#12 Cybercrime – Schutzstrategien für den Mittelstand

StationVoice: #Digitus Digitalisierungstrends und Herausforderungen im Mittelstand. Ein Podcast der Stadtsparkasse Düsseldorf.

Jeannine Malcherek-Wirtz: "Hallo Mama, hallo Papa, ratet mal, wessen Handy kaputt gegangen ist. Ihr könnt diese neue Nummer abspeichern und die alte löschen." Diese SMS hat mich letztens erreicht und sofort stutzen lassen. Denn abgesehen davon, dass meine Kinder noch etwas zu klein sind, um sich eigenständig ein neues Handy zu organisieren, war die Nachricht vollkommen korrekt formuliert und geschrieben. So gar nicht kindgerecht. Lange vorbei sind jedoch auch die Zeiten, in denen Betrugsmaschen schon durch formale Fehler auffielen. Und so häufen sich die Fälle, in denen cyberkriminelle Menschen mit ihren Tricks einwickeln. Die Folge Betrüger ergaunern massenhaft hohe Geldbeträge und sogar den Zugang zu sensiblen Firmendaten. Daher freue ich mich sehr, dass ich heute mit einem Mann spreche, der sie wahrscheinlich alle kennt die Trickbetrüger und Ransomware Erpresser, die Firmenhacker und Identitätsdiebe. Leitender Oberstaatsanwalt Markus Hartmann. Er führt in der Zentral- und Ansprechstelle Cybercrime NRW Strafverfahren von herausgehobener Bedeutung. Und er steht uns heute Rede und Antwort zum Thema Cybercrime. Mein Name ist Janinne Malcherek-Wirtz. Herzlich willkommen zu #DigiDus.

Jeannine Malcherek-Wirtz: Ich freue mich wirklich, wirklich sehr, dass Sie heute da sind. Und ich muss unseren Zuhörerinnen und Zuhörern verraten, dass wir als Stadtsparkasse Düsseldorf schon mal mit Ihnen Kontakt hatten und dass Sie auch schon mal Gast bei uns waren in einer Veranstaltungsreihe auch zum Thema Cyber Security oder Cyberkriminalität. Und ich habe mir damals schon gesagt, wenn ich dieses Thema noch mal bespreche und wenn ich vielleicht einen Podcast dazu mache, dann wünsche ich mir Markus Hartmann als Experten und mein Wunsch wurde erfüllt. Ich finde, das ist eine gute Sache.

Markus Hartmann: Vielen Dank für die Einladung.

Jeannine Malcherek-Wirtz: Cybercrime, ein spannendes, emotionales, facettenreiches Thema. Ich würde ganz gerne mit einer Frage starten, die uns vielleicht noch mal hilft, es insgesamt noch mal ein bisschen besser einzuordnen. Wie schätzen Sie momentan die Gefährdungslage für den Mittelstand in Deutschland ein?

Markus Hartmann: Man muss vorsichtig sein mit absoluten Gefährdungseinschätzung. Wir als Strafverfolger haben natürlich immer eine ganz spezifische Perspektive auch auf die Thematik. Wir sehen natürlich in den Strafanzeigen die Fälle, in denen etwas schiefgegangen ist. Insofern sind wir da vielleicht nicht ganz objektiv, aber ich denke, man kann aus unseren Ermittlungsverfahren eine Reihe von Tendenzen ableiten. Und die Tendenzen, die wir sehen, sind ganz klar, dass auf Seiten der Angreifer wir es mit einem sehr, sehr hohen Maß an Professionalität mittlerweile zu tun haben. Es stehen eindeutig kommerzielle Interessen, also Geldverdienen mit Cyberstraftaten, im Vordergrund. Und diese Professionalität führt einfach zu einem sehr gesteigerten Bedrohungsszenario, dem jedenfalls nicht in der Fläche alle Infrastrukturen in Deutschland und auch im Mittelstand jederzeit gewachsen sind. Wir nehmen schon wahr, dass es eine gewisse Balance gibt zwischen der Professionalisierung der Angreifer, dem gesteigerten Maß an hoch qualitativ entwickelten Angriffstools, wenn man das so nennen möchte, und dem Maß der Verteidigungsmöglichkeiten, die auf Unternehmerseite bestehen. Das ist auch sicher einer der Treiber dafür, dass wir mittlerweile im Bereich Cyberkriminalität mehrere Milliarden Euro pro Jahr umfassendes Geschäftsfeld sehen. Auch da, das sind Zahlen, die stammen weitestgehend aus Branchenerhebungen und aus Befragungen von b etroffenen Unternehmen und sind sicher mit einem gewissen Maß an Vorsicht zu genießen. Aber sie sind schon in der Dimension sehr deutlich. Und wenn wir von mehreren Milliarden Euro pro Jahr sprechen, dann ist deutlich, dass es für die Cyberkriminellen ein Bereich ist, der höchst attraktiv ist. Und ich wünsche mir sehr oft, dass wir das gleiche Maß an Professionalisierung auch auf Seiten der Verteidiger sehen. Von daher ist die Bedrohungslage sicher so ernst, wie sie sein kann. Und sie hat sich in den letzten Monaten in den letzten Jahren auch noch mal deutlich gesteigert.

