„Cyberangriffe haben sich als Geschäftsmodell etabliert"

Herr Prof. Finke, wie ist es um die Cybersicherheit in Deutschland bestellt?

Cybersicherheit ist keine nationale Frage und macht vor Landesgrenzen nicht Halt. Insofern ist die Lage in Deutschland mit der Situation in anderen Staaten vergleichbar. Die Tatsache, dass in Medien regelmäßig über Angriffe gegen die IT-Sicherheit berichtet wird, zeigt, dass wir es mit einem relevanten Problem zu tun haben. Tatsächlich können die Risiken und Folgen für einzelne Unternehmen erheblich sein. Nicht umsonst hat sich in der Versicherungswirtschaft das Produkt der Cyberversicherung etabliert. Nach Hackerangriffen auf Krankenhäuser ist auch eine Gefahr für Leib und Leben real. Um die Wahrscheinlichkeit eines Cyberangriffs beurteilen zu können, muss man jedoch die Motive und Methoden der potenziellen Angreifer kennen. 

Wie gehen Hacker denn typischerweise bei Angriffen vor?

Zunächst muss man zwischen der Art der Angriffe unterscheiden: Während sich physische Angriffe gegen die IT-Infrastruktur richten, geht es beim Social Engineering darum, durch die geschickte Manipulation von Menschen an vertrauliche Informationen zu gelangen. Zudem gibt es klassische Hackerangriffe, die über Netzwerke, Datenträger oder Geräte erfolgen. Grundsätzlich gilt, dass Hacker immer professioneller vorgehen und sich ihre Methoden dynamisch weiterentwickeln. Inzwischen haben sich Cyberangriffe als Geschäftsmodell etabliert. Dies gilt primär für das Prinzip der Ransomware, das faktisch auf einem Erpressungsmodell basiert. Daneben verfügen auch terroristische Gruppen und staatliche Einrichtungen über umfangreiche Möglichkeiten, Cyberangriffe auszuführen. Tendenziell wächst in allen Richtungen das Ausmaß des potenziellen Schadens.

Wie können sich Unternehmen möglichst effektiv vor einem Hackerangriff schützen?

Der beste Schutz für Unternehmen besteht in aktuellem Fachwissen. Eine gute Aus- und Weiterbildung der eigenen Mitarbeitenden im Bereich Cybersicherheit kann da sehr hilfreich sein. Darüber hinaus ist Wachsamkeit wichtig: In einem Unternehmen existieren oft zahlreiche Angriffsziele, die identifiziert und geschützt werden müssen. Es ist daher sinnvoll, das eigene Unternehmen kontinuierlich aus der Perspektive potenzieller Angreifer zu beobachten. Grundsätzlich ist es auch ratsam, die eigenen Systeme aktuell zu halten und Mitarbeitende regelmäßig zu schulen. Es ist jedoch keine gute Idee, Mitarbeitende zu häufigen Wechseln von Passwörtern zu zwingen und diese dann so zu gestalten, dass man sie sich nicht merken kann. Die Passwörter stehen dann auf Zettelchen unter der Tastatur.

Welche Tipps haben Sie für Mitarbeitende sowie Verbraucherinnen und Verbraucher, um beruflich wie privat möglichst sicher unterwegs zu sein?

Vor allem sollte man ein paar wichtige Regeln beherzigen, zum Beispiel niemals Passwörter, PIN-Nummern oder ähnlich vertrauliche Daten weitergeben. Denn eine seriöse Person wird niemals danach fragen. Auch wenn eine E-Mail oder eine Webseite ein großartiges Angebot verspricht, ist stets Vorsicht geboten. Zudem ist zu viel Komfort der Feind der Sicherheit. Es ist zwar komfortabel, auf dem eigenen Computer mit möglichst vielen Rechten ausgestattet zu sein. Wird man aber Opfer eines Hackerangriffs, dann hat auch der Angreifer diese Rechte. Daher sollte man niemals als Administrator oder Hauptbenutzer im Web surfen oder E-Mails verschicken. 

Was sind die größten Herausforderungen im Bereich Cybersicherheit in den kommenden Jahren?

Es wird wichtig sein, Abhängigkeiten von Produkten und Anbietern zu verringern. Aktuell finden die wesentlichen Entwicklungen in der IT nicht in Europa statt, was technologische und organisatorische Abhängigkeiten schafft. Wünschenswert wären klare und koordinierte europäische Digitalinitiativen. Zudem muss die Transparenz erhöht werden. Das mag auf den ersten Blick irritierend klingen, da sicher niemand gern seine Sicherheitsmaßnahmen offenlegt. Ein System ist allerdings erst dann sicher, wenn es auch bei der Offenlegung seines Aufbaus sicher ist. Außerdem muss auch unser Rechtssystem mit der Entwicklung der Digitalisierung standhalten. Viele Angriffe erfolgen stark arbeitsteilig und transnational. Damit sind sie rechtlich schwer zu verfolgen. Bleiben Angriffe aber ohne Rechtsfolgen, dann könnte dies von den Angreifern als Einladung verstanden werden.