Schadprogramme, Botnetze, Phishing sowie DoS-, DDoS- und APT-Angriffe, obendrein Social Engineering, Cyberspionage und -sabotage: Die fortschreitende Digitalisierung und Vernetzung stellt Unternehmen, Verwaltungen und Privatnutzer vor immer komplexere Herausforderungen. Kriminalhauptkommissar Witgar Neumaier, Leiter des Fachkommissariates Cybercrime bei der Kriminalpolizeiinspektion Rosenheim, warnte deshalb auf der jüngsten Sitzung des IHK-Regionalausschusses im Bräustüberl der Brauerei Flötzinger eindringlich vor der steigenden Verwundbarkeit der Firmen. Datenschutzexperte Andreas Stürzl empfahl den Geschäftsführern zudem, eine Cybersicherheitsstrategie einzuführen. Und Ausschussvorsitzender Andreas Bensegger ermutigte Unternehmer und Behördenvertreter zur gründlichen Vorbereitung auf die Einhaltung der EU-Datenschutzgrundverordnung.
Das Internet ist kein rechtsfreier Raum und angezeigte Cyberdelikte werden geahndet. So ist die Zahl der in Deutschland polizeilich erfassten Fälle im Bereich Cyberkriminalität laut Statista von 45.739 Straftaten im Jahr 2015 drastisch angestiegen auf 82.649 im Jahr 2016. Diese Statistik umfasst Cyberdelikte wie Computerbetrug, Betrug mit Zugangsberechtigungen für Kommunikationsdienste, Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung, Datenveränderung/Computersabotage sowie Ausspähen und Abfangen von Daten einschließlich Vorbereitungshandlungen.
Der Studie „IT-Sicherheit und Datenschutz 2017“ zufolge sollen die Investitionen deutscher Unternehmen in IT- und Informationssicherheit in den nächsten zwölf Monaten um rund ein Drittel stark zunehmen. Dr. Thomas Lapp, Vorsitzender der unabhängigen „Nationalen Initiative für Informations- und Internetsicherheit e. V. (NIFIS)“, welche die Studie jährlich erstellt, vermutet, dass viele der befragten IT-Experten bereits mit Sicherheitsvorfällen konfrontiert waren: 56 Prozent der Studienteilnehmer gingen davon aus, dass bis zu 75 Prozent der Unternehmen in den letzten drei Jahren aufgrund von Cyberkriminalität aktiv Schadensbegrenzung betreiben mussten.
Prävention und Abwehr elektronischer Attacken
Kriminalhauptkommissar Neumaier erläuterte auf der jüngsten Sitzung des IHK-Regionalausschusses Rosenheim die „aktuellen Angriffsvektoren“ und redete den rund 40 Unternehmern und Behördenvertretern ins Gewissen, der Bedrohung proaktiv zu begegnen. Abgesehen von täglich weltweit 30 Milliarden verschickten Spam-Mails und 300.000 neuen Viren seien „CEO-Fraud“ und Verschlüsselungstrojaner tückisch: Bei ersterem werden fingierte E-Mails an ausgewählte Mitarbeiter mit der Aufforderung zur Überweisung hoher Geldbeträge im Namen der Geschäftsführung geschickt, bei letzterem sperrt Schadsoftware im Handumdrehen IT-Systeme oder Daten und gibt vor, sie erst zu entschlüsseln nach Zahlung von Lösegeld in Kryptowährung. Die Münchener „Zentrale Ansprechstelle Cybercrime (ZAC)“ registriert jeden Monat bis zu fünf von CEO-Fraud betroffene Unternehmen. Allein in den Landkreisen Rosenheim und Miesbach haben seit 2016 über 40 Betriebe Cyberangriffe angezeigt.
Informationssicherheit müsse nach Neumaier aktiv gemanagt werden. Der erste Schritt sei die Klassifizierung der Daten, ihm folgten ein IT-Sicherheitskonzept, Policies, Awareness, Prozessmanagement und schließlich ein Plan mit Eskalationsstufen bei Cyberangriffen. Darauf aufbauend erklärte IT-Experte Andreas Stürzl den Zweck einer „Sicherheitskultur“ und empfahl methodisch den fundierten Einstieg mit einem technischen und organisatorischen Audit. Da die Sicherheitsvorfälle vielfältig und häufig seien, sei Prävention erforderlich und die Geschäftsleitung müsse die Risiken kennen. 100-prozentige Sicherheit könne zwar nie garantiert, wohl aber ein hohes Maß an Sicherheit erreicht werden, so Stürzl.
Bayerische Cybersicherheitsstrategie
Obschon Cybersicherheit primär in der Verantwortung des Nutzers liegt, kommt dem Staat eine Schutzfunktion zu. Die Bayerische Cybersicherheitsstrategie soll Staat, Wirtschaft und Bürger vor Cybergefahren schützen, auch beratend. So ist die ZAC beim Bayerischen Landeskriminalamt (BLKA) für bayerische Unternehmen, Behörden, Verbände und sonstigen Institutionen Ansprechpartner zur Bekämpfung der Cyberkriminalität. Einfach gelagerte Fälle bearbeiten die Polizeiinspektionen, mittelschwere und schwere Cyberdelikte die Fachkommissariate Cybercrime bei den Kriminalpolizeiinspektionen und den Polizeipräsidien in München, Nürnberg und Augsburg.
