IHK-Regionalausschuss Rosenheim besorgt über IT-Sicherheit
Kriminalpolizei warnt vor Cyberkriminalität

Rosenheim — Schadprogramme, Botnetze, Phishing sowie DoS-, DDoS- und APT-Angriffe, oben­drein Social Engineering, Cyberspionage und -sabotage: Die fort­schrei­ten­de Digitalisierung und Vernetzung stellt Un­ter­neh­men, Ver­wal­tun­gen und Pri­vat­nut­zer vor im­mer kom­ple­xe­re Heraus­for­de­run­gen. Kri­mi­nal­haupt­kom­mis­sar Witgar Neumaier, Lei­ter des Fach­kom­mis­sa­ria­tes Cybercrime bei der Kri­mi­nal­po­li­zei­in­spek­tion Rosenheim, warn­te des­halb auf der jüngs­ten Sit­zung des IHK-Re­gio­nal­aus­schus­ses im Bräu­stüberl der Braue­rei Flötzinger ein­dring­lich vor der stei­gen­den Ver­wund­bar­keit der Fir­men. Da­ten­schutz­ex­per­te Andreas Stürzl empfahl den Ge­schäfts­füh­rern zu­dem, ei­ne Cybersicherheitsstrategie ein­zu­füh­ren. Und Aus­schuss­vor­sit­zen­der Andreas Bensegger er­mu­tig­te Un­ter­neh­mer und Be­hör­den­ver­tre­ter zur gründ­li­chen Vor­be­rei­tung auf die Ein­hal­tung der EU-Datenschutzgrundverordnung.

Das Internet ist kein rechtsfreier Raum und angezeigte Cyberdelikte werden geahndet. So ist die Zahl der in Deutsch­land po­li­zei­lich er­fass­ten Fäl­le im Be­reich Cyberkriminalität laut Statista von 45.739 Straf­ta­ten im Jahr 2015 dras­tisch an­ge­stie­gen auf 82.649 im Jahr 2016. Die­se Sta­tis­tik um­fasst Cyberdelikte wie Com­pu­ter­be­trug, Be­trug mit Zu­gangs­be­rech­ti­gun­gen für Kom­mu­ni­ka­tions­diens­te, Fäl­schung be­weis­er­heb­li­cher Da­ten, Täu­schung im Rechts­ver­kehr bei Da­ten­ver­ar­bei­tung, Da­ten­ver­än­de­rung/Com­pu­ter­sa­bo­ta­ge so­wie Aus­spä­hen und Ab­fan­gen von Daten ein­schließ­lich Vorbereitungshandlungen.

Der Studie „IT-Sicherheit und Datenschutz 2017“ zu­fol­ge soll­en die In­ves­ti­tio­nen deut­scher Un­ter­neh­men in IT- und In­for­ma­tions­si­cher­heit in den nächs­ten zwölf Mo­na­ten um rund ein Drit­tel stark zu­neh­men. Dr. Thomas Lapp, Vor­sit­zen­der der un­ab­hän­gi­gen „Na­tio­na­len Ini­tia­ti­ve für In­for­ma­tions- und In­ter­net­si­cher­heit e. V. (NIFIS)“, wel­che die Stu­die jähr­lich er­stellt, ver­mu­tet, dass vie­le der be­frag­ten IT-Ex­per­ten be­reits mit Si­cher­heits­vor­fäl­len kon­fron­tiert wa­ren: 56 Pro­zent der Stu­dien­teil­neh­mer gin­gen da­von aus, dass bis zu 75 Pro­zent der Un­ter­neh­men in den letz­ten drei Jah­ren auf­grund von Cyber­kri­mi­na­li­tät ak­tiv Scha­dens­be­gren­zung be­trei­ben mussten.

