2. Juni 2021
Impulse

„IT-Sicherheit nervt, aber …“

Ralf Bauce ist Schadenexperte bei der Öffentlichen Versicherung Braunschweig ... Foto: Öffentliche Versicherung Braunschweig.

Mario Klemmer (Projektleiter Cyber) und Schadenexperte Ralf Bauce von der Öffentlichen Versicherung Braunschweig in einem praxisnahen Interview zu Hackern mit Schrotflinte, Skript-Kiddies und dem Morgen, an dem dir ein Totenkopf auf dem Bildschirm entgegen grinst …

Unser Unternehmen war betroffen, ebenso die Madsack Mediengruppe oder der Lebensmittelhändler Tegut, bei dem ich neulich auf leere Regale gestoßen bin. Cyberkriminalität wird im Alltag sichtbarer, oder?
Mario Klemmer: Ja, absolut. Und es sind beileibe nicht nur die großen betroffen, wie die von Ihnen genannten Unternehmen, die Bafin oder der Bundestag. Cyberkriminalität trifft auch immer mehr KMUs, wobei die Großen in der Regel gezielt angegriffen werden und die Kleinen eher Zufallstreffer bei der Verbreitung von Schadsoftware im Netz sind. Die Hacker ballern ihre Schadsoftware quasi wie mit der Schrotflinte ins Netz und da, wo sich Türen auftun, werden sie aktiv.
Ralf Bauce: Steigende Fallzahlen erkennen wir nicht nur bei unseren Firmenkunden, sondern auch im Privatkundenbereich. Es ist erschreckend wie stark das zugenommen hat.

Die Bank of America hat berechnet, dass sich die Schäden durch Computerkriminalität weltweit auf sechs Billionen Dollar summieren – Tendenz steigend. Wie sieht es in unserer Region aus?
B: Ich kann es tatsächlich schwer quantifizieren, denn ich sehe ja immer nur den Ausschnitt unserer Kund:innen …

Wie sieht es dort aus?
B: Wenn wir vor zwei Jahren noch einen durchschnittlichen Schaden von knapp unter fünfstellig hatten, liegt dieser mittlerweile um 50.000 Euro. Das ist in so kurzer Zeit eine exorbitante Entwicklung.  Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das entsprechende Auswertungen macht, sagt, dass wir in Deutschland in diesem Jahr die 100 Milliarden Euro Marke überschritten haben. Vergangenes Jahr lagen wir bei einem Gesamtschaden von 80 Milliarden Euro. Da sieht man, welche Sprünge in diesem Bereich passieren und die Tendenz ist dramatisch.

Eine Bitkom-Studie sagt, dass drei von vier Unternehmen Opfer von Cyberkriminalität geworden sind. Gleichzeitig bleibt es ein Tabuthema, weil niemand gern über eigene Sicherheitslücken spricht …
B: So ist es. Aber: Opfer eines Cyberangriffs zu werden, ist heutzutage auch keine Schande mehr. Bei einer gut funktionierenden IT und Organisation und selbst bei allergrößter Vorsicht und Sensibilisierung und Schulung der Mitarbeiter:innen kann so ein Schaden passieren. Das ist wie bei jedem anderen Schadensfall auch.

Machen wir es doch mal konkret: Sind Sie als Öffentliche schon einmal Opfer geworden und wenn ja, wie häufig?
B: Unser Kundenportal ist einmal im Auftrag unserer IT gehackt worden. Es war erschreckend und zugleich sehr lehrreich …

… aber ein Selbsttest. Gab es denn schon eine wirkliche Attacke oder können Sie nicht darüber reden?
B: Mir ist das nicht bekannt, aber ausschließen möchte ich es nicht. Die Öffentliche ist sicherlich ein lohnendes Ziel …
K: … und es wird aus anderen Häusern immer wieder berichtet, dass Cyberattacken laufen. Aber Versicherer haben wirklich ein gutes Sicherheitsnetz. Es wird von vorneherein viel abgeblockt, was aufgrund der Daten, die wir haben, absolut erforderlich ist.

… sein Kollege Mario Klemmer leitet das Projekt Cyber im Haus. Foto: Öffentliche Versicherung Braunschweig.

