Cybercrime und IT-Sicherheit

Phishing-Mails / Datendiebstahl

Die Verfasser sogenannter Phishing-Mails versuchen, die Adressaten zur Preisgabe ihrer Zugangsdaten für den Mail-Account oder für IT-Anwendungen zu verleiten. Die Täter können sich mit diesen Daten in die jeweiligen Accounts einloggen, Daten ausspähen und manipulieren, Mails versenden und weiteren Schaden verursachen – etwa indem sie sich Zugriff auf vertrauliche Firmendaten verschaffen.

Prävention: Links und Anhänge in E-Mails grundsätzlich mit äußerster Vorsicht behandeln und im Zweifelsfall besser nicht anklicken. Niemals sensible Daten wie Benutzername oder Kennwort eingeben, sollten nach dem Öffnen von E-Mail-Anhängen oder Links entsprechende Eingabefenster erscheinen. Diese können gefälscht sein und eingegebene Zugangsdaten direkt an Kriminelle weiterleiten.

Fake President / CEO-Fraud

Die Täter geben sich per Mail als Geschäftsführer des Unternehmens aus und veranlassen einen Unternehmensmitarbeiter (meist aus der Buchhaltung) zum Transfer eines größeren Geldbetrages auf ein ausländisches Konto – etwa um einen Firmenkauf einzufädeln. Das Konto gehört den Tätern, der betroffene Mitarbeiter wird unter Zeitdruck gesetzt und auf Geheimhaltung eingeschworen.

Prävention: Achten Sie darauf, welche Informationen über Ihre Firmenstrukturen und Mitarbeiter in öffentlich zugänglichen Quellen zu finden sind. Überprüfen Sie verdächtige Mails auf Absenderadresse und korrekte Schreibweise und informieren Sie sofort einen Vorgesetzten.

Manipulierte E-Mail-Rechnungen

Die Täter hacken sich in Firmencomputer, fangen E-Mails mit angehängten Rechnungen ab und verändern die angegebene Bankverbindung. Dann senden sie die manipulierte Rechnung an den ursprünglichen Empfänger weiter. Passt der nicht auf, überweist er den Rechnungsbetrag direkt an die Täter.

Prävention: Die Mailadressen aller eingehenden Rechnungen stets genau prüfen. Da die Täter bisweilen auch authentische Adressen der tatsächlichen Geschäftspartner verwenden (die sie im Vorfeld durch Phishing-Attacken ausgespäht haben), sollte die Bankverbindung bei hohen Rechnungsbeträgen immer telefonisch verifiziert werden. Dabei auf die im eigenen Adressbuch hinterlegte Nummer zurückgreifen – die Kontaktdaten in der Rechnung können ebenfalls gefälscht sein.

Fake Customer

Die Täter geben bei Gewerbetreibenden Bestellungen auf und vereinbaren die Zahlung per Rechnung. Nach dem Versand der Ware nehmen sie Kontakt mit dem Versanddienstleister auf und veranlassen die Umleitung der Lieferung an eine neue Lieferadresse. Die Täter nehmen die Ware in Empfang und bezahlen den Erhalt nicht.

Prävention: Neuen und unbekannten Kunden sollte die Zahlung per Rechnung – insbesondere bei hohen Beträgen – nicht angeboten werden.

Ransomware / Erpressungstrojaner

Die Täter infizieren Firmencomputer mit Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder verhindern. Für die Entschlüsselung fordern sie ein Lösegeld (ransom), häufig in der Kryptowährung Bitcoin.

Prävention: Nutzen Sie Virenschutzprogramme und blockieren Sie durch eine Firewall Zugriffe auf verdächtige IP-Adressen und Domains. Nutzen Sie Spam-Filter, sodass möglichst wenig unerwünschte Mails den Endnutzer erreichen. Erlauben Sie die Ausführung aktiver Inhalte in E-Mails und Office-Dokumenten erst nach ausdrücklicher Bestätigung des Nutzers. Verwenden Sie für die E-Mail-Kommunikation digitale Zertifikate und Signaturen, um Absender zu verifizieren und die Manipulation von Nachrichten zu verhindern.

DDoS-Angriff

Bei einem DDoS-Angriff (die Abkürzung steht für „Distributed Denial of Service) versuchen die Täter, durch eine gezielt herbeigeführte Überlastung die Nichtverfügbarkeit eines Internetservices herbeizuführen. Ähnlich wie bei einem Erpressungstrojaner können die Täter auch hier die Zahlung eines Lösegelds fordern. Meist werden Bot-Netze, bestehend aus einer Vielzahl einzelner Systeme, für den Angriff verwendet. Angriffsziel sind Server oder andere Netzkomponenten.

Prävention: Ein erfolgreicher Angriff, etwa auf einen Webserver, legt in vielen Fällen nicht nur diesen Server lahm, sondern oft auch das gesamte umgebende Netzwerksegment. Durch eine Aufteilung unterschiedlicher Dienste auf mehrere Netzwerksegmente können die Auswirkungen auf die Gesamt-IT abgemildert werden.

Aktuelle Warnmeldungen

Nähere Informationen zu den einzelnen Cybercrime-Delikten und -Betrugsmaschen sowie aktuelle Warnmeldungen sind auf der Website des Landeskriminalamts zu finden.

Auch der wöchentliche IHK-Newsletter informiert regelmäßig über aktuelle Cybercrime-Bedrohungen und -Betrugsversuche. Er kann hier kostenfrei abonniert werden.

Technische Präventionsmaßnahmen

• Informieren Sie sich auf der Website des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zum IT-Grundschutz und setzen Sie die dort genannten Maßnahmen in Ihrem Betrieb um.
• Installieren Sie regelmäßig und zeitnah die Sicherheitsupdates für Ihr Betriebssystem und die von Ihnen genutzten Programme.
• Setzen Sie ein Virenschutzprogramm ein. Auch hier gilt: regelmäßig aktualisieren.
• Verwenden Sie eine Firewall.
• Nutzen Sie für den Internet-Zugriff ausschließlich ein Benutzerkonto mit eingeschränkten Rechten.
• Verwenden Sie komplexe Passwörter und ändern Sie sie regelmäßig. Eine noch höhere Sicherheit bieten Zwei-Faktor-Authentifizierungen.
• Verwenden Sie Verschlüsselungsmechanismen (etwa Verschlüsselung von Datenträgern) und digitale Signaturen für Ihre E-Mails.
• Beobachten Sie Ihre Systeme. Infizierte Systeme sollten schnellstmöglich vom Netzwerk getrennt werden, um eine Weiterverbreitung der Malware zu verhindern.
• Erstellen Sie regelmäßig Offline-Backups und prüfen Sie deren Verfügbarkeit und Rückspielbarkeit.

Notfallplan für den Ernstfall

Erstellen Sie einen Notfallplan. Er enthält konkrete Anleitungen und Verfahrensweisen zum Umgang mit Cybercrime-Straftaten und hilft im Ernstfall, den Schaden zu begrenzen sowie alle relevanten Akteure innerhalb und außerhalb des Unternehmens frühzeitig einzubinden. Der Notfallplan sollte die folgenden Fragen beantworten:

• Wie muss bei einem IT-Sicherheitsvorfall Schritt für Schritt und differenziert nach unterschiedlichen Szenarien vorgegangen werden?
• Wer hat im Unternehmen welche Verantwortung für die interne Reaktion auf einen Schadensfall?
• Wer ist die Ansprechstelle für interne und externe Kontakte?
• Wer sollte innerhalb und außerhalb der Firma unmittelbar verständigt werden?
• An welchem Punkt sollten die Strafverfolgungsbehörden informiert werden?
• Planen Sie zudem eine professionelle Öffentlichkeitsarbeit für den Fall eines IT-Sicherheitsvorfalls. Diese hilft, mögliche Reputationsschäden zu vermeiden beziehungsweise zu begrenzen.

Sensibilisierung der Beschäftigten

Die Prävention von Cybercrime ist Chefsache. Sensibilisieren Sie Ihre Mitarbeiterinnen und Mitarbeiter für das Thema und geben Sie Ihnen die folgenden Verhaltensempfehlungen an die Hand:

• Halten Sie sich an die IT-Sicherheitsvorschriften Ihres Arbeitgebers. Sie dienen Ihrem und dem Schutz des Unternehmens.
• Seien Sie zurückhaltend mit der Weitergabe von vertraulichen und persönlichen Informationen.
• Haben Sie ein gesundes Misstrauen und scheuen Sie sich nicht vor persönlichen Rückfragen, wenn Ihnen etwas ungewöhnlich vorkommt.
• Überprüfen Sie E-Mails auf die richtige Absenderadresse sowie die korrekte Schreibweise der E-Mail-Domain.
• Öffnen Sie niemals verdächtige Mails.
• Seien Sie misstrauisch bei Links oder Anhängen in E-Mails unbekannter Absender. Im Zweifelsfall nicht anklicken und die Mail besser sofort löschen.