Jeannine Malcherek-Wirtz: Gibt es eigentlich Branchen, die mehr gefährdet sind als andere? Oder kann man sagen: heute sind ja alle digital unterwegs, da gibt es kaum noch Unterschiede.

Markus Hartmann: Ach, ich glaube, dass mittlerweile den Tätern sozusagen jeder Angegriffene recht ist, um Geld damit zu verdienen. Wir sehen, dass wir teils an das Unternehmen, an dessen wirtschaftliche Leistungsfähigkeit angepasste Forderungen der Täter sehen, die also zunächst sozusagen sich einen Überblick verschaffen. Wo ist denn eigentlich der Punkt? Wie viel Geld kann ich fordern, damit es noch gezahlt wird, dass ich nicht überreize, dass ich möglichst effektiv er presse Geld damit verdiene? Deswegen kann man, glaube ich, keine einzelne Branche mehr in den Vordergrund rücken. Aber man kann sicher festhalten, dass es ein flächendeckendes Szenario ist und dass es einzelne Branchen gibt, die vielleicht noch ein höheres Maß an Gefährdung haben, insoweit, als sie in besonderem Maße von der von ihren digitalen Geschäftsgeheimnissen abhängen. Besonders innovationsgetriebene Branchen, Branchen, die auch im Mittelstand als Hidden Champions sehr viel von ihrem intellektuellen Vermögen, von den Betriebsgeheimnissen leben, sind natürlich in besonderem Maße gefährdet, wenn diese Betriebsgeheimnisse durch den erfolgreichen Cyberangriff öffentlich werden. Und vor dem Hintergrund ist vielleicht sozusagen der Impact eines erfolgreichen Angriffs in den Branchen unterschiedlich. Aber ich könnte Ihnen keine Branche benennen, die sich sicher fühlen kann. Nicht zum Ziel von Angreifern. Ja.

Jeannine Malcherek-Wirtz: Können Sie uns noch mal ein bisschen skizzieren, was so die häufigsten Auswirkungen von Angriffen auf Unternehmen sind?

