Positionen-Magazin
Cyber­ge­fah­ren

Plötz­lich nackt: Wie Hacker Wirt­schaft und Pri­vat­sphäre bedro­hen

Wenn Kriminelle sensible Informationen erbeuten, kostet das nicht nur Geld, sondern im schlimmsten Fall auch die Reputation. Seit immer öfter private Daten im Netz auftauchen, ist klar: Mehr Schutz ist nötig. Dabei gibt es ihn zum Teil heute schon. Auch von Versicherern.

Schnell fliegen die Finger über die Tastatur, der Blick ist starr auf den Monitor gerichtet. „praxis, behandlung, empfang“, hämmert Michael Wiesner in seinen Laptop. Kryptische Zeilen aus Zahlen und Zeichen sausen über den Schirm. Wiesner grinst. Er ist drin. Innerhalb weniger Minuten hat er den Empfangscomputer der Kölner Zahnarztpraxis geknackt.

Die Inhaberin selbst hat den Hacker mit dieser Aufgabe betraut. Sie will wissen, wie gut ihre IT geschützt ist und welche Lücken es womöglich gibt. Nun weicht die Farbe aus ihrem Gesicht. Abrechnungen, Termine, Gutachten, Patientenbriefe – die gesamte Ordnerstruktur liegt offen vor ihr. Sensibelste Daten. Würde jemand sie von außen verschlüsseln, käme nicht nur der gesamte Praxisbetrieb zum Erliegen. „Es wäre existenzbedrohend, würde ein Krimineller an diese Daten kommen“, ist sich die  Ärztin bewusst.

Jeder Zweite unterschätzt das eigene Risiko

„Ärzte sind eine gut erpressbare Berufsgruppe“, sagt Wiesner. Wenn ein Sicherheitsleck öffentlich wird, ist der Imageschaden groß und eine empfindliche Strafe wahrscheinlich – vom Schaden für die betroffenen Patienten ganz abgesehen. Doch dieses Bewusstsein ist in der Branche nicht sehr ausgeprägt, wie eine Forsa-Umfrage im Auftrag  des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) belegt. Demnach hält jeder zweite Arzt hierzulande das Risiko, selbst Opfer von Internetkriminalität zu werden, für gering. Folgerichtig gehen vier Fünftel davon aus, eine gut geschützte IT zu haben.
Eine trügerische Einschätzung. Schließlich sind Meldungen über Lecks und Hacks längst an der Tagesordnung. Es wird betrogen, spioniert, erpresst und gestohlen, betroffen sind Unternehmen in sämtlichen Branchen – immer öfter aber auch Privatmenschen. 

Experten betonen gebetsmühlenartig, wie wichtig es wäre, bessere Vorsorge zu betreiben. Und trotzdem bleiben viele Menschen sorglos, wie Michael Wiesner häufig beobachtet.

Der IT-Sicherheitsexperte hat für den GDV 25 Arztpraxen in ganz Deutschland auf Herz und Nieren getestet. Sein Fazit: „Um eine Praxis zu knacken, muss man gar nicht der Superhacker sein. Kreativität und Dreistigkeit reichen schon aus.“

Im Zweifel ist der Mensch die größte Schwachstelle

Dabei sorgen moderne Router und relativ geschlossene Systeme dafür, dass es Eindringlinge von außen schwer haben. Wer es jedoch einmal ins System geschafft hat – ob von außen oder über einen Zugang direkt in der Praxis –, stößt kaum noch auf Widerstand. Größtes Problem sind die Passwörter. „Praxis“, „Behandlung“ oder die Namen der eingesetzten Arztsoftware – bei der Wahl ihrer Zugangssicherung sind die Mediziner offensichtlich wenig kreativ. Wiesners Erklärung: Stress. „Wenn die Arzthelferinnen sich in der Hektik noch fünf verschiedene schwierige Kennwörter für jeden Computer merken müssen, erschwert das den Arbeitsalltag enorm.“ Einige Praxen verzichteten sogar komplett auf Passwörter. Und auch ansonsten ist im Zweifel der Mensch die größte Schwachstelle. So fiel ein gutes Fünftel der getesteten Praxen auf fingierte E-Mails herein, die Schadprogramme ins System schleusen. Mithilfe solcher Trojaner können Cyberkriminelle Daten absaugen oder verschlüsseln.

