Erst Vernetzung und Compliance machen IT-Sicherheit komplett

Zum Jahresanfang warnte das BKA vor einem signifikanten Anstieg der DDoS-Angriffe. Auch andere Arten von Cybercrime befinden sich als Folge eines riesigen Digitalisierungsschubs im Aufwind und bedrohen derzeit Wirtschaftsunternehmen, Institutionen und Privatpersonen. Da betroffene Unternehmen zwar immer häufiger Anzeige erstatten, können die Ermittlungsbehörden zunehmend wichtige Erkenntnisse über die Täter gewinnen. Gleichzeitig stehen jedoch die staatlichen Organe bei ihrer Arbeit nicht selten vor großen Herausforderungen, weil Cybercrime nationale Grenzen überschreitet, IP-Adressen oft der einzige Anfasser in einem Ermittlungsverfahren sind und Täter sich regelmäßig hinter Kryptierungs- und Anonymisierungsdiensten verstecken.

Unternehmen und Verwaltungen, die jederzeit und ohne Vorwarnung zum Opfer werden können, sollten daher keine Zeit verlieren, sich im Bereich Digitalisierung und IT-Sicherheit strukturell, technisch und juristisch gut aufzustellen.

Die mit Carsten Meywirth, Leiter der Abteilung Cybercrime beim BKA, Tim Wybitul, Partner Data Privacy bei Latham & Watkins, Marc Wilczek, Geschäftsführer beim IT-Sicherheitsdienstleister Link11 und Moderator Thomas Kuhn, Tech-Reporter Innovation & Digitales bei der WirtschaftsWoche, hochkarätig besetzte Expertenrunde diskutierte live am 20.05.2021 Fragen von Cyber-Security, Cyber Crime und Cyber Law.

Den vollständigen virtuellen Roundtable finden Sie als Aufzeichnung zum Abruf bereit oder die wesentlichen Punkte in der folgenden Zusammenfassung.

Vielfältige Bedrohungen im digitalen Raum

Cybercrime nimmt nicht nur gefühlt, sondern auch belegbar mit Zahlen immer weiter zu. Zu dem Schluss kommt das aktuelle Bundeslagebild Cybercrime des BKA, das Mitte Mai 2021 veröffentlicht wurde. In Deutschland ist die Zahl der angezeigten Vorfälle gegen Netze, Daten und Systeme um fast acht Prozent gestiegen, einer der Treiber war die Corona-Pandemie. Cyberkriminelle haben die Situation sehr schnell adaptiert und daraus Kapital geschlagen, fasste Carsten Meywirth im Namen des BKA die Lage zusammen. Nach seiner Einschätzung müssen sich Staat und Wirtschaft auf eine dauerhaft hohe Gefahr durch Cybercrimeangriffe einstellen. Die Angreifer bauen permanent neue Infrastrukturen auf, um ihre Attacken auszuführen, und die Täter verlagern ihren Geschäftsbetrieb auf immer neue Kanäle, um das Verfolgungsrisiko zu senken. Die Aussicht auf illegale Profite ist zu groß, als dass Cyberkriminelle von ihren Angriffen ablassen werden.

Warnung von DDoS-Angriffen als permanente Bedrohung

Besonders bei Ransomware und DDoS ist mit schwerwiegenden Angriffen zu rechnen. Das ohnehin schon hohe Niveau an Angriffszahlen erfährt aktuell einen zusätzlichen Wachstumsschub. Mehr Angriffsfläche, mehr Abhängigkeit vom Internet und der Umstand, dass sich kaum ein Unternehmen Ausfallzeiten leisten kann – das sind aus Sicht von Marc Wilczek die wichtigsten Gründe für die Zunahme der Angriffsaktivitäten speziell bei DDoS-Attacken. Durch eine Professionalisierung der Angreifer über Angebote für Cybercrime-as-a-Service sowie durch neue Technologien, die sich von Kriminellen missbrauchen lassen, gewinnt die Bedrohungslage weiter an Dynamik. Durch das Internet der Dinge und die Industrie 4.0 kommen immer mehr Geräte mit sehr schlechten oder gar nicht vorhandenen Sicherheits-Standards auf den Markt. Das lässt Forderungen nach staatlicher Regulierung und verbindlichen Sicherheitsvorschriften lauter werden.

Rolle von Politik und Regularien für die IT-Sicherheit

Der Staat ist gefordert gesetzliche Regelungen wie Normen und Standards für ein Mindestmaß an Sicherheit zu erlassen – sowohl im Kleinen bei Herstellerhaftungen für Hard- und Software als auch im Großen, wenn es um die IT-Sicherheit ganzer Unternehmen geht. Tim Wybitul sieht in der Sanktionierung von Sicherheitsdefiziten ein sehr wirksames Instrument, um das Sicherheitsniveau zu verbessern. Seit der Einführung der DSGVO achten Unternehmen viel stärker auf die Einhaltung von Datenschutz und Datensicherheit. Als weitere Folgen werden massenhafte Schadensersatzforderungen nach Cybersecurity-Vorfällen – zum Teil auch als Sammelklagen – erhoben. Diese private Rechtsdurchsetzung wird nach seiner Einschätzung mehr Rechtsvollstreckung bringen und Unternehmen in die Verantwortung für eine angemessene IT-Sicherheit zwingen. Die Firmen sollten hier mit einer Verschärfung des Schadensrahmens rechnen.

