäten zu nutzen. 

In Industrie und Handel sieht er Nachholbedarf in der Durchlässigkeit der IT-Sicherheitsrichtlinien. Begemann: „Die Konzepte sollten von den Mitarbeiter:innen in der Produktion bis in die Chefetage gelten.“ Die Technik in den Unternehmen sei auf einem guten Niveau angekommen, bei den Admin-Rechten weiche das Prinzip aber oftmals auf. In 2021 hatte die Polizei beispielsweise das Projekt „Mach dein Passwort stark“ ins Leben gerufen, um quasi jedermann darauf hinzuweisen, dass „12345678“ nun wirklich keine brillante Idee ist. Begemann: „So was wird von Hackern in drei Sekunden geknackt.“