Wie sieht ein typischer Angriff auf ein kleines Unternehmen aus?
B: Der einfachste Angriff, der auch am häufigsten stattfindet ist eine DDoS-Attacke, bei Unternehmen, die einen Online-Shop betreiben, der von extern mit einer unzähligen Anzahl an Anfragen der Server der Kund:innen überlastet wird, sodass dieser die Anfragen nicht mehr verarbeiten kann. Dadurch entsteht ein Betriebsunterbrechungsschaden, der relativ einfach zu beziffern und auch zu bezahlen ist. Und zur Beseitigung der DDoS-Attacke muss man an der Stelle eventuell entsprechende skalierende Leistungen seines Hosters einkaufen, oder möglicherweise den Shop auf einen anderen Server umziehen lassen.
K: Ein weiterer klassischer Fall, der auch tatsächlich in unserer Region immer wieder vorkommt ist der Mailanhang. Stellen Sie sich vor, Sie haben eine Stelle ausgeschrieben und bekommen eine Bewerbung per Mail mit einem entsprechenden Anhang, der eine Schadsoftware beinhaltet. Wenn Sie diese anklicken verbreitet sie sich in Ihrem Netzwerk und verschlüsselt die Daten. Früher waren solche Mails relativ offensichtlich zu durchschauen – mittlerweile sind die Hacker aber viel professioneller.

Welche Unternehmen und Branchen stehen denn besonders im Fokus der Kriminellen?
B: Alle sind gefährdet. Es genügt schon, wenn man im Geschäft mit Kreditkarte bezahlen kann, was massiv zugenommen hat. Es gibt beispielsweise kleine bluetoothfähige Kartenlesegeräte, die günstiger als die von großen Anbietern sind, aber eben auch weniger sicher.

Das BKA sagt, es sei wichtig, dass keine Lösegelder gezahlt werden, um das Ökosystem auszutrocknen. Ist das nicht leichter gesagt als getan?
K: Lösegeld sollte immer die letzte Möglichkeit sein, weil man nie die Gewissheit hat, dass die eigenen Daten dann wieder freigegeben werden.

Wie verzweifelt sind Unternehmer:innen, wenn sie morgens in die Firma kommen und plötzlich der Bildschirm schwarz ist?
B: Gerade die kleinen Familienbetriebe, bei denen IT noch Chefsache ist, sind oft überrascht, weil sie denken, dass sie alles Nötige getan haben. Das ist dann tatsächlich ähnlich wie bei einem Brandschaden, wo der Hauseigentümer plötzlich vor dem Ende seiner wirtschaftlichen Existenz steht und er nicht mehr weiterweiß.
K: Lediglich ein Drittel der Unternehmen haben einen Notfallplan für den Fall eines Hackerangriffs. Das ist ein Problem, denn wenn es dazu kommt, muss schnell Hilfe erfolgen.

Schauen wir auf die Hacker – ihren Antrieb, ihre Herkunft und Struktur – womit haben wir es zu tun?
B: Es gibt natürlich die „Skript-Kiddies“, die sich in Foren oder Chatgruppen das Wissen angeeignet haben und aus Spaß oder wegen des Nervenkitzels mit selbstgebauten Trojanern oder Viren auf fremde Systeme zugreifen. Das ist aber nicht die Gruppe, die zu großen Schäden führt …

… kommen wir zu genau diesen großen Fischen …
B: Es gibt Angreifer aus Russland, China und mittlerweile auch zunehmend den USA. Der Antrieb ist unterschiedlich, die russischen Gruppen greifen häufig öffentliche Einrichtungen, aber auch Unternehmen an, zum Beispiel indem sie deren Daten verschlüsseln. Das Gleiche sehen wir bei Angriffen aus China, wobei hier Business- und Finanzdaten und Wirtschaftsspionage im Vordergrund stehen. Immer noch fast 40 Prozent aller Hackerangriffe auf deutsche Ziele kommen aber aus dem Inland. Gar nicht so selten sind es sogar enttäuschte oder entlassene Mitarbeiter:innen, die die Schwachstellen im IT-System kennen.