IT-Sicherheit betrifft nicht nur Firmen. Die Grenzen zum Privatleben verschwimmen

Das Beispiel Gesundheitsdaten verdeutlicht, wie sehr Cybersicherheit in Unternehmen auch ins Privatleben hineinreichen kann. So könnten Hacker nicht nur Ärzte und Krankenhäuser erpressen, wenn sie massenhaft Daten über Patienten, deren Krankheitsgeschichten und Lebensgewohnheiten erbeuten. Sie könnten vielmehr jedem einzelnen Betroffenen damit drohen, dem Arzt anvertraute Daten und Informationen weiterzugeben. Etwa an den Arbeitgeber, an Eltern, Kinder, Freunde oder die Öffentlichkeit – und so ihr Opfer sozial  unter Druck setzen.

Michael Wiesner kennt zur Genüge Fälle, in denen das zumindest technisch möglich gewesen wäre. Da ist beispielsweise die gynäkologische Praxis, die Untersuchungsfotos von Patientinnen ungeschützt in den elektronischen Patientenakten aufbewahrt, sodass eine namentliche Zuordnung ohne Schwierigkeiten möglich wäre. Noch setze die große Mehrheit der Angreifer auf das massenhafte Sammeln sensibler Daten. Ein Trend zu sogenannten Targeted Attacks, also gezielten Angriffen, sei aber klar erkennbar.

Eine solche Attacke sorgte zum Jahreswechsel für Aufsehen. Im Kurzmitteilungsdienst Twitter verbreitete der mutmaßliche Täter, ein 20-Jähriger aus Hessen, vertrauliche Informationen von Hunderten Politikern, Journalisten, Youtube-Stars und anderen mehr oder weniger bekannten Personen. In einer Art Adventskalender landeten im Verlauf des Dezembers gescannte Ausweise, Briefe und Chatverläufe bis hin zu teils sehr privaten Fotos frei verfügbar im Netz. Das ganze Ausmaß wird erst bekannt, als das Doxing – abgeleitet vom englischen Wort „document“ –  auffliegt.

Anfang des Jahres tauchen 21 Millionen Passwörter im Netz auf – unverschlüsselt

Zwar hatten einige der betroffenen Politiker das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Doch erst als sich das Büro von SPD-Chefin Andrea Nahles Anfang Januar beim Bundeskriminalamt meldet, gerät die Sache ins Rollen – und die nationale Cybersicherheitsbehörde unter Druck. BSI-Chef Arne Schönbohm betont, seine Behörde sei nicht zuständig für die Sicherheit der privaten oder parteiinternen Kommunikation von Politikern, sondern nur für die Netze der Bundesregierung. Aus Sicherheitskreisen bekommt der Behördenchef Rückendeckung. Dass es überhaupt so weit kommen konnte, führen die Ermittler auf das laxe persönliche Verhältnis der Betroffenen zur Cybersicherheit zurück. Hauptursache seien – wie bei den Ärzten – schwache Passwörter gewesen.

Die Grenze zwischen beruflicher und privater Cybersicherheit verschwimmt

Mit seiner Äußerung über Zuständigkeiten wirft Behördenchef Schönbohm eine entscheidende Frage auf: Wo verläuft die Grenze zwischen beruflicher und privater Cybersicherheit? Die Antwort lautet: zunehmend im Ungefähren – das illustrieren nicht nur der Doxing-Angriff und der nachlässige Umgang mit Sicherheitsstandards in Arztpraxen. Mitte Januar taucht im Internet ein Datensatz mit über 770 Millionen Mail-Adressen und mehr als 21 Millionen Passwörtern auf. 87 Gigabyte sei der Datensatz groß, schreibt der australische IT-Experte Troy Hunt, der die Sammlung mit dem Namen „Collection #1“ entdeckt hat. Zwei Merkmale unterscheiden „Collection #1“ von früheren Fällen: Zum einen handelt es sich um den größten einzelnen Datensatz dieser Art überhaupt, zum anderen sind die Passwörter nicht verschlüsselt, sondern im Klartext lesbar.

Wie viele dieser Passwörter privat oder für berufliche Zugänge genutzt werden, kann wohl niemand aufschlüsseln. Dass viele Menschen jedoch aus Gründen der Bequemlichkeit dieselben Login-Daten für unterschiedliche Anwendungen nutzen, ist bekannt. Wer also in Besitz von Mailadressen und Klartextpasswörtern ist, hat große Chancen in beiden Bereichen fündig zu werden– im Berufs- und im Privatleben.