Finanzieller und juristischer Druck auf ungeschützte Unternehmen wächst

Immer noch zu oft lernen Unternehmen auf die schmerzhafte Art, welche Defizite sie in der IT-Sicherheit haben. Erfolgreiche Cyber-Angriffe tun ihnen finanziell sehr weh. Sie müssen erhebliche Mittel für die Behebung der Eigenschäden, Bußgelder und Schadensersatzklagen ausgeben. Durch die Schadenssummen wird IT-Unsicherheit ein finanzielles Preisschild zugewiesen, das sich Ausgaben für vorausschauende Sicherheitsmaßnahmen gegenüberstellen lässt.

Ist der Schaden erst einmal da, spielt Geld meist keine Rolle mehr. Tim Wybitul nennt das Phänomen reaktiven Datenschutz, bei dem erst im Eintrittsfall nach Schwachstellen und Versäumnissen gesucht wird. Davon weiß auch Marc Wilczek aus der täglichen IT-Sicherheitspraxis bei Link11 zu berichten: Viele Unternehmen leiten aus ihrer ruhigen, angriffsfreien Vergangenheit für die Zukunft ab, dass alles gut gehen wird. Sie digitalisieren und vernetzen, klammern dabei aber das Thema Corporate Governance aus. Dabei sollten digitale Gefahren so schnell wie möglich in die Risikobewertung aufgenommen und in Maßnahmen umgesetzt werden. Sonst zahlt nicht nur das Unternehmen, sondern auch die Unternehmensführung haftet. IT-Sicherheitsdefizite kristallisieren sich immer mehr als persönliches Haftungsthema für Vorstände und Geschäftsführer heraus. Kann die Unternehmensleitung nach einer Cyber-Attacke nicht beweisen, dass sie für angemessene Vorkehrungen gesorgt hat, dann droht ihr die persönliche Haftung gegenüber der Gesellschaft oder Dritten.

Wie betroffene Unternehmen mit Cyber-Vorfällen umgehen sollten

Kommt es zu einem Cyber-Vorfall, kann die schnelle, offensive Kommunikation eine wichtige Rolle bei der Schadensbegrenzung spielen. Nehmen Unternehmen im Fall der Fälle umgehend den Kontakt zu den Sicherheitsbehörden auf, steigen die Chancen, den Schaden einzugrenzen und die Cyberkriminellen erfolgreich der Strafverfolgung zuzuführen. Betroffene Unternehmen sollten sich daher so schnell wie möglich an die speziell eingerichteten Zentralen Ansprechstellen für Cybercrime der Polizeien (ZAC), die bei den Landeskriminalämtern angesiedelt sind, wenden rät Carsten Meywirth. Doch viele Unternehmen sind zögerlich, wenn es um den Kontakt zur Polizei, zum BSI oder den Datenschutzbehörden geht. Zum einen haben sie Vorbehalte und befürchten Nachteile, weiß Tim Wybitul zu berichten und verweist im Gegenteil auf durchweg positive Erfahrungen aus der eigenen Praxis. Auf der anderen Seite ist Unternehmen häufig bewusst, dass eine Anzeige mit offenlegt, wie schlecht es vermeintlich um den IT-Schutz bestellt ist. Auf einen weiteren Konflikt im Umgang mit Cyber-Angriffen weist Marc Wilczek hin. Sein Unternehmen wehrt jeden Tag Hunderte von DDoS-Angriffen erfolgreich ab. Doch allein schon der Versuch eines Angriffs ist strafbar. Nach dem Motto, dass ja gar nichts passiert ist, sehen die erfolgreich geschützten Unternehmen von einer Strafanzeige aber ab. Ohne Meldung bleibt das Dunkelfeld jedoch weiterhin groß.

Cyberkriminalität wird auch in den kommenden Monaten von einer hohen Dynamik gekennzeichnet sein und die Unternehmen umtreiben, waren sich alle Diskussionsteilnehmer einig. Gute IT-Sicherheitslösungen sind der beste Schutz. Doch Technik allein wird das Problem nicht lösen. Dazu braucht es alle Beteiligten: Neben den Unternehmen und ihren Schutzdienstleistern auch die Ermittlungsbehörden, den Gesetzgeber, die Aufsichtsbehörden sowie Experten für Datenschutz- und IT-Sicherheits-Recht.