Prävention und Abwehr elektronischer Attacken

Kriminalhauptkommissar Witgar Neumaier erläuterte auf der jüngs­ten Sit­zung des IHK-Re­gio­nal­aus­schus­ses Rosenheim die „ak­tuel­len An­griffs­vek­to­ren“ und re­de­te den rund 40 Un­ter­neh­mern und Be­hör­den­ver­tre­tern ins Ge­wis­sen, der Be­dro­hung pro­ak­tiv zu be­geg­nen. Ab­ge­se­hen von täg­lich welt­weit 30 Mil­liar­den ver­schick­ten Spam-Mails und 300.000 neuen Vi­ren seien „CEO-Fraud“ und Ver­schlüs­se­lungs­tro­ja­ner tü­ckisch: Bei er­ste­rem wer­den fin­gier­te E-Mails an aus­ge­wähl­te Mit­ar­bei­ter mit der Auf­for­de­rung zur Über­wei­sung ho­her Geld­be­trä­ge im Na­men der Ge­schäfts­füh­rung ge­schickt, bei letz­te­rem sperrt Schad­soft­ware im Hand­um­dre­hen IT-Systeme oder Da­ten und gibt vor, sie erst zu ent­schlüs­seln nach Zah­lung von Löse­geld in Kryp­to­wäh­rung. Die Mün­che­ner „Zen­tra­le An­sprech­stel­le Cybercrime (ZAC)“ re­gis­triert je­den Mo­nat bis zu fünf von CEO-Fraud be­trof­fe­ne Un­ter­neh­men. Al­lein in den Land­krei­sen Ro­sen­heim und Mies­bach ha­ben seit 2016 über 40 Be­trie­be Cyberangriffe angezeigt.

Die Gefährdungslage im Cyberraum ist hoch. Wir müssen davon ausgehen,
dass dies dauerhaft so bleibt oder sogar zunehmen wird.
Horst Seehofer (CSU), Bun­des­mi­nis­ter des Inn­ern, für Bau und Heimat im Ka­bi­nett Merkel IV,
Eh­ren­vor­sit­zen­der der Christlich-Sozialen Union in Bayern e. V., 21. Oktober 2021

Informationssicherheit müs­se nach Neu­maier ak­tiv ge­managt wer­den. Der ers­te Schritt sei die Klas­si­fi­zie­rung der Da­ten, ihm folg­ten ein IT-Si­cher­heits­kon­zept, Poli­cies, Aware­ness, Pro­zess­ma­na­gement und schließ­lich ein Plan mit Es­ka­la­tions­stu­fen bei Cyber­an­grif­fen. Darauf auf­bauend er­klär­te IT-Ex­per­te Andreas Stürzl den Zweck ei­ner „Si­cher­heits­kul­tur“ und empfahl me­tho­disch den fun­dier­ten Ein­stieg mit ei­nem tech­ni­schen und or­ga­ni­sa­to­ri­schen Audit. Da die Si­cher­heits­vor­fäl­le viel­fäl­tig und häu­fig seien, sei Prä­ven­tion er­for­der­lich und die Ge­schäfts­lei­tung müs­se die Ri­si­ken ken­nen. 100-pro­zen­ti­ge Si­cher­heit kön­ne zwar nie ga­ran­tiert, wohl aber ein ho­hes Maß an Sicherheit erreicht werden, so Stürzl.

Bayerische Cybersicherheitsstrategie

Obschon Cybersicherheit primär in der Verantwortung des Nut­zers liegt, kommt dem Staat eine Schutz­funk­tion zu. Die Baye­ri­sche Cyber­si­cher­heits­stra­te­gie soll Staat, Wirt­schaft und Bür­ger vor Cyber­ge­fah­ren schüt­zen, auch be­ra­tend. So ist die ZAC beim Baye­ri­schen Lan­des­kri­mi­nal­amt (BLKA) für ba­ye­ri­sche Un­ter­neh­men, Be­hör­den, Ver­bän­de und sons­ti­gen In­sti­tu­tio­nen An­sprech­part­ner zur Be­kämp­fung der Cyber­kri­mi­na­li­tät. Ein­fach ge­la­ger­te Fäl­le be­ar­bei­ten die Po­li­zei­in­spek­tio­nen, mit­tel­schwe­re und schwe­re Cyber­de­lik­te die Fach­kom­mis­sa­ria­te Cybercrime bei den Kri­mi­nal­po­li­zei­in­spek­tio­nen und den Po­li­zei­prä­si­dien in München, Nürnberg und Augsburg.