Wer nichts für seine Sicherheit tut, handelt fahrlässig, sagen Sicherheitsexperten

Nach einer repräsentativen GfK-Studie im Auftrag des GDV ist bereits jeder Vierte (24 Prozent) schon einmal Opfer von Internetkriminalität geworden. Der durchschnittliche Schaden liegt bei 390 Euro. Die wachsende Zahl und Größe von Cyberattacken lässt nach Ansicht von IT-Experten nur einen Schluss zu. „Es gibt keine Ausreden mehr“, sagt etwa Cyber-Experte Linus Neumann. „Jeder, der nichts für seine Sicherheit macht, handelt fahrlässig und geht ein Risiko ein.“ Und Sicherheit beginnt in diesem Fall bei der Wahl des Passworts. Wer auf Nummer sicher gehen will, sollte sich für jeden Dienst ein jeweils zufällig generiertes Passwort mit maximaler Länge zulegen und über einen Passwortmanager verwalten. Zusätzlich raten Fachleute  zu einer Zwei-Faktor-Authentifizierung, bei der Nutzer sich nicht nur mit einem Passwort, sondern zusätzlich per SMS oder Code-Abfrage anmelden.

Auf das erhöhte Schutzbedürfnis des Einzelnen haben die Versicherer bereits reagiert. Neben einer Handvoll reiner Cyberversicherungen  bietet der Markt zusätzliche Bausteine für bestehende Hausrat-, Haftpflicht- oder Rechtsschutzpolicen an. Die Versicherungen übernehmen etwa eine Rechtsberatung, wenn der Verdacht auf einen Urheberrechtsverstoß besteht. Oder sie kommen für Schäden auf, die durch Identitäts- oder Datendiebstahl entstanden sind.  Je nach Leistungsumfang ersetzen sie auch die Kosten einer Datenrettung durch IT-Experten.

Im GDV gibt es ebenfalls Überlegungen, wie sich der private Schutz im Fall von Angriffen verbessern ließe. Für kleinere und mittelständische Betriebe gibt es bereits seit rund zwei Jahren Musterbedingungen, an denen sich Versicherer bei der Gestaltung ihrer Policen orientieren können. Gerade sogenannte Assistance-Leistungen wie die Arbeit von IT-Forensikern, die verlorene Daten zurückholen, sind auch im gewerblichen Bereich ein wichtiger Bestandteil.

Die größte Beute machen Diebe in Firmen, die sich nicht als Ziel erkannt haben

Insofern sind die Schwerpunkte beim Schutz von Privatpersonen und mittelständischen Unternehmen also durchaus ähnlich. Nicht vergleichbar ist hingegen die finanzielle Komponente. Keine Frage: Mehrere Hundert Euro Schaden durch eine gestohlene Kreditkartennummer oder der Verlust der Urlaubsfotos sind für jeden einzelnen Betroffenen schmerzlich und zum Teil nicht zu ersetzen. Viel größere Beute – in finanzieller Hinsicht – versprechen sich Cyberkriminelle aber, wenn sie Unternehmen attackieren. Zumal der Aufwand hierfür nicht sonderlich groß ist, gerade wenn es um mittelständische Unternehmen geht, die sich selbst nicht als Ziel sehen.

Besonders schwer gebeutelt von Hackerangriffen ist laut dem IT-Branchenverband Bitkom das produzierende Gewerbe: Autozulieferer und Maschinenbauer, Chemie- und Elektrotechnikfirmen. Gut jede zweite Attacke führt nach BSI-Angaben dazu, dass die Produktion stillsteht. Als beispielsweise im IT-System des Münchner Maschinenbauers Krauss Maffei im November 2018 ein Trojaner aktiv wird, geht erst einmal nichts mehr – und selbst zwei Wochen später läuft längst noch nicht alles wieder rund. 

20 Milliarden Euro Schäden durch Cyberkriminalität – jedes Jahr

Insgesamt dürften die Schäden für die deutsche Wirtschaft durch Cyberkriminalität bei mehr als 20 Milliarden Euro jährlich liegen. Das schätzen jedenfalls das Bundesamt für Verfassungsschutz und Bitkom in einer gemeinsamen Studie. Und laut einer Umfrage des Beratungsunternehmens Accenture unter Managern in 13 Ländern könnten sich die Kosten durch Cyberkriminalität in den kommenden fünf Jahren auf mehr als fünf Billionen Dollar (4,4 Billionen Euro) summieren.

Angesichts solcher Zahlen könnte man vermuten, dass Cybersicherheit inzwischen höchste Priorität genießt. Die Realität sieht jedoch anders aus.  BSI-Chef Schönbohm etwa beobachtet eine  fahrlässige Haltung von Unternehmen. „Die sagen: Was soll mir schon passieren, wenn meine Daten abhandenkommen?“ (siehe Interview Seite 16). Gerade bei kleinen und mittelständischen Unternehmen ist das Bewusstsein für Cybersicherheit eher gering ausgeprägt.  Vor allem die Gefahr für das eigene Unternehmen sehen viele nicht, wie die Forsa-Studie für den GDV zeigt. Während beinahe drei Viertel (72 Prozent) der Mittelständler ein hohes Risiko von Cyberkriminalität erkennen, bestätigt lediglich ein Drittel diese Gefahr auch für den eigenen Betrieb. „Manchmal fragen wir uns, was denn noch passieren muss, damit Unternehmen endlich wach werden“, sagt BSI-Chef Schönbohm.

Gerhard Klein hat darauf eine klare Antwort: Der Weckruf muss aus der Wirtschaft selbst kommen. „Unternehmen sollten klar kommunizieren, wenn sie angegriffen werden“, appelliert er. „Ein Schaden durch einen erfolgreichen Cyberangriff darf kein Tabu sein.“

Der Unternehmer aus Saarbrücken weiß, worüber er redet. Was, wenn sich die Attacke herum­spricht? Was, wenn Kunden und Auftraggeber davon erfahren? Genau diese Fragen tauchten im Herbst vergangenen Jahres auch bei Gerhard Klein auf.

Als er an einem Montag im Oktober 2018 den Rechner in seiner Saarbrücker Druckerei hochfährt, erlebt er eine üble Überraschung: Programme lassen sich nicht öffnen, das Mailsystem reagiert nicht, Auftrags- und Rechnungserfassung streiken, die Telefonanlage ist tot. Die Druckerei Braun und Klein stellt unter anderem Werbe- und Angebotsplakate für große Einzelhändler her, termingenaue Auslieferung ist deshalb besonders wichtig. Zu allem Überfluss ist Monatsanfang und die Lohnabrechnung fällig.  Geschäftsführer Klein und seine Kollegen sind alarmiert – eine erste Diagnose ergibt, dass ein Schadprogramm die Windows-Rechner infiziert und die lokalen Festplatten verschlüsselt hat. Sie schalten die Ermittlungsbehörden ein.

In den Tiefen des Systems finden Experten einen Erpresserbrief

Von außen hinzugerufene IT-Forensiker entdecken in den Tiefen des Systems einen Erpresserbrief. Die Forderung der Kriminellen scheint überschaubar: rund 4500 Euro in Bitcoin. Nachdem er die Erpresser um 1000 Euro heruntergehandelt hat, entschließt sich Klein zu zahlen. Nicht ohne einen Beweis zu verlangen, dass diese die Verschlüsselung tatsächlich aufheben können. Und tatsächlich: Das Mailsystem mit dem gesamten Archiv bekommen sie wieder ans Laufen. Mehr aber auch nicht – für die Entschlüsselung weiterer Daten fordern die Erpresser nun ein Vielfaches an Lösegeld.

Klein bricht den Kontakt ab. In mühevoller Handarbeit setzen Mitarbeiter und externe IT-Spezialisten die Systeme in den nächsten Tagen und Wochen wieder auf. Rund 70.000 Euro habe die Attacke das Unternehmen allein finanziell gekostet, resümiert Klein. Vom Stress für die Mitarbeiter, Dienstleister und nicht zuletzt auch die Kunden mal ganz abgesehen. Denn obwohl trotz des Totalausfalls der IT keine einzige Sendung verspätet das Haus verließ, wie Klein betont: Ein solcher Vorfall lässt sich nicht totschweigen. 

Offensiv mit Cyber-Schäden umzugehen, hilft auch bei der Kundenansprache

Klein und seine Kollegen wählen deshalb gleich den umgekehrten Weg – sie gehen in die Offensive. Die Zeitung berichtet, das Fernsehen kommt vorbei. „Wir haben gute Erfahrung mit dem offenen Umgang gemacht“, sagt er. „Unsere Kunden sind nicht davongelaufen, sie haben uns unterstützt: Jeder weiß, dass so ein Angriff passieren kann.“ Trotz aller Bedenken, die auch er im Vorfeld der Veröffentlichung durchaus gehabt habe, ist er überzeugt: Eine solche Strategie – würde sie denn von vielen gewählt – würde Cyberkriminellen auf Dauer das Leben schwermachen.

Die europäische Datenschutzgrundverordnung sorgt für neues Problembewusstsein

Es sind Geschichten wie  diese, die BSI-Chef Schönbohm dann doch optimistisch stimmen. Mit der fortschreitenden Digitalisierung werde sich ein anderes Verständnis für die Cybersicherheit entwickeln. Noch sind es jedoch vor allem externe Faktoren, die Unternehmen dazu bringen, sich abzusichern. Ein neues Problembewusstsein bei kleinen und mittelständischen Betriebe entsteht zum Beispiel durch die europäische Datenschutzgrundverordnung (DSGVO), die seit Mai 2018 scharfgeschaltet ist.