Zwischen Selbst- und Fremdeinschätzung: Wie gut sind Ihrer Meinung nach die Unternehmen geschützt?
B: Es gibt nur zwei Arten von Firmen – die, die bereits angegriffen wurden und die, die es noch nicht getroffen hat. Die meisten Unternehmen glauben tatsächlich, dass die Gefahr groß ist, aber eben nicht für sie. Das ist eine trügerische Sicherheit – das Prinzip Hoffnung. Drei Viertel der Unternehmen denken, sie seien gut geschützt, weil sie einen Virenscanner und eine Firewall haben, 94 Prozent installieren automatisch Sicherheitsupdates und 84 Prozent erstellen systematisch Backups …

… das klingt doch erstmal gar nicht schlecht, oder?
B: Ja, aber es geht weiter: Nur noch zwei Drittel der Firmen vergeben für jede:n Mitarbeiter:in ein eigenes Passwort, die Hälfte verschlüsselt sensible Daten und lediglich 41 Prozent verbieten ihren Mitarbeiter:innen eigene Geräte zu nutzen. Das Prinzip „Bring your own Device“ führt bei IT-Administrator:innen regelmäßig zu Kopfschmerzen …

… und doch ist das eine Folge der Covid-19-Pandemie …
B: Ja, Corona hat zu vielen neuen Homeoffice-Arbeitsplätzen geführt. Das stellt die IT-Sicherheit vor große Herausforderungen, denn es wird über zahlreiche unkontrollierte Leitungen auf das Firmennetz zugegriffen. Das erhöht die Angriffsfläche für Cyberkriminalität enorm und wir sehen die Folgen ja bereits in den Zahlen.

Hat das Thema in den Unternehmen ein Imageproblem? IT-Leute sind ja Spielverderber, die Systeme kompliziert machen und Passwörter generieren, die sich kein Mensch merken kann …
B: Natürlich, IT-Sicherheit nervt, aber der/die Administrator:in ist ein:e sehr berechtigte:r Spielverderber:in. Das muss man als Unternehmen klar machen und dafür sensibilisieren. Dann erzeugt man auch Akzeptanz und es gibt einen schönen Nebeneffekt. Denn die allermeisten IT-Sicherheitsvorfälle werden schon heute von den eigenen Mitarbeiter:innen entdeckt …

Zugleich sind diese das größte Sicherheitsrisiko, oder?
B: Sie sind beides, Risiko und Schutz zugleich.

Welche Rolle ist Ihre als Versicherung im Bereich Cybersicherheit?
K: Ich persönlich sehe vor allem die Hilfestellung. Viele Kund:innen sind mit diesem Schadensszenario oft nicht vertraut und vollkommen überfordert, wenn ihnen morgens ein Totenkopf auf dem Bildschirm entgegengrinst. Dazu haben wir eine Hotline, die 24 Stunden 365 Tage im Jahr erreichbar ist. Denn schnelle Hilfe ist das wichtigste überhaupt. Das Einfallstor muss geschlossen werden, die Ausbreitung überblickt und außerdem identifiziert werden, welche Daten abgeführt wurden. Das ist der elementare Teil einer Cyberversicherung. Themen wie die Eigenschäden, Betriebsunterbrechung oder Ansprüche Dritter sind wichtige Bausteine, aber das Krisenmanagement direkt zu Beginn ist elementar.

Das heißt Ihr Job ist deutlich mehr als den Schaden zu bezahlen?
B: Wir verlassen im Rahmen der Cyberversicherung die klassischen Produkte einer Versicherung und bewegen uns eher im Bereich der Assistance-Leistungen. Die Cyberversicherung hat eine gewisse Entwicklung hinter sich und wird mittlerweile bei vielen Versicherern mit vergleichbaren Leistungen angeboten.

Sie werden aber weiterhin erst aktiv, wenn es zu spät ist, oder?
K: Wir bieten Präventivmaßnahmen, also Video-Tutorials und eine Informationsplattform für unsere Kund:innen, wenn diese Nachholbedarf bei der IT-Sicherheit haben. Denn niemand hat Interesse daran, dass es überhaupt zum Schadensfall kommt …

Auch interessant