Was Unternehmen gegen Cyberkriminalität tun können
Zehntausende Unternehmen, Vereine und Privatpersonen werden jedes Jahr in NRW Opfer von Cyberkriminalität. Düsseldorf als wichtiger Wirtschaftsstandort ist besonders betroffen.
Cybersicherheit wird für Düsseldorfer Unternehmen und Vereine immer wichtiger – und komplexer. „Das Thema sollte ganz weit oben auf der Agenda stehen“, sagt Marion Hörsken, Geschäftsführerin der Industrie- und Handelskammer. „Wir empfehlen, es zur Chefsache zu machen.“
Bei Stefan Zöllner rennt sie damit offene Türen ein. Der 50-Jährige arbeitet bei der Polizei als Experte für Cyberkriminalität und berät Organisationen, wie sie ihre IT sicherer machen und sich gegen Angriffe von Hackern schützen können. „Viele sind noch sehr unbedarft“, sagt der Sachbearbeiter. „Ich kann das aber auch ein Stück weit verstehen. Es ist nicht das Metier des Arztes oder Werbers, sich mit IT-Sicherheit auseinanderzusetzen.“
Jedes Unternehmen – angefangen beim Selbstständigen als IchAG – kann betroffen sein, betont Zöllner. Er erzählt von PCs in Arztpraxen, deren Webcams von außen aktiviert werden konnten – was Hackern den Blick ins Wartezimmer ermöglichte. Ein anderes Beispiel: Ein deutscher Mittelständler bekommt von einem Geschäftspartner in China plötzlich Mails von einer anderen Adresse. Die alte sei wegen Serverproblemen aktiviert. Der Chinese stellt einen Top-Deal in Aussicht. Er brauche dafür schnell eine Überweisung von 14.000 Euro. „Natürlich steckte hinter dem E-Mail-Schreiber jemand ganz anderes, der die Identität des chinesischen Geschäftspartners gestohlen hatte.“
Viele Varianten der Cyberkriminalität sind möglich: Hacker können in Computer eindringen und sensible Daten stehlen. Mit Spyware beobachten sie alles, was auf dem Computer passiert. Mail-Accounts werden gehackt und die Adressen missbraucht. Computer werden gesperrt, die Daten sind dann nur gegen Lösegeldzahlung zugänglich. Unter Cyberkriminalität fallen aber auch Betrugsdelikte, die übers Netz angebahnt werden – wie etwa im Fall des falschen chinesischen Geschäftspartners.
Wie viele Unternehmen, Institutionen und Vereine in Düsseldorf betroffen sind, wird nicht statistisch ermittelt. Das Landeskriminalamt sammelt aber NRW-weite Zahlen. Demnach wurden 2018 mehr als 55.700 „Straftaten mit dem Tatmittel Internet“verübt – knapp 35.000 davon konnten aufgeklärt werden. Das sind 35,5 Prozent. Insgesamt sind die Fallzahlen seit 2017 um 14 Prozent zurückgegangen. Allerdings schwankten die Zahlen in den vergangenen Jahren relativ stark, sodass man nicht von einem Trend sprechen kann. Besonders stark zugenommen hat Computerbetrug mit geklauter PIN oder anderen digitalen Zahlungsmitteln. Beim LKA heißt es, viele Straftäter hätten inzwischen erkannt, dass Cyberkriminalität lukrativer sei als andere Formen des organisierten Verbrechens – und dabei deutlich weniger gefährlich.
Betroffen sind neben Unternehmen auch Vereine. Unter Umständen sind sie sogar besonders gefährdet, weil sich dort Ehrenamtliche in ihrer Freizeit mit dem Thema befassen müssen. Ein Angriffsziel sind sie aber trotzdem, da sie in vielen Fällen einerseits große Geldsummen verwalten und andererseits die Daten ihrer Mitglieder. Auch sie können sich von der Düsseldorfer Polizei beraten lassen.