Die DSGVO verlangt von Betrieben, egal welcher Größe, eine umfassende Datensicherheit. Wer sich nicht an die Spielregeln hält – zum Beispiel indem er Kunden und Datenschutzbehörden nicht mitteilt, wenn es ein Datenleck gibt – muss mit empfindlichen Strafen rechnen. Bei schweren Verstößen, etwa der Nutzung persönlicher Daten ohne ausreichende Einwilligung der Betroffenen, drohen Geldstrafen bis maximal 20 Millionen Euro. Ein empfindlicher Unterschied zur bis dato geltenden Höchststrafe von 300.000 Euro bei schweren Datenschutzverstößen. Noch wenige Wochen vor dem Start der DSGVO war mehr als jeder zweite Mittelständler hierzulande völlig planlos, wie eine Forsa-Umfrage im Auftrag des GDV damals offenbarte.

Erst schlagen die Diebe zu – dann verhängen die Behörden satte Strafen

Spätestens Beispiele wie das der Chatplattform mit dem sympathischen Namen Knuddels dürften seither so manchen Unternehmer aufgerüttelt haben: Nachdem die Server des sozialen Netzwerks im vergangenen Jahr von Hackern geknackt wurden, tauchten die E-Mail-Adressen und Passwörter von mehr als 300.000 Knuddels-Nutzern im Netz auf. Zum Reputationsschaden, den ein solches Datenleck ohne Zweifel verursacht, kam von den Datenschützern ein Bußgeldbescheid über 20.000 Euro hinzu, der den Betreibern noch vor dem Jahreswechsel auf den Schreibtisch flatterte.

Um nicht in dieselbe Situation zu geraten, nutzen viele Unternehmen die DSGVO-Vorschriften für ein umfassendes Sicherheitsupdate. Doch gerade kleinere Unternehmen oder Freiberufler können eine solche aufwendige rechtliche Prüfung kaum leisten. Das spüren auch die Versicherer – die Nachfrage nach Cyberpolicen für Unternehmen zieht deutlich an. Sie springen nämlich nicht nur nach einem Schaden ein – sie tragen vor allem dazu bei, künftige Gefahren zu erkennen und abzuwehren.

Die Nachfrage nach Cyber-Versicherungen zieht an

Im Rahmen der Präventions-Initiative #CyberSicher bietet der GDV unter anderem einen kostenfreien Cybersicherheitscheck an. Sind die Passwörter sicher? Wer darf auf welche Daten zugreifen? Wie oft werden Sicherheitskopien erstellt? Innerhalb weniger Minuten können Mittelständler damit herausfinden, wie gut sie tatsächlich gegen Datenklau und Erpressung übers Internet geschützt sind – und vor allem wo sie noch Nachholbedarf haben. 

Erste GDV-Zahlen zum Markt der Cyberversicherung lassen vermuten, dass sich die Anzahl der Verträge binnen eines Jahres bis Ende 2018 verdoppelt hat. Wie groß der Nachholbedarf vieler Unternehmen in diesem Segment noch ist, zeigt ein Blick auf die Beitragseinnahmen. Sie liegen nach GDV-Schätzungen aktuell bei rund 50 Millionen Euro. Marktbeobachter erwarten, dass sich das Volumen binnen fünf Jahren auf mehr als eine Milliarde erhöhen wird.

Unternehmer wie Gerhard Klein teilen in der Tendenz diese Einschätzung. „Die Schäden eines Ausfalls sind viel höher, als es im ersten Moment aussieht“, sagt der Druckereichef. „Eine Cyberversicherung ist in meinen Augen deshalb absolut notwendig.“ Das hatte Klein übrigens schon vor der Attacke auf seinen Betrieb erkannt. Der Abschluss einer entsprechenden Police sei eigentlich für Ende vergangenen Jahres geplant gewesen. Nach den erfolgreichen „Aufräumarbeiten“ will Klein nun einen neuen Anlauf starten.

Und auch in der Kölner Zahnarztpraxis kommt nach dem Sicherheitscheck etwas ins Rollen. „Die Änderung der Zugangspasswörter steht jetzt an erster Stelle“, sagt die Ärztin. „Auch meine privaten Kennwörter werde ich ändern.“

Text: Simon Frost und Saraida Höfer

Auch inter­essant