Können Sie uns das Phänomen des Cyber Crimes einordnen? Ein paar Zahlen zum Schaden, der größtenteils ja Unternehmen entsteht? Die Häufigkeit der Fälle? Es heisst 9 von 10 Unternehmen wurden die vergangenen zwei Jahre angegriffen.
Tobias Merfeld: Cyberkriminalität – die 2021 weltweit Schaden in Höhe von rund USD 6 Billionen anrichten soll – wäre gemessen als Bruttoinlandsprodukt eines Landes die drittgröße Volkswirtschaft der Welt nach den USA und China.[1] Erpressersoftware – eine Schadsoftware, die vernetzte Geräte infiziert und deren Zugriff auf Datein einschränkt – ist dabei eine der am schnellsten wachsenenden Angriffsmöglichkeiten und zielt auf große Unternehmen bis hin zu den Endkonsumenten ab. Laut der jüngsten Prognose der Research-Firma Gartner Inc. werden die weltweiten Ausgaben für Informationssicherheits- und Risikomanagement-Technologien voraussichtlich um 12,4 Prozent auf 150,4 Millarden Dollar im Jahr 2021 ansteigen.[2]
Welche Arten des Cybercrimes gibt es?
Merfeld: Die Arten sind sehr vielfältig. Eine Cyberattacke ist jegliche Art von Angriff, der auf computergestützte Informationssysteme, Infrastrukturen, Rechnernetze oder PC-Geräte abzielt. Diese reichen beispielsweise von Schadsoftware, Phising-Mails, „Man in the Middle“-Angriffen, Denial-of-Service- (DoS) und Distributed-Denial-of-Service-Angriffe (DDoS), XSS-Angriffe, um einige beim Namen zu nennen.
Was ist die wohl perfideste Art des Cybercrimes?
Merfeld: Statt einzelner Firmen wird die Software eines externen IT-Dienstleisters angegriffen, der viele Unternehmen mit seinen Dienstleistungen unterstützt und berät. Ist dessen Software infilriert, kann der Angriff quasi beliebig skaliert werden. Hier wird sich also die Hebelwirkung über den IT-Dienstleister zu Nutze gemacht.
Wie einfach machen es Unternehmen den Kriminellen? Haben Sie da treffliche Beispiele?
Merfeld: Das Einzelhandelsunternehmen Target Corporation aus den USA wurde vor ein paar Jahren Opfer eines Hacker-Angriffs, bei dem Millionen von Debit- und Kreditkartendetails gestohlen worden sind. Es stellte sich heraus, dass Target Corporation mit einer lokalen Kühlanlagen- und Heizfirma zusammengearbeitet hat, um Dinge wie den Energieverbrauch in einzelnen Filialen zu optimieren. Dabei erhielt diese Firma, dessen Soft- und Hardware infiltriert war, Zugriff auf das Netzwerk von Target, wodurch Hacker letztlich Zugriff bis auf die Kartendetails der Kunden von Target Corporation hatten.
Verrückt. Was sollten Unternehmen als erstes anstellen, um einen Schutz zu haben?
Merfeld: Die technischen Aspekte des Cybercrime sind vielfältig und überwältigend komplex. Darauf eine pauschale Antwort zu geben, die alle Unternehmen umfasst, ist leider schwierig. Eine erste Orientierung in Deutschland kann das IT-Sicherheitsgesetz 2.0 bieten.
Besonders Banken und Vermögensverwalter sind sehr sensibel und oftmals auch Ziel der Angriffe. Was müssen Finanzinstitute ändern?
Merfeld: Tatsächlich sagten die Vorstandsvorsitzenden von vier der größten Banken der Wall Street bei einer Anhörung vor dem Kongress im Mai dieses Jahres, dass die Cyberkriminalität die größte Bedrohung für ihre Unternehmen und das gesamte Finanzsystem sei.[3] Positiv ist, dass Unternehmen im Finanzsektor ihre Ausgaben für Internetsicherheit erhöhen. Laut Deloitte haben Finanzinstitute im Jahr 2020 10,9 Prozent ihres IT-Budgets für Internetsicherheit bereitgesteltt, gegenüber 10,1 Prozent im Jahr zuvor.[4] Allein die Bank of America hat ihre Ausgaben für Internetsicherheit auf mehr als 1 Millarde Dollar pro Jahr erhöht, von 400 Million Dollar pro Jahr vor 11 Jahren.[5] Wir glauben, dass diese Investionen in die Internetsicherheit für die Welt unerlässlich sind, um die potenziellen Vorteile (wie eine stärkere finanzielle Inklusion und effizientere grenzüberschreitenden Transaktionen) digital unterstützender Finanzdienstleistungen und einer zunehmend bargeldlosen Wirtschaft zu nutzen.
Sind wir zu fahrlässig mit unseren Daten?
Merfeld: Absolut. 90 Prozent der Verstöße sind auf menschliches Versagen zurückzuführen.[6] Privatpersonen und Unternehmen gehen zu sorglos mit privaten und Unternehmensdaten um. Dies ist aus unserer Sicht jedoch ein Trend, der sich ändert, da „Cyber-Hygiene“ und Sicherheitspraktiken auf der Welt zunehmen.
LESEN SIE AUF DER NÄCHSTEN SEITE, WELCHE UNTERNEHMEN VOR CYBER CRIME SCHÜTZEN