Das sind die wichtigsten Tipps von Cybersicherheits-Experte Stefan Zöllner:
Sensibel werden
Der erste Schritt zur Cybersicherheit ist es, sich mit dem Thema zu befassen. Alle Mitarbeiter sollten regelmäßig über das Thema informiert werden, um es stets im Hinterkopf zu haben. Wichtig: Wenn Laptops beispielsweise im Homeoffice eingesetzt und dann mit dem Firmennetzwerk verbunden werden, sind auch sie ein Einfallstor. „Neugier und Ahnungslosigkeit sind die größten Probleme bei der Cybersicherheit“, sagt Experte Stefan Zöllner. Manche Firmen machten den Test, erzählt er: „Sie werfen eine Handvoll billige USB-Sticks auf den Parkplatz und schauen dann, wie viele später an einem Firmenrechner angeschlossen werden.“
Skeptisch bleiben
Viele Cyberangriffe lassen sich relativ schnell entdecken: Kommen Mails von einer merkwürdigen Adresse? Schicken Unbekannte fragwürdige Dateien als Anhang? Vor dem Klicken unbedingt nachdenken – und im Zweifel auf einem alternativen Kontaktweg (etwa telefonisch) nachfragen. Es gibt aber auch versteckte Fallen: Zöllner schildert einen Fall, bei dem Personalabteilungen Initiativbewerbungen per Mail bekamen. Die Lebensläufe hatten auf den ersten Blick die unverdächtige Dateiendung .pdf. Das Kürzel war aber Teil des Dateinamens – Windows hatte die echte Dateiart (.exe) verborgen. „Das lässt sich mit einem Klick ausschalten – man muss aber wissen, wie es geht.“
Passwörter sichern
Wer sich nicht mit Passwort-Tresor-Software auseinandersetzen möchte, dem rät Stefan Zöllner: „Passwörter einfach auf ein Blatt Papier schreiben – und zwar mit Bleistift.“Denn Passwörter sollten regelmäßig geändert werden. Der Notizzettel sollte dann an einem sicheren Ort verwahrt werden.
Nicht auf Druck reagieren
In der Regel versuchen Betrüger, ihre Opfer durch große Dringlichkeit oder Lockangebote zu ködern. Auch hier sollte man skeptisch bleiben: Muss das Geld wirklich sofort überwiesen werden, muss die Datei sofort geöffnet werden?
Sicherheit zur Chefsache machen
Gerade Führungspersonen sollten über alle Schritte des Sicherheitsprotokolls informiert sein und auf die Einhaltung pochen. Es hilft nicht, wenn nur ein „Beauftragter“
sich mit dem Thema befasst.
Praktische Fragen klären
Wenn ein Cyberangriff entdeckt wird, sollte es ein Sicherheitsprotokoll geben. Wer muss informiert werden? Wie sind die Entscheidungsträger im Notfall zu erreichen? Welche Rechner müssen vom Server? Und wie geht das überhaupt? „Wenn es ganz dick kommt, muss klar sein: Alles wird abgeschaltet“, rät Stefan Zöllner.
In Datensicherheit investieren
Jede Firma und jeder Verein sollte Daten regelmäßig sichern. Zöller empfiehlt beispielsweise, fünf externe Festplatten in entsprechender Größe anzuschaffen. Jeden Freitag werden alle Daten gesichert. Am Monatsende gibt es eine Monats-Sicherung. Dann können die Freitags-Festplatten wieder überschrieben werden. „Für ein kleines Unternehmen kostet das vielleicht 700 Euro“, sagt Zöllner. „Aber wie teuer ist ein Komplettausfall?“
Nie ohne Antivirus-Software
„Ein guter Virenscanner ist in der Regel nicht kostenlos“, sagt Stefan Zöllner. Es reiche aber, mal eine Computerzeitschrift in die Hand zu nehmen, um den oder die Marktführer zu ermitteln. Ein Plus an Sicherheit gibt es dann, wenn auf verschiedenen Rechnern auch verschiedene gute Scanner installiert werden. „Was der eine nicht aufspürt, findet dann der andere.“
Die Polizei informieren
„Man holt sich die Polizei nicht so gern ins Haus“, hat Zöllner beobachtet. „Lieber versuchen Unternehmen, das Problem inhouse zu lösen.“Dann allerdings hat die Polizei keine Chance, die Aktivitäten der Kriminellen zu beobachten, Muster zu erkennen – und kann natürlich auch nicht zur Aufklärung beitragen.