IHK-Regionalausschuss Rosenheim besorgt über IT-Sicherheit
Kriminalpolizei warnt vor Cyberkriminalität

Ro­sen­heim — Schad­pro­gram­me, Bot­net­ze, Phishing so­wie DoS-, DDoS- und APT-An­grif­fe, oben­drein Social Engineering, Cyber­spio­na­ge und -sa­bo­ta­ge: Die fort­schrei­ten­de Di­gi­ta­li­sie­rung und Ver­net­zung stellt Un­ter­neh­men, Ver­wal­tun­gen und Pri­vat­nut­zer vor im­mer kom­ple­xe­re Heraus­for­de­run­gen. Kri­mi­nal­haupt­kom­mis­sar Wit­gar Neu­maier, Lei­ter des Fach­kom­mis­sa­ria­tes Cyber­crime bei der Kri­mi­nal­po­li­zei­in­spek­tion Ro­sen­heim, warn­te des­halb auf der jüngs­ten Sit­zung des IHK-Re­gio­nal­aus­schus­ses im Bräu­stüberl der Braue­rei Flöt­zin­ger ein­dring­lich vor der stei­gen­den Ver­wund­bar­keit der Fir­men. Da­ten­schutz­ex­per­te An­dreas Stürzl emp­fahl den Ge­schäfts­füh­rern zu­dem, ei­ne Cyber­si­cher­heits­stra­te­gie ein­zu­füh­ren. Und Aus­schuss­vor­sit­zen­der An­dreas Bens­eg­ger er­mu­tig­te Un­ter­neh­mer und Be­hör­den­ver­tre­ter zur gründ­li­chen Vor­be­rei­tung auf die Ein­hal­tung der EU-Da­ten­schutz­grund­ver­ord­nung.

Das In­ter­net ist kein rechts­freier Raum und an­ge­zeig­te Cyber­de­lik­te wer­den ge­ahn­det. So ist die Zahl der in Deutsch­land po­li­zei­lich er­fass­ten Fäl­le im Be­reich Cyber­kri­mi­na­li­tät laut Sta­tis­ta von 45.739 Straf­ta­ten im Jahr 2015 dras­tisch an­ge­stie­gen auf 82.649 im Jahr 2016. Die­se Sta­tis­tik um­fasst Cyber­de­lik­te wie Com­pu­ter­be­trug, Be­trug mit Zu­gangs­be­rech­ti­gun­gen für Kom­mu­ni­ka­tions­diens­te, Fäl­schung be­weis­er­heb­li­cher Da­ten, Täu­schung im Rechts­ver­kehr bei Da­ten­ver­ar­bei­tung, Da­ten­ver­än­de­rung/Com­pu­ter­sa­bo­ta­ge so­wie Aus­spä­hen und Ab­fan­gen von Da­ten ein­schließ­lich Vor­be­rei­tungs­hand­lun­gen.

Der Stu­die „IT-Si­cher­heit und Da­ten­schutz 2017“ zu­fol­ge soll­en die In­ves­ti­tio­nen deut­scher Un­ter­neh­men in IT- und In­for­ma­tions­si­cher­heit in den nächs­ten zwölf Mo­na­ten um rund ein Drit­tel stark zu­neh­men. Dr. Tho­mas Lapp, Vor­sit­zen­der der un­ab­hän­gi­gen „Na­tio­na­len Ini­tia­ti­ve für In­for­ma­tions- und In­ter­net­si­cher­heit e. V. (NIFIS)“, wel­che die Stu­die jähr­lich er­stellt, ver­mu­tet, dass vie­le der be­frag­ten IT-Ex­per­ten be­reits mit Si­cher­heits­vor­fäl­len kon­fron­tiert wa­ren: 56 Pro­zent der Stu­dien­teil­neh­mer gin­gen da­von aus, dass bis zu 75 Pro­zent der Un­ter­neh­men in den letz­ten drei Jah­ren auf­grund von Cyber­kri­mi­na­li­tät ak­tiv Scha­dens­be­gren­zung be­trei­ben muss­ten.