Das „Cyber-Allianz-Zentrum Bayern (CAZ)“ beim Bayerischen Landesamt für Verfassungsschutz (LfV) ist für bayerische Unternehmen, Hochschulen und Betreiber kritischer Infrastrukturen Ansprechpartner bei Angriffen mit Spionage- oder Sabotagehintergrund. Das CAZ analysiert die Angriffe forensisch-technisch, bewertet sie nachrichtendienstlich und verknüpft sie mit Erkenntnissen des Bundesamtes für Verfassungsschutz (BfV) sowie des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Bei Fragen zur Cybersicherheit ist wiederum die örtliche Polizeiinspektion Ansprechpartner für Privatanwender, Fragen des Datenschutzes im Zusammenhang mit Cyberkriminalität beantwortet das Landesamt für Datenschutzaufsicht (LDA).
EU-Datenschutzgrundverordnung
Neben der Cyberkriminalität setzt die striktere Gesetzgebung zur Datensicherheit kleine und mittelständische Unternehmen (KMU) zusätzlich unter Druck. So müssen sie die Anforderungen der EU-Datenschutzgrundverordnung (DSGVO), dem ersten EU-weit gültigen Regelwerk zum Erfassen und Verbreiten von Daten, bis zum 25. Mai 2018 umsetzen. Bislang erfüllen nur zehn Prozent der Unternehmen die neuen Standards, besagt die Studie „Auswirkung der Datenschutzgrundverordnung auf Unternehmen“ der artegic AG. Ähnliche Ergebnisse liefern Studien von Bitkom und Trend Micro. Wer seine Prozesse zur Datenerfassung und -verarbeitung bis zum Fristende aber nicht an die Anforderungen des DSGVO angepasst hat, riskiert Bußgelder in Höhe von bis zu vier Prozent des Jahresumsatzes, worauf Andreas Bensegger hinwies.
Die DSGVO betrifft den Umgang mit allen personenbezogenen Daten. So ist deren Weiterverarbeitung nur noch bei kompatiblen Zwecken zulässig. Die Anforderungen an den Nachweis einer effektiven Einwilligung wird erhöht, jene an den Widerruf der Einwilligung herabgesetzt, das Kopplungsverbot verschärft, die Informations- und Auskunftspflichten sowie die Lösch- und Widerspruchspflicht erweitert. Die Unternehmen erliegen einer erweiterten Rechenschaftspflicht, müssen unter anderem ihre Datenverarbeitungsprozesse dokumentieren, Datenschutz- und Einwilligungserklärungen prüfen, Betriebsvereinbarungen anpassen, „Risk Assessment“ und „Privacy Impact Assessment“ einführen und nationale Gesetzgebung sowie Fortbildung monitoren. Details sind online abrufbar unter https://dsgvo-gesetz.de.
Eines ist sicher: Verletzungen des Datenschutzes werden durch die DSGVO vermehrt zu Klagen führen. Internet-Giganten wie Facebook und Google sind bereits im Visier der Datenschützer. Ihnen gegenüber will beispielsweise die aus Croudfunding finanzierte neue Organisation „noyb“ die Rechte der Verbraucher via Sammelklagen juristisch durchsetzen. Die Abkürzung „noyb“ steht hierbei für „none of your business“, auf Deutsch „Geht Dich nichts an“, und zeigt die Stoßrichtung. „noyb“ soll zudem zur Anlaufstelle für Whistleblower werden, welche Datenschutzverstöße öffentlich machen wollen, sagt Gründer und Datenschützer Max Schrems. Stärker gefordert sein dürften auch die Verbraucherschützer. Derzeit registriert etwa das Frühwarnnetzwerk der Verbraucherzentralen Beschwerden wegen unbeabsichtigt abgeschlossener Verträge mit GMX und web.de. Susanne Baumer, Teamleiterin „Marktwächter Digitale Welt“ in der Verbraucherzentrale Bayern, kritisiert daher die Werbung dieser E-Mail-Dienste für deren kostenpflichtige Produkte als verbraucherunfreundlich.
Olaf Konstantin Krueger
Leserinnen und Leser dieses Beitrags interessierten sich auch für diese blick-Artikel:
Polizei geht gegen „Auto-Poser-Szene“ vor: Jetzt reicht’s! (23.08.2017)
Raubversuch war „nur“ vorgetäuscht (28.07.2017)
Polizeiliche Kriminalstatistik 2016: „Oberbayern Süd ist sicher“ (15.03.2017)
„Bürger schützen Bürger“: „Sicherheitswachtler“ für Waldkraiburg gesucht (09.03.2017)
Offensive gegen Hoax in Sozialen Netzwerken. Kopp: „Zivilcourage ist auch im Internet unabdingbar“ (10.01.2017)
Polizei geht gegen gefälschte Meldungen vor (04.01.2017)
Vorsicht – Trickbetrüger: „Seien Sie misstrauisch!“ (07.12.2016)
Einheitliches Funknetz für Rettungs- und Sicherheitskräfte: Eintritt ins „digitale Zeitalter“ (06.10.2016)
Trittbrettfahrer werden belangt: Falsche Bombendrohung ist kein Dummejungenstreich (10.08.2016)
Selbstverteidigungswaffen sind gefährlich: „Selbstbehauptung“ statt Aufrüstung (28.01.2016)