Markus Hartmann: Wenn Sie gestatten, würde ich einmal kurz die häufigsten Angriffsmodalitäten vorweg stellen, weil davon tatsächlich abhängt, Was sind die Auswirkungen? Wir sehen eine Deliktform, die extrem prägend für das derzeitige Cybercrime geschehen ist. Und das ist der Angriff mit sogenannter Ransomware. Ransomware ist eine Schadsoftware, die in die Netze der angegriffenen Unternehmen eindringt, dort alle Nutzdaten verschlüsselt, sie damit dem Berechtigten entzieht und für die Freigabe der Daten, also des Entschlüsselung-Keys, ein Lösegeld erpresst. Die Auswirkungen auf Unternehmen, die können verheerend sein. Die sind im Regelfall verheerend. Denn wenn man sich vorstellt, dass der gesamte digitale Betrieb ruht, weil ich keinen Zugriff mehr auf meine Nutzdaten habe; ich kann kein Word-Dokument mehr öffnen, meine Konstruktionszeichnungen sind zwar nicht weg, aber ich kann eben nicht mehr darauf zugreifen. Das kann dann bis zur Existenzvernichtung gehen. Und wir haben auch gesehen, das muss man vielleicht mal positiv hervorheben: Unternehmen haben durchaus darauf reagiert. Sie haben in der Vergangenheit ihre Backup-Strategien massiv verbessert. Es gab sehr hohe Anstrengungen, Daten dadurch zu schützen, dass man Sicherheitskopien hat und im Falle eines erfolgreichen Angriffs die dann einfach einspielen kann, um gar nicht in die Verlegenheit zu kommen, Lösegeld zahlen zu müssen. Aber die Täter haben auch darauf reagiert. Im Regelfall erpressen Täter heute nicht mehr nur mit der Verschlüsselung der Daten, sondern sie erpressen auf der anderen Seite auch mit der Veröffentlichung von Daten, die sie vorher gestohlen haben. Und dagegen hilft ein Backup dann nicht mehr. Insofern ist es ein ständiges Hin und Her zwischen Angreifern und Verteidigern. Die Auswirkungen auf die Unternehmen sind wegen dieser multidimensionalen Angriffsszenarien verheerend, weil im Grunde das komplette Unternehmen in seiner Arbeitsfähigkeit eingeschränkt ist.

Jeannine Malcherek-Wirtz: Ist das auch der Grund, warum diese Angriffe auf Unternehmen immer professioneller und auch immer häufiger werden?

Markus Hartmann: Ja, ich glaube, der Grund dahinter ist ein schlicht monetärer. Da ist so viel Geld was man verdient, dass es sich auf Seiten der Angreifer einfach schlicht lohnt. Es macht nicht mehr jeder alles, sondern jeder spezialisiert sich, weil der Markt so groß ist wie in der arbeitsteiligen Legalwirtschaft, auch auf das, was er gut kann. Der eine ist gut im Finden von Sicherheitslücken. Er macht das und verkauft die gefundenen Sicherheitslücken weiter. Der nächste Angreifer ist möglicherweise besonders gut im Infiltrieren der Netze, macht das und biete diesen Service an. Und so wird aus dem Ineinanderwirken unterschiedlicher Täter-Infrastrukturen dann ein wirklich umfassendes Bedrohungsszenario.

Jeannine Malcherek-Wirtz: Sie haben das gerade eben gesagt Ransomware, also Lösegeldforderungen ist eine der größten Gefahren. Können Sie noch mal sagen, was gibt es daneben noch und welche Kanäle nutzen eigentlich Cyberkriminelle? Ist es fast immer über die Email, dass diese Form der Schadstoffsoftware ins Unternehmen kommt oder gibt es da auch andere Wege?

Markus Hartmann: Da gibt es mittlerweile sehr, sehr viele Infiltrationswege. Im Bereich der Ransomware verzeichnen wir sogar einen starken Anstieg der rein technischen Kompromittierung. Also dass Sicherheitslücken in eingesetzter Software, Standardsoftware, Serversoftware und ähnlichem ausgenutzt werden, ganz ohne Zutun. Ohne dass ein Mitarbeiter einen Link klicken müsste oder ähnliches. Das ist die technische Kompromittierung. Wir haben aber auch noch einen starken Anteil von menschen-bezogener Angriffsaktivität. Also etwa Social Engineering: In dem beschriebenen Fall, dass Emails geschickt werden mit der Bitte, einen Anhang zu öffnen oder ähnliches. Auch das ist immer noch durchaus relevant, aber der Teil der technischen Kompromittierung nimmt zu, und die Schwierigkeit ist, dass wir in der Vergangenheit sehr stark daran gearbeitet haben, mit Awareness-Maßnahmen Mitarbeiterinnen und Mitarbeiter zu schulen. Aus unseren Ermittlungsverfahren kann man mittlerweile eine Tendenz ableiten, dass nur mit Awareness-Maßnahmen wir die Angriffstrends nicht erfolgreich abdecken werden, sondern wir müssen auch im höheren Maße technische Vorkehrungen treffen. Zum einen für den Fall, dass die Awareness-Maßnahme nicht gereicht hat, der Mitarbeiter trotzdem auf einen E-Mail Anhang klickt. Und zum anderen für die Fälle der technischen Kompromittierung. Und ganz am Rande angemerkt: der alte Ratschlag auch von Ermittlungsbehörden, man möge mal aufmerksam die Email lesen, dann würde man ja erkennen, dass die nicht von einem legitimen Absender stammen kann. Der ist so veraltet, wie er nur sein kann. Die heutigen Angriffs-Emails sind so gut gemacht, dass auch Profis davor sitzen und sagen: könnte echt sein. Also insofern ist da dann auch die Grenze dessen, was man mit Schulung und Awareness tatsächlich erreichen kann.