Prä­ven­tion und Ab­wehr elek­tro­ni­scher Atta­cken

Kri­mi­nal­haupt­kom­mis­sar Neu­maier er­läu­ter­te auf der jüngs­ten Sit­zung des IHK-Re­gio­nal­aus­schus­ses Ro­sen­heim die „ak­tuel­len An­griffs­vek­to­ren“ und re­de­te den rund 40 Un­ter­neh­mern und Be­hör­den­ver­tre­tern ins Ge­wis­sen, der Be­dro­hung pro­ak­tiv zu be­geg­nen. Ab­ge­se­hen von täg­lich welt­weit 30 Mil­liar­den ver­schick­ten Spam-Mails und 300.000 neu­en Vi­ren sei­en „CEO-Fraud“ und Ver­schlüs­se­lungs­tro­ja­ner tü­ckisch: Bei er­ste­rem wer­den fin­gier­te E-Mails an aus­ge­wähl­te Mit­ar­bei­ter mit der Auf­for­de­rung zur Über­wei­sung ho­her Geld­be­trä­ge im Na­men der Ge­schäfts­füh­rung ge­schickt, bei letz­te­rem sperrt Schad­soft­ware im Hand­um­dre­hen IT-Sys­teme oder Da­ten und gibt vor, sie erst zu ent­schlüs­seln nach Zah­lung von Löse­geld in Kryp­to­wäh­rung. Die Mün­che­ner „Zen­tra­le An­sprech­stel­le Cyber­crime (ZAC)“ re­gis­triert je­den Mo­nat bis zu fünf von CEO-Fraud be­trof­fe­ne Un­ter­neh­men. Al­lein in den Land­krei­sen Ro­sen­heim und Mies­bach ha­ben seit 2016 über 40 Be­trie­be Cyber­an­grif­fe an­ge­zeigt.

Wenn wir auch in Zu­kunft ei­nen star­ken und si­che­ren Stand­ort Deutsch­land ha­ben wol­len,
dann müs­sen wir mehr in In­for­ma­tions- und Cyber-Si­cher­heit in­ves­tie­ren.
Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI)

In­for­ma­tions­si­cher­heit müs­se nach Neu­maier ak­tiv ge­managt wer­den. Der ers­te Schritt sei die Klas­si­fi­zie­rung der Da­ten, ihm folg­ten ein IT-Si­cher­heits­kon­zept, Poli­cies, Aware­ness, Pro­zess­ma­na­gement und schließ­lich ein Plan mit Es­ka­la­tions­stu­fen bei Cyber­an­grif­fen. Darauf auf­bauend er­klär­te IT-Ex­per­te An­dreas Stürzl den Zweck ei­ner „Si­cher­heits­kul­tur“ und emp­fahl me­tho­disch den fun­dier­ten Ein­stieg mit ei­nem tech­ni­schen und or­ga­ni­sa­to­ri­schen Au­dit. Da die Si­cher­heits­vor­fäl­le viel­fäl­tig und häu­fig sei­en, sei Prä­ven­tion er­for­der­lich und die Ge­schäfts­lei­tung müs­se die Ri­si­ken ken­nen. 100-pro­­zen­­ti­ge Si­cher­heit kön­ne zwar nie ga­ran­tiert, wohl aber ein ho­hes Maß an Si­cher­heit er­reicht wer­den, so Stürzl.

