Finanzsymposium 2016: Cyber-Kriminalität – sorglose Mit­ar­bei­ter sind das Kernproblem

Auf dem Finanzsymposium in Mannheim (20.-22. April), dem Branchentreff für Finanz- und Treasury­manager im deutschsprachigen Raum, stand in diesem Jahr das Thema Cyber-Kriminalität im Mit­tel­punkt der Aufmerksamkeit. Die ent­sprech­en­den Vorträge waren bis auf die letzten Plätze besetzt. Beispielsweise der Workshop der BNP Paribas über Betrugsprävention im Cash Management, in dem auch ein Vertreter des Bundeskriminalamts zu Wort kam: Hier berichtete Stefan Methien, Erster Kri­mi­nal­haupt­kom­issar bei der BKA-Kooperationsstelle Cybercrime, anschaulich über die lauernden Gefahren.

Hinrich Voelcker, Chief Information Security Officer der Deutschen Bank, mahnte in seinem Vortrag zu erhöhter Wachsamkeit im Unternehmen. “Die organisierte Kriminalität hat tiefe Taschen und die Täter trauen sich immer mehr zu.” Teilweise werde schon im Vorfeld im Netz über geplante Angriffe geredet oder das eigene Unternehmen werde kopiert. “Schauen Sie regelmäßig nach, wie oft es Ihr Unternehmen noch gibt im Internet,” so sein Rat.

Cyber Security bedeute auch einen permanenten Technologiewettlauf und stetige Investitionen. Dennoch gehe es häufig weniger um ein Tech-Thema, als um das gezielte Ausnutzen sorgloser Mitarbeiter über sogenanntes ‚Social Engineering‘. Hier setzten Betrüger gezielt darauf, dass ihnen Einzelpersonen in die Falle tappten und wertvolle Informationen gäben.

“Die Täter arbeiten mit immer raffinierteren Methoden, kombinieren den Cyber-Angriff mit einer physischen Aktion, indem etwa eine fingierte Geschäftspartner-Mail kombiniert wird mit einem persönlichen Anruf und dem Hinweis, bitte in die Mail zu schauen,” erklärte Voelcker.

Wachsamkeit der Mitarbeiter ist die beste Versicherung

Auch deshalb sei die “Awareness” der Mitarbeiter so wichtig, betonte Voelcker ganz im Einklang mit seinem Vorredner vom BKA. Man könne diese schaffen, indem man zum Beispiel selbst testweise interne Phishing-Mails verteile und die Mitarbeiter auf Schutzmöglichkeiten aufmerksam mache. Sinnvoll sei auch die Einrichtung einer internen Hotline zu dem Thema. Die Mitarbeiter müssten intensiv geschult werden, gerade auch in so kritischen Bereichen wie dem Treasury.

Eine „one size fits all“ Lösung gäbe es freilich nicht, genausowenig wie ein uneingeschränktes Ja auf die Standard-Frage „Ist das auch sicher?“, machte Voelcker deutlich. “Das ist wie bei den feuerfesten Türen, da gibt es auch unterschiedliche Stärken. Es geht darum, dass der Angreifer unverhältnismäßig viel Energie aufwenden muss, um Schaden anrichten zu können und sich dann lieber einfachere Opfer sucht.”

BKA sieht Ransomware weiter auf dem Vormarsch

So sei etwa die Ransomware (Erpressungs-Schadprogramme) weiter auf dem Vormarsch. Sie werde massenhaft z.B. über Spam-Mails verteilt und die Täter erreichten mit geringem Aufwand eine Vielzahl potenzieller Opfer.

“Ransomware ist auch deshalb ein zunehmendes kriminelles Geschäftsmodell, weil auch mit geringem technischen Know-How Gewinne erzielt werden können”, so Methien. Die erpresste Summe sei in der Regel moderat und die Bezahlung erfolge zumeist über anonyme digitale Zahlungsmittel. Es gäbe auch laufend neue Versionen, die auf spezielle Länder zugeschnitten seien oder spezielle Personenkreise ansprächen.

Gravierende Auswirkungen entstehen, wenn Ransomware nicht nur einen PC, sondern von einem PC ausgehend ganze Netzwerke verschlüsselt. Das kann beispielsweise einen Betrieb komplett lahmlegen.”

Bei der Überprüfung von Systemen, die einer Cyber-Attacke zum Opfer fielen, stelle man häufig Schwachstellen auf technischer Seite fest, z.B. nicht ausreichend abgesicherte Server. Einfallstore seien hier nicht genutzte, aber trotzdem offene Ports oder auch nicht ausreichend geschützte Fernwartungszugänge, die im Kontext Homeoffice/Fernadministration häufig Anwendung fänden.

Schwachstelle Mensch

Eine ganz entscheidende Schwachstelle sei jedoch der Mensch selbst. “Durch immer neue Maschen der Täter werden potenzielle Opfer dazu verleitet, Schadsoftware auszuführen”, erklärte Methien. Das zeige, wie wichtig es sei, bei allen Mitarbeitern im Unternehmen „awareness“ zu schaffen, dazu brauche es nicht zuletzt fortlaufend Schulungen. Die Praxis zeige aber auch, dass die internen Abläufe der Informationssteuerung häufig verbesserungsfähig seien: “So werden beispielsweise vermeintliche Spam-Nachrichten von vielen Mitarbeitern lediglich ignoriert oder gelöscht, anstatt den Verantwortlichen für IT-Sicherheit einzubinden,” kritisierte Methien.

Um betroffenen Unternehmen bei Cybervorfällen kompetente Ansprechpartner zur Seite stellen zu können, habe die Polizei in Deutschland beim BKA und den Landeskriminalämtern “zentrale Ansprechstellen für Cybercrime” eingerichtet (Details unter www.bka.de). Letztere haben auch eine eigene Broschüre mit „Handlungsempfehlungen für die Wirtschaft in Fällen von Cybercrime“ herausgegeben.aj