VON ANDREAS SCHULTZ Rotenburg – Cyberkriminalität nimmt zu. Täter, die sich als Microsoftmitarbeiter ausgeben und arglose Menschen am Telefon dazu überreden, den Zugriff auf Computer freizugeben: Derartige Berichte häufen sich. Doch auch Unternehmen sind lukrative Ziele für Hacker und Betrüger. Deshalb macht das Rotenburger Wirtschaftsforum Cyberkriminalität zum Thema des heutigen Kommunikationstreffs für seine Mitglieder und Freunde. Einer der Sprecher des Abends ist Alexander Wolf von der Zentralen Ansprechstelle Cybercrime (ZAC) für die niedersächsische Wirtschaft. Wir haben im Vorfeld mit dem Polizeikommissar über Hackerbanden und ihr häufigstes Einfallstor gesprochen.
Herr Wolf, ist das großzügige Angebot eines nigerianischen Prinzen häufig ein Thema bei Ihnen?
(lacht) Weniger. Wir erhalten ja überwiegend Meldungen von Unternehmen. Ab und zu kommen auch mal Privatpersonen bei uns durch, die so was melden. Diese Nigeriagruppe ist bei der ZAC aber nicht so das große Thema. Es geht mehr so in die Richtung Sextortion. Es kommen immer noch viele Privatpersonen und Unternehmen auf uns zu, die eine E-Mail bekommen haben, in der steht, dass alles gehackt worden ist und dass mit der Webcam ein Video davon gedreht wurde, wie der Nutzer eine intime Handlung vornimmt. Das ist eine aktuelle Masche. Aber mit dem Prinzen hatte ich noch nichts zu tun. Was gibt es noch so für Maschen und Delikte? Sextortion ist ja nur ein kleiner Teil und in 99 Prozent der Fälle ist das Fake. Die häufigsten und gefährlichsten Delikte sind ganz klar Ransomware – also Verschlüsselungstrojaner, wo natürlich überwiegend Unternehmen das Hauptziel sind. Und dann gibt es noch den sogenannten Business-E-Mail-Compromise, dabei geht es um mehrere Delikte wie Rechnungsmanipulation, E-Mail-Postfachübernahme. Oder den CEO-fraud: Dass man sich als Geschäftsleitung ausgibt und zu dubiosen Überweisungen überzeugen will. Das sind so die Delikte, die für mich am häufigsten aufgetreten sind, bei denen auch finanzieller Schaden entstanden ist. Wie kommen die Täter an die Daten, die sie für solche Delikte brauchen? Das kann ganz unterschiedliche Gründe haben. Es fängt bei Passwörtern an. Viele Betroffene nutzen ein Passwort für viele verschiedene Plattformen. Das ist ein Grund. Ein anderer ist die Länge der Passwörter. Oft sind sie zusammengesetzt aus häufig verwendeten Begriffen, die in Wörterbüchern stehen, und daher leicht geknackt werden können. Ansonsten geht das in Richtung Phishingmails, also Mails, die zum Beispiel vermeintlich von der Volksbank stammen. Dort steht dann drin: Sie müssen ihr Konto neu verifizieren, ansonsten droht Sperrung. Man wird zu einer täuschend echt aussehenden Volksbank-Seite weitergeleitet mit einer Anmeldemaske, wo Sie Ihre Online-Banking-Daten eingeben. Und damit ist schon mal ein Ziel der kriminellen Gegenseite erreicht: dass Sie die Zugangsdaten herausgeben. Und da gibt es ja nicht nur mit Banking-Seiten, sondern auch mit Anmeldeseiten für Postfächer. Oft gibt man nicht nur die Anmeldedaten ein, sondern auch persönliche Daten wie Vor- und Zuname, Adresse, Telefonnummer. Und so können diese Daten gesammelt, weitergeleitet oder verkauft werden. Das geschieht auf verschiedenen Marktplätzen, oft im Darknet. Und dann werden diese Angriffe entweder als Massenkampagnen gestartet oder eben gezielte Angriffe auf ein Ziel, über das man schon viel erfahren hat. Das heißt, die Person, die Daten oder Passwörter beschafft hat, ist nicht notwendigerweise dieselbe, die auch den Hack durchführt? In den meisten Fällen nicht. Wenn wir vom Einsatz von Ransomware bei Unternehmen sprechen, da gibt es „Ransomware as a Service“. Leute können das als Leistung buchen. Die Datenbeschaffung wird dann aufgeteilt: Der eine sorgt dafür, dass erste persönliche Daten gephisht werden, der andere sorgt für den Erstzugang zu einem Postfach. Dann gibt es wieder eine Gruppe, die sorgt für die Verbreitung einer schadhaften Software, eine weitere, die lässt zusätzliche Software nachladen. Das ist nicht nur eine Person, die aktiv wird. Das kann natürlich auch mal vorkommen. Aber in den meisten Fällen wird der Vorgang aufgeteilt. Das funktioniert ähnlich wie in einem Unternehmen. Diese Gruppierungen suchen in Online-Foren nach neuen Mitgliedern, Leuten, die neue Schadsoftware programmieren können, nach Menschen, die Daten beschaffen und, und, und. Werden Hacker auch mal allein aktiv, wie man es aus Hacker-Filmen oder Serien wie „Mr. Robot“ kennt? Täter, die zur Vorbereitung eines Hacks Papiercontainer nach Informationen durchwühlen? Da fehlen mir die Fälle. Könnte man sich vorstellen. Ich glaube, dass in der heutigen Zeit mit Scanning-Tools und anderen Werkzeugen so viel möglich ist, dass es diese aktiven Handlungen draußen gar nicht mehr benötigt. Täter können in der Aufklärungsphase schon viel über Computer herausfinden. Daher glaube ich nicht, dass es diesen Drang noch gibt, irgendwelche Mülleimer für sensible Daten zu durchwühlen. Beim K-Treff sprechen Sie vor Gewerbetreibenden. Aber die ZAC ist ja auch bei Behörden und Verbänden zuständig. Worauf haben die Täter es in der Regel bei diesen Opfergruppen abgesehen? Das Hauptziel ist das Finanzielle. Da gibt es keinen großen Unterschied, ob das Verband, Behörde oder Unternehmen ist. Aus der Sicht der Gruppierung ist es eher ein Geschäftsvorgang. Nehmen wir mal an, der Worst Case trifft ein und ein Unternehmen, eine Behörde oder ein Verband wird verschlüsselt. Dann sagt die Gruppierung: Ihr braucht jetzt den Schlüssel, das heißt, ihr müsst mit mir ein Geschäft eingehen, den Schlüssel bezahlen, um die verschlüsselten Daten wieder zu entschlüsseln. Das geht natürlich nur, wenn man eine „Summe x“ in Bitcoin überweist – je sensibler der Bereich oder je höher der Unternehmensumsatz, desto höher wird der geforderte Betrag ausfallen. Wenn die Einrichtung bezahlt, ist es in vielen Fällen dann auch wieder gut – allerdings nicht immer hundertprozentig. So eine Entschlüsselung kann auch mal nicht oder fehlerhaft funktionieren. Und man weiß auch nie, ob da noch jemand von der Gruppierung weiter die Finger im Spiel hat, nachdem man entschlüsselt. Deswegen sagen wir auch immer: System neu aufsetzen. Wenn es geht, nicht bezahlen – außer aber man hängt wirklich kurz vor Insolvenz oder Bankrott. Das müssen Unternehmen, Verbände und Behörden dann immer selbst abwägen. Wie entwickeln sich bei Ihnen die Fallzahlen? Schwieriges Thema. Es gibt ein leichtes Auf und Ab, Tendenz steigend. Es gibt über das Bundeskriminalamt in der polizeilichen Kriminalstatistik Tabellen, die öffentlich zugänglich sind. Aber es ist schwierig, die einzuschätzen, weil nicht jedes Delikt angezeigt wird. Man muss dazu sagen, dass