Baye­ri­sche Cyber­si­cher­heits­stra­te­gie

Ob­schon Cyber­si­cher­heit pri­mär in der Ver­ant­wor­tung des Nut­zers liegt, kommt dem Staat ei­ne Schutz­funk­tion zu. Die Baye­ri­sche Cyber­si­cher­heits­stra­te­gie soll Staat, Wirt­schaft und Bür­ger vor Cyber­ge­fah­ren schüt­zen, auch be­ra­tend. So ist die ZAC beim Baye­ri­schen Lan­des­kri­mi­nal­amt (BLKA) für ba­ye­ri­sche Un­ter­neh­men, Be­hör­den, Ver­bän­de und sons­ti­gen In­sti­tu­tio­nen An­sprech­part­ner zur Be­kämp­fung der Cyber­kri­mi­na­li­tät. Ein­fach ge­la­ger­te Fäl­le be­ar­bei­ten die Po­li­zei­in­spek­tio­nen, mit­tel­schwe­re und schwe­re Cyber­de­lik­te die Fach­kom­mis­sa­ria­te Cyber­crime bei den Kri­mi­nal­po­li­zei­in­spek­tio­nen und den Po­li­zei­prä­si­dien in Mün­chen, Nürn­berg und Augs­burg.

Das „Cyber-Al­lianz-Zen­trum Bayern (CAZ)“ beim Baye­ri­schen Lan­des­amt für Ver­fas­sungs­schutz (LfV) ist für bayeri­sche Un­ter­neh­men, Hoch­schu­len und Be­trei­ber kri­ti­scher In­fra­struk­tu­ren An­sprech­part­ner bei An­grif­fen mit Spio­na­ge- oder Sa­bo­ta­ge­hin­ter­grund. Das CAZ ana­ly­siert die An­grif­fe fo­­ren­­sisch-tech­­nisch, be­wer­tet sie nach­rich­ten­dienst­lich und ver­knüpft sie mit Er­kennt­nis­sen des Bun­des­am­tes für Ver­fas­sungs­schutz (BfV) so­wie des Bun­des­am­tes für Si­cher­heit in der In­for­ma­tions­tech­nik (BSI). Bei Fra­gen zur Cyber­si­cher­heit ist wie­derum die ört­li­che Po­li­zei­in­spek­tion An­sprech­part­ner für Pri­vat­an­wen­der, Fra­gen des Da­ten­schut­zes im Zu­sam­men­hang mit Cyber­kri­mi­na­li­tät be­ant­wor­tet das Lan­des­amt für Da­ten­schutz­auf­sicht (LDA).

EU-Da­ten­schutz­grund­ver­ord­nung

Ne­ben der Cyber­kri­mi­na­li­tät setzt die strik­te­re Ge­setz­ge­bung zur Da­ten­si­cher­heit klei­ne und mit­tel­stän­di­sche Un­ter­neh­men (KMU) zu­sätz­lich un­ter Druck. So müs­sen sie die An­for­de­run­gen der EU-Da­ten­schutz­grund­ver­ord­nung (EU-DSGVO), dem ers­ten EU-weit gül­ti­gen Re­gel­werk zum Er­fas­sen und Ver­brei­ten von Da­ten, bis zum 25. Mai 2018 um­set­zen. Bis­lang er­fül­len nur zehn Pro­zent der Un­ter­neh­men die neu­en Stan­dards, be­sagt die Stu­die „Aus­wir­kung der Da­ten­schutz­grund­ver­ord­nung auf Un­ter­neh­men“ der ar­te­gic AG. Ähn­li­che Er­geb­nis­se lie­fern Stu­dien von Bitkom und Trend Micro. Wer sei­ne Pro­zes­se zur Da­ten­er­fas­sung und -ver­ar­bei­tung bis zum Frist­ende aber nicht an die An­for­de­run­gen der EU-DSGVO an­ge­passt hat, ris­kiert Buß­gel­der in Höhe von bis zu vier Pro­zent des Jah­res­um­sat­zes, wo­rauf An­dreas Bens­eg­ger hin­wies.