Jeannine Malcherek-Wirtz: Da möchte ich gerne das Beispiel anbringen, dass wir tatsächlich auch immer wieder solche "Friendly Hacking" Penetrations-Tests durchführen. Und Sie glauben gar nicht, da sind Mails, wo Sie denken: das hätte ich nie erkennen können. Da muss ich Ihnen wirklich recht geben. Weil Sie das gerade erklärt haben, das fand ich auch sehr spannend in meiner Vorbereitung, als ich gelesen habe, Stichwort "Cybercrime as a Service". Also ich kenne "Software as a Service". Können Sie uns das nochmal kurz erklären, wie geht man da vor?

Markus Hartmann: Ja, das heißt, dass auf Angreiferseite, auf Täterseite nicht mehr jeder alles macht, also nicht der einheitliche Angreifer von der Entwicklung der Schadsoftware bis zu ihrem Einsatz und dem Erpressen des Lösegeldes quasi die gesamte Verwertungskette in seiner Hand hält, sondern unterschiedliche Gruppierungen arbeiten miteinander, um ihre jeweils eigene Professionalität einzubringen. Das gibt es in dem Modell, das auf Marktplätzen etwa erfolgreiche Kompromittierung von Unternehmen verkauft werden. Der nächste Angreifer also gegen den Entgelt den Zugang zu einem bereits gehackten Unternehmen erwirbt. Und es ist auch ganz stark im Kommen: auf Provisionsbasis. Dass man als Endnutzer eines Angriffszenarios an alle Beteiligten, die da vorher mitgewirkt haben, eine Provision an dem Lösegeld, einen Anteil an dem Lösegeld auszahlt. Wie auch immer die Abrechnung unter den Kriminellen ist – Fakt ist: aus Sicht des Bedrohungs- und des Risikoszenarios sind damit noch mal exponentiell die Qualität der Angreifer-Infrastrukturen gestiegen. Im Grunde vergeht kein Tag, keine Woche, an der wir nicht eine Anzeige bekommen von wirklich hochwertiger, auch sehr bedrohlicher Kompromittierung von Infrastrukturen und Unternehmen. Und das zeigt schon, dass dieses Problem sehr, sehr groß ist mittlerweile.

Jeannine Malcherek-Wirtz: Bevor wir jetzt gleich noch auf die spannende Frage kommen, wie kann ich mich schützen, die Frage aller Fragen noch mal vorab. Inwiefern spielt dieses Thema Internationalität auch noch eine große Rolle? Also wenn man sich die Organisation auch der Strafverfolgungsbehörden ansieht, sind die ja eher auf Länderebene organisiert. Wie funktioniert das bzw. ist das eine große Herausforderung und welche Rolle spielt dabei in diesem Zusammenhang die ZAC?