auch Ransomware-Fälle nicht immer angezeigt werden. Ist ja klar: Das Unternehmen hat einen Sicherheitsvorfall – und das soll, so gut es geht, keiner wissen. Manche zeigen es dann nicht an und zahlen. Ich kann Ihnen sagen, dass wir im Bereich Ransomware dreistellig sind. Aber ich kann Ihnen da keine konkreten Zahlen nennen. Die mangelnde Validität lässt das nicht zu. Dementsprechend sieht es dann wohl auch mit dem wirtschaftlichen Schaden pro Jahr aus. Auch schwierig einzuschätzen. Es ist auch schwer, zu klären, was überhaupt für ein Schaden eingetreten ist. Sagen wir, ein Unternehmen wurde verschlüsselt und soll laut Erpresserschreiben 200 000 Euro zahlen. Das Unternehmen macht es nicht und hat dann laut polizeilicher Kriminalstatistik erst mal keinen Schaden. Das Problem ist aber, dass der anhängende Produktionsausfall nicht aufgeführt wird. Laut Bitkom geht der wirtschaftliche Schaden in den dreistelligen Milliardenbereich [Anm. d. Red.: Die Studie im Auftrag des Digitalverbands Bitkom geht für das zurückliegende Jahr von deutschlandweit rund 203 Milliarden Euro aus] und da wird auch der Produktionsausfall hinzugezogen. Hat die Pandemie Einfluss auf die Entwicklung? Im Bereich Homeoffice und Remote-Zugänge gibt es eine leichte Steigung. Vielleicht kennen Sie die Werbung von Microsoft: Da werben Mitarbeiter damit, dass sie rund um die Uhr erreichbar sind – auch während der Corona-Pandemie. Das nutzt eine Scam-Gruppe für sich. Die rufen bei oft älteren Betroffenen an und geben dann vor, dass der PC infiziert sei und versuchen zu überzeugen, dass sie sich zum Beispiel mit einem Remote-Tool auf den Computer schalten können. Und dann fängt das natürlich alles erst an mit dem Ausspähen von Daten und Versuchen, zu Zahlungen zu überzeugen und, und, und. Die Welt wird digitaler, das Homeoffice über VPN-Verbindung in die Firma hat in der Pandemie gerade erst Aufschwung erlebt. Machen wir es den Tätern damit einfacher? Das würde ich nicht sagen. Wenn diese Zugänge, egal ob VPN oder nicht, gut abgesichert sind, dann nicht. Das fängt an mit einem guten Passwort, mit Zwei-Faktor-Authentifizierung, verschlüsselter E-Mail-Kommunikation. Das sind alles technische Faktoren, die mehr Sicherheit bringen können. Helfen kann auch Sensibilisierung dafür, dass es solche Taten gibt, dass man aufpassen muss und sich in technischen Belangen fit halten sollte, um nicht Opfer einer Betrugsmasche zu werden. Deswegen machen wir auch diese Präventionsveranstaltungen. Da sitzen Menschen aus Unternehmen, die auch ein Privatleben haben. Und wenn die das neue Wissen weitergeben können an Familie und Freunde, dann ist das schon eine gute Sache, um sich gegen Cybercrime zu sichern. Wie kann man sich am besten gegen Cyberkriminalität schützen? Natürlich gibt es auch technische Lücken, die ausgenutzt werden können, aber das Haupteinfallstor ist die E-Mail. Da geht sehr viel: Da gehen Phishingmails, da gehen Abo-Betrügereien, Love-Scammings, da geht der nigerianische Prinz. Fakt ist: Der Mensch steht im Vordergrund. Er kann der beste Schutzschild für sich und sein Unternehmen sein, genauso gut kann er aber auch die größte Sicherheitslücke sein. Man kann die beste Internet-Security haben, wenn nicht der Mensch den letzten Klick macht, einen Dateianhang öffnet und alle Warnungen ignoriert, dann kann die Technik auch nicht mehr helfen.