System-Consulting Kollien Cyber-Risiken (I)

Cyber-Risiken

Cybercrime, also über das Internet oder andere Netzwerke begangene Straftaten, sind längst fester, bedauerlicher Bestandteil unserer Gesellschaft geworden. Das Bundeskriminalamt veröffentlichte in seinem Bericht zu Bundeslage fast 65.000 Fälle alleine in 2013. Das sind aber nur diejenigen Fälle, die angezeigt wurden! Die Varianten der Cyberkriminalität sind inzwischen sehr vielseitig und reichen vom Daten- und Identitätsdiebstahl bis zur digitalen Erpressung. Regelmäßig wird in den Medien von Fällen berichtet, in denen große Konzerne gehackt wurden. Aber auch kleine und mittelständische Unternehmen sind Ziele für Angriffe, da hier Daten und Netzwerke zumeist viel schlechter geschützt sind. Die Folgen eines erfolgreichen digitalen Angriffs können existenzgefährdend sein.

Cybercrime kann inzwischen jeder! Geschädigt werden auch!

Fallen die Begriffe „Hackerangriff“ und „Cybercrime“, denken viele an verschrobende Computerfreaks, die tageslichtscheu in dunklen Räumen ihrer unmoralischen Tätigkeit nachgehen. In den Anfängen der Hackerszene mag dies noch gegolten haben, aber mittlerweile haben sich die Zeiten geändert. Ging es früher meist nur darum zu zeigen, was technisch möglich ist und das es einfach ist, „Sicherheitssysteme“ zu umgehen, so steht heute die Schädigung oder Bereicherung im Mittelpunkt dieser Aktivitäten.

Heutzutage bedarf es längst keiner besonderen Programmierkenntnisse oder Fähigkeiten im Umgang mit Computern mehr, um zum Täter zu werden. Alle notwendigen Tools, Programme und Anleitungen sind in den einschlägigen Foren und Blogs schnell gefunden und heruntergeladen. Prinzipiell kann jeder, der mit einem Computer umgehen kann, zum Cyberkriminellen werden. Das Handwerkszeug dazu ist frei im Internet verfügbar und kann häufig einfach nur „zusammengeklickt“ werden. Die Anleitungen finden sich in Youtube® und können auch von unversierten Anwendern befolgt werden.

Dieser einfache Zugang zum notwendigen „Hackerequipment“ lässt vermuten, dass die Zahl der Täter von Jahr zu Jahr steigen wird. Nicht immer steht die persönliche Bereicherung, z.B. über gekaperte Bankzugänge oder gestohlene Kreditkartendaten, im Vordergrund. Erst kürzlich berichteten die Medien über einen entlassenen Azubi, der aus Rache an seinem Arbeitgeber eine sog. Mailbombe an diesen versandte und damit dessen Server für mehrere Tage lahm legte. Auch der Anteil ideologischer Hacker wird steigen, ebenso wie die sog. „Script Kiddies“, also Heranwachsende, die einfach „weil sie es wissen wollen“ Schaden auf fremden Computern anrichten. Die verschiedenen gängig gewordenen Formen des Cybercrime werden in einem noch folgenden Artikel ausführlich behandelt.

Jeder könnte also potentiell zum Täter werden. Grundsätzlich kann jedes Unternehmen betroffen und geschädigt werden. Noch wesentlicher ist, dass es auch zum „unfreiwilligen Helfer“ werden kann und damit schadenersatzpflichtig gegenüber Dritten wird, wenn diese dadurch geschädigt wurden. Die finanziellen Folgen, die aus einer Cyberattacke direkt oder indirekt entstehen können, sind nicht zu unterschätzen.

Opfer und Mitverursacher

Ein erfolgreicher Hackerangriff auf ein Großunternehmen verursacht einen durchschnittlichen wirtschaftlichen Schaden von ca. 1,8 Millionen Euro! Bei kleineren und mittleren Unternehmen liegt der Schaden durchschnittlich bei rund 70.000 Euro. Kann man die eigene Schadenshöhe abschätzen, so sind die Schadensersatzforderungen, die geschädigte Dritte an einen stellen immer wieder überraschend. Hat man doch selbst nicht mitgewirkt und ist doch auch nur ein Opfer.

Zu diesem Punkt vertritt die Rechtssprechung einen klaren Standpunkt: Wer durch unzureichende Sicherung seines Datenbestandes eine Schädigung eines Dritten begünstigt, ist Mitschuldiger (siehe dazu IT‑Sicherheitsgesetz, EU-Datenschutzgrundverordnung (EU-DSGVO), § 202a ff StGB).

Seien Sie sich also dessen bewusst, dass die IT Ihres Unternehmens ständiger Gefahr von außen unterliegt. Sichern Sie Ihre Daten und Netze nach dem Stand der Technik ab und sensibilisieren Sie vor allem Ihre Mitarbeiter. Denn die meisten erfolgreichen Attacken erfolgen nicht durch einen direkten Angriff von außen, sondern werden oft nur durch unvorsichtige Mitarbeiter ermöglicht, die arglos Dateianhänge von (unbekannten) Mails öffnen und damit erst den Zugriff auf Ihr Unternehmensnetzwerk ermöglichen.