Erste Beurteilung des Zwischenfalls

• Wie viele und welche Systeme sind auf welche Weise betroffen? Mit den Protokollinformationen können eventuell der unmittelbare Ausgangspunkt des Angriffs, die Kennung der Server, zu denen eigene Daten ggf. übertragen wurden, und die Identität weiterer Geschädigter bestimmt werden.
• Sie sollten daran denken, dass ein Eindringling möglicherweise mehrere Programme oder Dateien auf dem System installiert hat. Das System kann derart mit Schadsoftware verseucht sein, dass es schwierig ist, bestimmte Datei- oder Konfigurationsänderungen zu erkennen.
• Die Maßnahmen zur Behebung des Zwischenfalls sollten keine Veränderungen am System oder den Daten herbeiführen, durch die der Angreifer feststellen kann, dass er entdeckt wurde. Durch das Einspielen von Sicherungskopien können zudem Spuren vernichtet werden und es besteht keine Gewähr, dass nicht auch schon die Sicherheitskopien durch Schadsoftware kompromittiert wurden.

Informationen sammeln

• Erstellen Sie eine identische Kopie des betroffenen Systems für eine spätere Analyse – insbesondere auch zur Aufstellung der entstandenen Schäden und der Kosten für deren Beseitigung. Die Kopien können bei der Identifizierung von ausgenutzten Schwachstellen, gelöschten Daten und installierten Schadprogrammen sowie zur Unterstützung der Rückverfolgung des Angreifers hilfreich sein.
• Bei Eintritt eines Schadensfalls sollten Maßnahmen zur Beschreibung und Feststellung aller Ereignisse (Ereignisprotokoll) im Zusammenhang mit dem Schadensfall ergriffen werden. Festgehalten werden sollten unter anderem die Zeitpunkte, an denen relevante Ereignisse stattfanden bzw. entdeckt wurden und Angaben zu relevanten Telefonanrufen, E-Mails und anderen Verbindungen. Wichtig sind außerdem Angaben zu den betroffenen Systemen, Konten, Diensten, Daten und Netzen sowie zur Art ihrer Beeinträchtigung.

Strafverfolgungsbehörde informieren

• Vermuten Sie hinter dem Vorfall eine Straftat, sollten Sie unverzüglich die zuständige Strafverfolgungsbehörde informieren. Strafanzeigen nimmt jede Polizeidienststelle entgegen. Es empfiehlt sich jedoch, sich direkt an die Zentrale Ansprechstelle Cybercrime (ZAC) beim Landeskriminalamt zu wenden (siehe Kasten auf Seite 20). Folgende Umstände können auf das Vorliegen einer Straftat hinweisen:
• Ein unberechtigter Nutzer hat sich ins System eingeloggt oder versucht, etwa durch intensives Portscanning, von außen ins System einzudringen.
• Es laufen ungewöhnliche Prozesse auf dem System, die große Mengen an Systemressourcen in Anspruch nehmen.
• Das System ist von einem Schadprogramm (zum Beispiel Virus, Wurm, Trojaner) befallen.
• Innerhalb kurzer Zeit erreicht eine große Menge an Datenpaketen (von einem oder verschiedenen Absendern) das System.

Zusammenarbeit mit der Polizei

Die Polizei nimmt im Auftrag der zuständigen Staatsanwaltschaft die Ermittlungen auf. Diese besitzt die Verfahrenshoheit bis zu einer späteren Abgabe an das Gericht. Für die Ermittlungen kann es erforderlich sein, dass die Polizei Daten auf Firmenrechnern und -servern vor Ort auf eigene Datenträger kopiert. Der laufende Betrieb der Firma wird im Normalfall nicht weiter beeinträchtigt. Anschließend werden die sichergestellten Daten ausgewertet, um tatrelevante Spuren festzustellen und die Tatverdächtigen zu identifizieren.

Aufsichtsbehörde und Betroffene informieren

Wenn von Ihren Systemen bestimmte personenbezogene Daten Dritten unrechtmäßig zur Kenntnis gelangt sind, so müssen Sie nach der Datenschutzgrundverordnung (DSGVO) immer dann die zuständige Aufsichtsbehörde (in der Regel die Datenschutzbeauftragten in den Bundesländern) benachrichtigen, wenn dies ein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat. In Fällen, in denen ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, müssen auch die Betroffenen selbst benachrichtigt werden.