Markus Hartmann: Ja, Internationalität ist tatsächlich das Topthema für die Strafverfolger in diesem Bereich, weil die Täter im Regelfall international agieren. Die Arbeitsteiligkeit, die ich beschrieben habe, bezieht sich auch auf einen internationalen Markt von der Möglichkeit in diesem Bereich, dass unterschiedliche Gruppierungen zusammenarbeiten. Ich glaube, man muss zunächst mal attestieren, dass die Justiz und die Strafverfolgungsbehörden in der letzten Zeit sehr, sehr viel getan haben, um die eigenen Strukturen aufzubauen. Wir haben mittlerweile eben mit Blick auf den Föderalismus in Deutschland in vielen Ländern eine Zentralstelle. Nordrhein-Westfalen hat sich dafür entschieden, eine einheitliche Zentralstelle, die ZAC NRW aufzubauen, die bei der Generalstaatsanwaltschaft in Köln und der Staatsanwaltschaft in Köln angesiedelt ist, aber für das ganze Land Nordrhein-Westfalen bei herausragenden Fällen von Cyberkriminalität einheitlich zuständig ist. Das heißt, egal wo in Nordrhein-Westfalen eine hochprofitige Kompromittierung stattfindet, muss man keine Zuständigkeiten klären, sondern es gibt eine einheitlich zuständige justizielle Dienststelle. Und es freut mich auch sagen zu können, dass wir in der Ausstattung in einer guten Situation sind. Wir sind mittlerweile knapp 50, Staatsanwältin und Staatsanwälte im Team. Wer sich ungefähr mit Behördenstrukturen auskennt, der sieht, dass hier Nordrhein-Westfalen tatsächlich die Hausaufgaben gemacht hat. Wir sind also durchaus als Justiz in der Lage, diese Herausforderung anzugehe. Im deutschen Konzept aller Bundesländer, gibt es einige Länder, die ein ähnliches Modell fahren, etwa die hessischen Kollegen, die bayerischen Kollegen, die auch große Zentralstellen eingerichtet haben. Irgendeine Organisationsform in dieser Hinsicht gibt es in jedem Bundesland, und das ist mittlerweile auch überhaupt keine Schwierigkeit mehr. Wenn ich in dem Ermittlungsverfahren feststelle, der Sachverhalt gehört einfach nach Bayern, dann brauche ich kein umfangreiches, komplexes Abgabeprozedere mehr, sondern ein einfacher Anruf bei meinem Amtskollegen reicht und der Sachverhalt kann nahtlos weiter bearbeitet werden. Also da bin ich einigermaßen optimistisch, dass es klappt. Wo es schwierig wird, ist Internationalität im Sinne von europäischer Kooperation. Klappt noch ganz gut. Wir haben große Anstrengungen unternommen, als Cybercrime Zentralstellen auch über den EU Kontext hinaus weiter mit unseren britischen Kollegen trotz Brexit intensiv Kontakt zu halten. Wir haben gute Arbeitskontakte mit unseren amerikanischen Kollegen. Aber schwierig ist – und das ist auch oft was Ermittlungsverfahren an ihre Grenze führt – dass wir auch zahlreiche Konstellationen haben, in denen Länder, Staaten, in denen wir Tatverdächtige vermuten, in der Rechtshilfe nicht mit der Bundesrepublik Deutschland zusammenarbeiten oder nicht in der Form, wie wir es uns das gerne wünschen würden. Und dann kommen Ermittlungsverfahren international auch an Grenzen.

Jeannine Malcherek-Wirtz: Ja verständlich, wo Sie das jetzt gerade so beschreiben. Wie ist das denn, dieser Kampf gegen Cyberkriminelle? Ist das so ein bisschen Hase und Igel? Also die Kriminellen sind immer eine Runde voraus. Oder ist das anders?

Markus Hartmann: Ja, das ist schwer zu bewerten. Im Begriff des Strafverfolgers liegt leider schon mal drin, dass wir immer zu spät kommen. Wir kommen natürlich immer erst, wenn eine Tat schon eingetroffen ist. Prävention ist nicht die Aufgabe der Staatsanwaltschaft. Aber trotzdem: weil wir wissen, dass wir um handlungsfähig sein zu können, im Bereich der Aufklärung von Straftaten und der Ermittlungen uns frühzeitig mit Unternehmen vernetzen müssen. Das ist auch zum Beispiel der Grund, warum ich heute sehr gerne Ihre Einladung angenommen habe, hier im Podcast zu sprechen. Weil es für uns wichtig ist, dass die Unternehmen wissen, sie haben starke Partner in den Strafverfolgungsbehörden. Und auch transparent zu machen, wie wir agieren. Dann haben wir eine Chance, im Bereich von auch internationaler Cyberkriminalität tätig zu werden. Und letztendlich, selbst wenn es schwierig ist, Ermittlungen international in der Bandbreite zu führen. Die Alternative kann ja nicht sein, einfach hinzunehmen, dass Unternehmen in großer Anzahl Opfer von solchen Cyberangriffen werden. Und dann ist Strafverfolgung aus meiner Sicht ein wichtiger Bestandteil. Aber es ist nicht der Einzige. Das muss man auch ganz klar sagen. Wir brauchen stärkere Anstrengungen der Unternehmen, sich besser zu schützen. Wir brauchen möglicherweise auch einiges an Regulatorik, damit Unternehmen wissen, auf welche Infrastrukturen sie sich verlassen können. Zertifizierungen und Ähnliches spielt da durchaus rein. Strafverfolgung sollte nie den Anspruch haben, das alleinige Mittel zu sein. Und den haben wir auch nicht, sondern wir sehen uns als Partner in einem Gesamtkonzert von Akteuren, die je mit ihrer spezifischen Aufgabe dann hoffentlich irgendwann zur Gesamtlösung des Problems Cyberkriminalität Wichtiges beitragen können.