Die EU-DSGVO be­trifft den Um­gang mit al­len per­so­nen­be­zo­ge­nen Da­ten. So ist de­ren Wei­ter­ver­ar­bei­tung nur noch bei kom­pa­ti­blen Zwe­cken zu­läs­sig. Die An­for­de­run­gen an den Nach­weis ei­ner ef­fek­ti­ven Ein­wil­li­gung wird er­höht, je­ne an den Wi­der­ruf der Ein­wil­li­gung herab­ge­setzt, das Kopp­lungs­ver­bot ver­schärft, die In­for­ma­tions- und Aus­kunfts­pflich­ten so­wie die Lösch- und Wi­der­spruchs­pflicht er­wei­tert. Die Un­ter­neh­men er­lie­gen ei­ner er­wei­ter­ten Re­chen­schafts­pflicht, müs­sen un­ter an­de­rem ih­re Da­ten­ver­ar­bei­tungs­pro­zes­se do­ku­men­tie­ren, Da­ten­schutz- und Ein­wil­li­gungs­er­klä­run­gen prü­fen, Be­triebs­ver­ein­ba­run­gen an­pas­sen, „Risk Assess­ment“ und „Privacy Impact Assess­ment“ ein­füh­ren und na­tio­na­le Ge­setz­ge­bung so­wie Fort­bil­dung mo­ni­to­ren. On­line ab­ruf­bar ist die Ver­ord­nung un­ter https://dsgvo-gesetz.de.

Eines ist si­cher: Ver­let­zun­gen des Da­ten­schut­zes wer­den durch die EU-DSGVO ver­mehrt zu Kla­gen füh­ren. In­ter­net-Gi­gan­ten wie Face­book und Google sind be­reits im Vi­sier der Da­ten­schüt­zer. Ih­nen ge­gen­über will bei­spiels­wei­se die aus Croud­funding fi­nan­zier­te neue Or­ga­ni­sa­tion „noyb“ die Rechte der Ver­brau­cher via Sam­mel­kla­gen ju­ris­tisch durch­set­zen. Die Ab­kür­zung „noyb“ steht hier­bei für „no­ne of your busi­ness“, auf Deutsch „Geht Dich nichts an“, und zeigt die Stoß­rich­tung. „noyb“ soll zu­dem zur An­lauf­stel­le für Whistle­blower wer­den, wel­che Da­ten­schutz­ver­stöße öf­fent­lich ma­chen wol­len, sagt Grün­der und Da­ten­schüt­zer Max Schrems. Stär­ker ge­for­dert sein dürf­ten auch die Ver­brau­cher­schüt­zer. Der­zeit re­gis­triert et­wa das Früh­warn­netz­werk der Ver­brau­cher­zen­tra­len Be­schwer­den we­gen un­be­ab­sich­tigt ab­ge­schlos­se­ner Ver­trä­ge mit GMX und web.de. Su­san­ne Bau­mer, Team­lei­te­rin „Markt­wäch­ter Di­gi­ta­le Welt“ in der Ver­brau­cher­zen­tra­le Bayern, kri­ti­siert da­her die Wer­bung die­ser E-Mail-Diens­te für de­ren kos­ten­pflich­ti­ge Pro­duk­te als ver­brau­cher­un­freund­lich. 


Erstveröffentlichung

Print: Ro­sen­hei­mer blick, Inn­ta­ler blick, Mang­fall­ta­ler blick, Was­ser­bur­ger blick, 31. Jg., Nr. 49/2017, Sams­tag, 9. De­zem­ber 2017, S. 1f., Ko­lum­ne „Ti­tel­sei­te“ [135/3/ – /9]; Inn-Salz­ach blick, 10. Jg., Nr. 49/2017, Sams­tag, 9. De­zem­ber 2017, S. 1f., Ko­lum­ne „Ti­tel­sei­te“ [135/3/ – /6].
Online: www.blick-punkt.com, Mitt­woch, 6. De­zem­ber 2017; E-Paper Ro­sen­hei­mer blick, E-Paper Inn­ta­ler blick, E-Paper Mang­fall­ta­ler blick, E-Paper Was­ser­bur­ger blick, E-Paper Inn-Salz­ach blick, Sams­tag, 9. De­zem­ber 2017.
 

Dr. Olaf Konstantin Krueger M.A.

Digitaljournalist – Digitalpolitiker

%d Bloggern gefällt das: