Digitale Selbstverteidigung: Eine Patentlösung gibt es nicht

0
220
Wer heute effektive digitale Selbstverteidigung betreiben wolle, müsse sich zwingend der Komplexität der Lage anpassen und stets reaktionsschnell sein, so die Diskutanten des 14. BDCS. (Foto: stevepb/pixabay.com)

DDoS, Emotet, Spear Phishing: Die Gefahren des Cyber-Raums werden nicht nur elaborierter, sie werden auch zahlreicher. Wurden 2016 ca. 4.000 Ransomware-Angriffe an einem Tag notiert, liegt die Zahl im Jahr 2020 – nicht zuletzt ein Resultat von COVID-19 – inzwischen im zweistelligen Millionenbereich. Ficht die digitale Selbstverteidigung also einen aussichtslosen Kampf? Nein, sind sich die Diskutanten des 14. Bonner Dialogs für Cybersicherheit (BDCS), der aufgrund der Corona-Krise diesmal online stattfand, einig. Zwar seien im Rahmen des jüngsten Digitalisierungsschubs auch die Möglichkeiten für digitale Sabotage gewachsen, zu spät sei es aber nicht. Demgegenüber laute das Gebot der Stunde: Lieber heute als morgen, denn dann sei es vielleicht schon zu spät.  

Was im gesellschaftlichen Leben eine Ausnahmesituation, ist im virtuellen Raum des Netzes bereits seit langem Realität. “Eine Pandemie herrscht im Cyber-Raum schon seit Jahren”, erklärt Dirk Backofen, Leiter Telekom Security und Vorsitzender des BDCS. Derzeit verbuche man 71 Millionen Angriffe an einem einzigen Tag, wobei Spear Phishing und DDoS-Attacken die gängigsten Varianten darstellten. Die Wege, die Hacker einschlügen, um aus der Krise Kapital zu schlagen, reichten von gefälschten Domains der Weltgesundheitsorganisation (WHO) – derer entstehen bis zu 6.000 in nur einer Woche – bis hin zu Betrugsfällen bei der Corona-Soforthilfe in Nordrhein-Westfalen. In jüngster Zeit vor allem betroffen seien Unternehmen, die Krisen-bedingt ins Home-Office wechseln mussten. “In der gegenwärtigen Lage mag remote eine veritable Lösung sein. Die interne Kommunikation wird durch sie aber verlangsamt, so dass Hacker am Ende leichteres Spiel haben, Unsicherheiten der Mitarbeiter auszunutzen.” Für Backofen liegt das Problem auf der Hand: “Einer klickt immer”. Neben technischen Maßnahmen brauche es daher auch eine Sensibilisierung der Belegschaft, im Rahmen derer auf das Spektrum potenzieller Gefahrenquellen im Netz aufmerksam gemacht werde.

Es fehlt an Einsicht

Gerade an der nötigen Sensibilität fehle es jedoch – nicht nur bei der Belegschaft, sondern auch bei der Unternehmensführung oder Privatpersonen, so Michael Bartsch, Geschäftsführer der Deutor Cyber Security Solutions Switzerland GmbH. “Die Einsicht, dass jeder Opfer werden kann, ist in vielen Fällen nicht gegeben”, ist er sich sicher. Bartsch ist Cyber-Krisenmanager und weiß um die Tragweite, die ein erfolgreicher Angriff auf die digitale Infrastruktur eines Unternehmens haben kann. In der Regel seien es neue Produkte, Partnerschaften oder Patente, die Begehrlichkeiten weckten und Firmen ins Visier von Hackern brächten. Mit teils gravierenden Folgen: Bei seiner Tätigkeit seien ihm zuweilen Fälle untergekommen, wo die gesamten Strukturen des Back-Offices zerstört worden seien. Im Vergleich dazu fiele die Angriffsquote bei Privatpersonen zwar geringer aus, aber auch hier bestünden Mittel und Wege, persönliche Informationen in Geiselhaft zu nehmen. In allen Fällen ging der Datenklau mit Lösegeldforderungen einher. Inzwischen habe sich ein regelrechter Dienstleistungssektor um das Wirken von Cyber-Kriminellen herum gebildet. Bartsch: “Um jeden Preis wollen Hacker den Kontakt zum Opfer aufrechterhalten, sei es in Form einer ‘Service-Hotline’ oder mit dem Versprechen, nach gezahltem Lösegeld keine weiteren Angriffe zu unternehmen.” Fein raus seien die Opfer darum nicht. Als präventive Maßnahme empfiehlt Bartsch ein externes Backup-System, das stets offline zu halten sei. Zwar könne auch das infiltriert werden, biete bei Angriffen auf den zentralen Server allerdings die Möglichkeit, sensible Daten zu schützen.

Backup-Systeme testen

Doch auch die Installation eines Backup-Systems will geübt sein. Manuel Atug, Senior Manager der HiSolutions AG und Experte für Kritische Infrastrukturen, Verschlüsselung und Sicherheitskonzepte, rät dazu, die Wiederherstellung via Backup im Vorfeld zu testen, statt blindlings darauf zu bauen, dass alles so funktioniert, wie es soll. “Es kann vorkommen, dass bei der Wiederherstellung ein Fehler auftritt, dann ist das Backup nutzlos. Auch der Faktor Zeit spielt eine gewichtige Rolle, also die Frage: Wie lange brauche ich, um sämtliche Dateien zu überspielen?” Um digitale Selbstverteidigung möglichst effektiv zu gestalten, plädiert Atug für eine Trias aus Business Continuity Management, d.h. der Schaffung von Präventions- und Wiederherstellungssystemen, Krisenmanagement und Cyber-Versicherung. In den Vereinigten Staaten von Amerika und Großbritannien bereits seit längerem etabliert, sind Letztere auf dem deutschen Markt vergleichsweise neu.

Neue Cyber-Versicherungsformate

Obschon Schnittmengen zu Modellen wie der Haftpflicht- oder Sachversicherung bestünden, böten traditionelle Policen bei Cyber-Delikten keinen umfänglichen Schutz, sagt Dr. Dominik Bender, Prokurist und Syndikusrechtsanwalt bei Dr. Axe Axekuranz Versicherungsmakler GmbH. Für ihn kennzeichnet eine gute Versicherung Schwerpunktsetzungen beim Rechtsschutz, der Übernahme cyber-spezifischer Eigenschäden, Assistance sowie der Haftpflichtkomponente. Bei der Komplexität möglicher Szenarien könne man dabei nicht alle denkbaren Risiken absichern, so Bender. “Wichtig ist, dass der Kunde erst seine ‘IT-Kronjuwelen’ ermittelt, ehe er eine Versicherung abschließt. Entsprechende Formate liegen in Form von Risiko-Analysen bereit.” Doch sei es mit dem Abschluss einer Police allein nicht getan, auch das versicherungsnehmende Unternehmen müsse die Bereitschaft zeigen, die eigenen Strukturen zu überdenken, potenzielle Risiken zu erkennen und zu minimieren. Am Ende hänge der Erfolg maßgeblich an einer offenen Kommunikation aller Parteien, die Belegschaft eingeschlossen. Benders Fazit: Obwohl Kriminelle inzwischen mit Tools auf Geheimdienstniveau operierten, sei die Lage nicht aussichtslos. Endscheidend sei, dass der Bereich der Sicherheit schnell zulege, denn Stillstand sei letztlich eines – nämlich Rückstand.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here