Lippe Wissen und Wirtschaft, Ausgabe 04 / August 2025DruckenZurück
Die Kriminalpolizei informiert
Im privaten wie auch im beruflichen Umfeld steigen die Straftaten im Bereich Cybercrime stetig an. Cybercrime ist ein Wirtschaftszweig mit hoher Wertabschöpfung und das bei minimalem Ressourceneinsatz.
Schaden immens
Im letzten Jahr wurden 35.281 Fälle aktenkundig, bei denen Täter aus Deutschland in Deutschland Cyberangriffe ausgeübt haben. Diese Zahl hat sich gegenüber 2023 kaum verändert. 22.842 angezeigte Angriffe erfolgten aus dem Ausland, 8 Prozent mehr als 2023. Die Dunkelziffer ist hoch. Der Verfassungsschutzbericht beziffert den gesamtwirtschaftlichen Schaden in 2023 auf 148 und in 2024 auf ca. 178 Milliarden Euro. Laut Bundeskriminalamt (BKA) werden über 90 Prozent der Auslandsstraftaten nicht aufgeklärt.
Täglich kommt es zu mehreren Millionen Attacken auf Firmen und Institutionen in Deutschland jeder Größenordnung. Die meisten werden von Firewalls abgefangen und bleiben somit oft unbemerkt. Kleinere Firmen werden gerne als Einfallstor für Angriffe auf ihre größeren Kunden genutzt. Informationssicherheit sollte deshalb in Unternehmen jeder Größe Chefsache und Bestandteil der Unternehmenskultur und -strategie sein.
Kontinuierlicher Verbesserungsprozess
Für Informationssicherheit gibt es nicht den richtigen Start- und schon gar keinen finalen Endpunkt. Sie sorgt dafür, dass Kapital und Daten nicht abfließen, das Unternehmen handlungsfähig bleibt,das Vertrauen der Kunden nicht erschüttert wird und in der Folge die Mitarbeitenden ihren Arbeitsplatz behalten.
Klar ist, ein hundertprozentiger Schutz ist nicht möglich. Computerkriminelle sind meistens einen Schritt voraus und nutzen Sicherheitslücken, um in IT-Systeme einzudringen und sie zu manipulieren. Es kommt vor, dass die Übeltäter auch im eigenen Haus sitzen und ihr System gewollt oder ungewollt manipulieren. Das Ausmaß eines Angriffs und dessen Folgen können aber begrenzt werden, wenn ein individuell zugeschnittenes IT-Sicherheitskonzept eingerichtet ist und gelebt wird.
Wie können Unternehmen vorbeugen?
Einige Unternehmen sind verpflichtet, ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 zu etablieren. Dies betrifft „Kritische Infrastrukturen“ (KRITIS) und „Unternehmen von öffentlichem Interesse“ (UBI's) gemäß NIS-2-Richtlinie. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt dies unter dem Begriff „IT-Grundschutz“. Für Unternehmen ist das jedoch aus verschiedenen Gründen nicht immer umsetzbar.
Hier besteht die Möglichkeit, Teile zu verwenden und auch Checklisten abzurufen. So bietet das BSI mit der Broschüre „Cyber-Sicherheit für KMU“ einen einfachen Einstieg ins Thema sowie spezifische Informationen zum Beispiel zu Ransomeware-Angriffen. Mit dem CyberRisikoCheck nach DIN SPEC 27076 steht der Rahmen für eine externe Basisprüfung zur Verfügung.
Welche Faktoren sind besonders relevant?
Der Faktor Mensch spielt eine zentrale Rolle. Die Mitarbeitenden müssen sensibilisiert werden, mit welchen Methoden Angreifer vorgehen, und wie sie sich selbst verantwortungsbewusst verhalten. Das Vier-Augenprinzip und Penetrationstests haben sich dabei in der Praxis bewährt. Die Identifikation und die schnelle Reaktion auf sicherheitsrelevante Vorfälle sind ebenfalls von entscheidender Bedeutung. Die Grundsätze für den Umgang mit Risiken müssen verankert werden. Dazu ist ein dediziertes, auf Dauer angelegtes Schulungskonzept erforderlich.
Nicht nur in großen, auch in kleineren Unternehmen muss eine Sicherheitskultur etabliert werden. Ein Konto pro Benutzer, Gruppen- und Passwortrichtlinien sind unverzichtbar. Das kontinuierliche Protokollieren ermöglicht im Schadensfall eine zügige Analyse und Identifizierung von Ursachen. Regelmäßige Backups der Daten sind eigentlich Standard. Aber wurde jemals getestet, ob die Datenwiederherstellung aus dem Backup auch wirklich funktioniert? Die Polizei kann in vielen Fällen Unterstützung anbieten, sie scheitert jedoch oft daran, dass die Sicherung nicht eingespielt werden kann.
Was tun, wenn etwas passiert ist?
Wichtig sind klare Meldewege. Sie sollten in einem IT-Notfallmanagement beschrieben werden. In größeren Unternehmen obliegt die Leitung des IT-Notfalls in der Regel dem IT-Notfallmanager. Er agiert in enger Zusammenarbeit mit dem Datenschutzbeauftragten. Im Falle der Entwendung personenbezogener Daten ist eine Mitteilung an den Landesdatenschutzbeauftragten obligatorisch. Das BSI bietet hier mit der digitalen Rettungskette des Cyber-Sicherheitsnetzwerks ein Instrument zur Bewältigung von Vorfällen an. Fällt das Unternehmen unter KRITIS oder die NIS-2-Richtlinie, werden entsprechende Vorgehensweisen über das ISMS vorgegeben. Zudem muss es den Vorfall bei der Polizei anzeigen. Das gilt in der Regel auch für Unternehmen, die eine Cybercrimeversicherung abgeschlossen haben. Alle übrigen Unternehmen müssen der Polizei keine Meldung erstatten.
Handlungsempfehlungen und Sofortmaßnahmen gerade auch bei Ransomware-Angriffen:
• Netze trennen,
• Unterhändler der BSI-Liste beauftragen,
• nicht mit Tätern eigenständig verhandeln,
• Backups prüfen
• …
Die Polizei kann auch technische Unterstützung anbieten. Es wird empfohlen, das Cybercrime Kompetenzzentrum des Landeskriminalamts (LKA) zu involvieren.