Wenn wir auch in Zukunft einen starken und sicheren Standort Deutschland haben wollen,
dann müssen wir mehr in Informations- und Cyber-Sicherheit investieren.
Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

Das „Cyber-Allianz-Zentrum Bayern (CAZ)“ beim Bayerischen Landesamt für Ver­fas­sungs­schutz (LfV) ist für bayeri­sche Un­ter­neh­men, Hoch­schu­len und Be­trei­ber kri­ti­scher In­fra­struk­tu­ren An­sprech­part­ner bei An­grif­fen mit Spio­na­ge- oder Sa­bo­ta­ge­hin­ter­grund. Das CAZ ana­ly­siert die An­grif­fe fo­ren­sisch-tech­nisch, be­wer­tet sie nach­rich­ten­dienst­lich und ver­knüpft sie mit Er­kennt­nis­sen des Bun­des­am­tes für Ver­fas­sungs­schutz (BfV) so­wie des Bun­des­am­tes für Si­cher­heit in der In­for­ma­tions­tech­nik (BSI). Bei Fra­gen zur Cyber­si­cher­heit ist wie­derum die ört­li­che Po­li­zei­in­spek­tion An­sprech­part­ner für Pri­vat­an­wen­der, Fra­gen des Da­ten­schut­zes im Zu­sam­men­hang mit Cyber­kri­mi­na­li­tät be­ant­wor­tet das Lan­des­amt für Da­ten­schutz­auf­sicht (LDA).

EU-Datenschutzgrundverordnung

Neben der Cyberkriminalität setzt die striktere Gesetzgebung zur Datensicherheit klei­ne und mit­tel­stän­di­sche Un­ter­neh­men (KMU) zu­sätz­lich un­ter Druck. So müs­sen sie die An­for­de­run­gen der ⭲ EU-Da­ten­schutz­grund­ver­ord­nung (EU-DSGVO), dem ers­ten EU-weit gül­ti­gen Re­gel­werk zum Er­fas­sen und Ver­brei­ten von Da­ten, bis zum 25. Mai 2018 um­set­zen. Bis­lang er­fül­len nur zehn Pro­zent der Un­ter­neh­men die neuen Stan­dards, be­sagt die Stu­die „Aus­wir­kung der Da­ten­schutz­grund­ver­ord­nung auf Un­ter­neh­men“ der artegic AG. Ähn­li­che Er­geb­nis­se lie­fern Stu­dien von Bitkom und Trend Micro. Wer sei­ne Pro­zes­se zur Da­ten­er­fas­sung und -ver­ar­bei­tung bis zum Frist­ende aber nicht an die An­for­de­run­gen der EU-DSGVO an­ge­passt hat, ris­kiert Buß­gel­der in Höhe von bis zu vier Pro­zent des Jah­res­um­sat­zes, wo­rauf Andreas Bensegger hinwies.