Jeannine Malcherek-Wirtz: Absolut. Ich denke, natürlich ist der Wunsch groß, wenn es zu einem Ermittlungsverfahren kommt, dass man einen Täter dingfest macht. Das wünscht sich jeder. Aber es gibt ja auch etwas wie einen Tathergang. Und auch das ist wichtig: die Dinge zu klären und aufzudecken.

Markus Hartmann: Ganz genau. Wir haben natürlich im Rahmen des Ermittlungsverfahrens auch Möglichkeiten, die nur Strafverfolgungsbehörden haben: Beschlagnahme von Server, von Mitschnitten entsprechender Angriffsdaten. Das sind alles auch Informationen, die die Unternehmen oder die Angegriffenen insgesamt auch verwenden können, ihre eigene Infrastruktur zu stärken. Nach der Tat sich besser aufzustellen, damit man in der Zukunft nicht wieder Opfer wird. Solche Punkte spielen auch eine Rolle. Aber ich gebe Ihnen völlig recht, wir sind alle angetreten, um im Idealfall vor dem Landgericht in Köln Anklage gegen Herrn X oder Frau Y erheben zu können und zu sagen das sind die Tatverdächtigen. Das gelingt vielleicht noch nicht in der Zahl der Fälle, wie ich es mir wünschen würde mit den bestehenden Schwierigkeiten, Internationalität vor allen Dingen. Aber es ist auch keine aussichtslose Aufgabe.

Jeannine Malcherek-Wirtz: Sie haben das eben auch schon mal gesagt. Neben den natürlich technischen und auch organisatorischen Maßnahmen, die auf Unternehmensseite ganz essenziell sind. Warum ist das Thema Transparenz so wichtig und warum scheuen sich nach wie vor viele Unternehmen, von ihren Erfahrungen zu berichten?