Die EU-DSGVO betrifft den Umgang mit allen personenbezogenen Daten. So ist de­ren Wei­ter­ver­ar­bei­tung nur noch bei kom­pa­ti­blen Zwe­cken zu­läs­sig. Die An­for­de­run­gen an den Nach­weis ei­ner ef­fek­ti­ven Ein­wil­li­gung wird er­höht, je­ne an den Wi­der­ruf der Ein­wil­li­gung herab­ge­setzt, das Kopp­lungs­ver­bot ver­schärft, die In­for­ma­tions- und Aus­kunfts­pflich­ten so­wie die Lösch- und Wi­der­spruchs­pflicht er­wei­tert. Die Un­ter­neh­men er­lie­gen ei­ner er­wei­ter­ten Re­chen­schafts­pflicht, müs­sen un­ter an­de­rem ihre Da­ten­ver­ar­bei­tungs­pro­zes­se do­ku­men­tie­ren, Da­ten­schutz- und Ein­wil­li­gungs­er­klä­run­gen prü­fen, Be­triebs­ver­ein­ba­run­gen an­pas­sen, „Risk Assess­ment“ und „Privacy Impact Assess­ment“ ein­füh­ren und na­tio­na­le Ge­setz­ge­bung so­wie Fort­bil­dung mo­ni­to­ren. On­line ab­ruf­bar ist die Ver­ord­nung unter ⭱ dsgvo-gesetz.de.

Eines ist sicher: Verletzungen des Datenschutzes werden durch die EU-DSGVO vermehrt zu Kla­gen füh­ren. In­ter­net-Gi­gan­ten wie Facebook und Google sind be­reits im Visier der Da­ten­schüt­zer. Ih­nen ge­gen­über will bei­spiels­wei­se die aus Croud­funding fi­nan­zier­te neue Or­ga­ni­sa­tion „noyb“ die Rechte der Ver­brau­cher via Sam­mel­kla­gen ju­ris­tisch durch­set­zen. Die Ab­kür­zung „noyb“ steht hier­bei für „none of your business“, auf Deutsch „Geht Dich nichts an“, und zeigt die Stoß­rich­tung. „noyb“ soll zu­dem zur An­lauf­stel­le für Whistle­blower wer­den, wel­che Da­ten­schutz­ver­stöße öf­fent­lich ma­chen wol­len, sagt Grün­der und Da­ten­schüt­zer Max Schrems. Stär­ker ge­for­dert sein dürf­ten auch die Ver­brau­cher­schüt­zer. Der­zeit re­gis­triert et­wa das Früh­warn­netz­werk der Ver­brau­cher­zen­tra­len Be­schwer­den we­gen un­be­ab­sich­tigt ab­ge­schlos­se­ner Ver­trä­ge mit GMX und web.de. Susanne Baumer, Team­lei­te­rin „Markt­wäch­ter Di­gi­ta­le Welt“ in der Ver­brau­cher­zen­tra­le Bayern, kri­ti­siert da­her die Wer­bung die­ser E-Mail-Dienste für de­ren kos­ten­pflich­ti­ge Pro­duk­te als verbraucherunfreundlich. 


Erstveröffentlichung

Print: Ro­sen­hei­mer blick, Inn­ta­ler blick, Mang­fall­ta­ler blick, Was­ser­bur­ger blick, 31. Jg., Nr. 49/2017, Sams­tag, 9. De­zem­ber 2017, S. 1f., Ko­lum­ne „Leit­ar­ti­kel“ [135/3/–/9]; Inn-Salz­ach blick, 10. Jg., Nr. 49/2017, Sams­tag, 9. De­zem­ber 2017, S. 1f., Ko­lum­ne „Leit­ar­ti­kel“ [135/3/–/6].
Online: ⭱ blick-punkt.com, Mitt­woch, 6. De­zem­ber 2017; ⭱ E-Paper Ro­sen­hei­mer blick, ⭱ E-Paper Inn­ta­ler blick, ⭱ E-Paper Mang­fall­ta­ler blick, ⭱ E-Paper Was­ser­bur­ger blick, ⭱ E-Paper Inn-Salz­ach blick, Sams­tag, 9. De­zem­ber 2017. Stand: Neu­jahr, 1. Ja­nu­ar 2024.
 

Dr. Olaf Konstantin Krueger M.A.

Digitaljournalist – Digitalpolitiker