Markus Hartmann: Hinter der Frage Transparenz, die natürlich eine unternehmerische, eine Führungsentscheidung in einem Unternehmen ist, steht ja ganz oft die Angst, mit einer offenen Herangehensweise an einen erfolgreichen Angriff auf die eigenen Infrastrukturen, erst recht in den Fokus kritischer öffentlicher Betrachtung zu kommen. Nach dem Motto: die haben ihre eigene Infrastruktur nicht im Griff. Das ist aus mehrerlei Hinsicht nicht richtig in dem Sinne oder entspricht nicht dem, was wir in den Ermittlungsverfahren erleben. Erstens: Es ist mittlerweile ein so großes Problem, dass es gar nicht mehr ein diskriminierender Faktor im Bezug auf ein einzelnes Unternehmen ist, zum Opfer geworden zu sein, sondern es ist ein flächendeckendes Phänomen, und ich kenne keine Branche, die nicht in irgendeiner Form davon betroffen wäre. Insofern ist auch der Gedanke, der immer noch viel nachhängt: Wenn ich mich jetzt in der Hinsicht offenbare, dann komme ich in eine angreifbare Position. Das ist schon etwas schwierig. Der zweite Punkt ist: Ich bezweifle, dass man tatsächlich noch geheim halten kann, wenn man Opfer eines qualifizierten Cyberangriffs geworden ist. Denn irgendein Kunde wird merken, dass ihr Laden nicht mehr richtig funktioniert. Ein Mitarbeiter wird das möglicherweise kommunizieren. Sie unterliegen gesetzlichen Pflichten wie Meldepflichten bei abgeflossenen personenbezogenen Daten und ähnlichem. Also die Idee, man könnte durch Geheimhaltung den Vorfall eingrenzen, die erweist sich in der Praxis als nicht richtig tauglich. Und vor dem Hintergrund, meine ich, ist es besser, sich aufzustellen mit einer vernünftigen, transparenten Herangehensweise. Denn nur wenn über Sicherheitsprobleme auch gesprochen wird, können wir sie auch beheben. Im Idealfall vermeidet ja ein Unternehmen, das einen erfolgreichen Angriff auf sich selbst transparent gemacht hat, bei zahlreichen anderen Unternehmen, die die Lücken dann schließen können, dass die auch noch zum Opfer werden. Und insofern ist ein gewisses Maß an Austausch gut, egal in welcher Form. Ob das jetzt in einem Unternehmerzirkel ist, ob das moderiert ist über Verbände oder ähnliches. Ein höheres Maß an Transparenz und auch Akzeptanz, dass man sein Wissen und seine Erfahrung mit anderen teilen muss, führt sicher dazu, dass insgesamt die Strukturen gestärkt werden. Also man profitiert glaube ich auch selber von einer gewissen Offenheit. Vielleicht nur zur Ergänzung: Ich habe da durchaus Verständnis für, dass es schwierig ist. Gerade im Cyber-Krisenfall hat man auch viele andere Fragen zu klären: Die technischen Baustellen, die logistischen, die organisatorischen, die Existenzbedrohung und Ähnliches. Da ist Transparenz sicher einer der Faktoren, die nicht an der ersten Entscheidungsebene stehen. Aber wenn man den Sachverhalt wirklich beherrschen will und auch die öffentliche Wahrnehmung eines solchen Sachverhaltes den Tatsachen angepasst präsentieren möchte, hilft es sicher, eine aus unserer Sicht offensiver aufgestellte Kommunikationskultur an den Tag zu legen.

Jeannine Malcherek-Wirtz: Das finde ich ganz wichtig, dass Sie das sagen. Ich habe mich das übrigens auch in meiner Vorbereitung gefragt: Gibt es eigentlich bereits Netzwerke? Sie haben eben gesagt, auch vielleicht auf Verbandsebene, in denen sich Unternehmen genau zu diesen Themen austauschen und von ihren Erfahrungen berichten?

Markus Hartmann: Ja, meiner Wahrnehmung nach sehr wohl. Wir sind durchaus auf zahlreichen Veranstaltungen von Verbänden, insbesondere Branchenverbänden, eingeladen, wo es tatsächlich um Faktoren wie den Austausch geht. Wo wir unsere Erfahrungen aus den Ermittlungsverfahren auch berichten. Und ich nehme auch wahr, dass die Bereitschaft, offensiv darüber zu diskutieren, eigene Erfahrungen zu kommunizieren, deutlich angestiegen ist in der letzten Zeit. Vielleicht auch aus dieser Erkenntnis heraus, dass man letztlich einen Beitrag zum Schutz aller damit leistet. Es gibt sicher noch Luft nach oben, gar keine Frage. Und auch wenn ich mal dagegenlege, in wie vielen Fällen bekommen wir eine Anzeige? In wie vielen Fällen sehen wir, dass es einen erfolgreichen Angriff gab? Und wie viele Fälle bleiben für die Strafverfolgungsbehörden unentdeckt? Da ist da auch noch eine gewisse Lücke, die wir auch noch füllen müssen. Vor dem Hintergrund: Luft nach oben ist immer. Aber die vor einigen Jahren vielleicht noch deutlicher zutage tretende Blockadehaltung ist vielleicht zu hart, aber die Tendenz, sich eher abzuschotten und zu versuchen, alles im eigenen Laden hinter der geschlossenen Tür zu regeln, die hat sich deutlich aufgeweicht.

Jeannine Malcherek-Wirtz: Jetzt muss man natürlich noch zu der Frage kommen, zu der Frage aller Fragen: Wie kann ich mich schützen? Was kann man tun? Was raten Sie Unternehmen in diesem Fall? Und dazu habe ich auch noch eine zweite Frage. Gibt es eigentlich so was wie eine Art Grundschutz oder Mindeststandards, die jedes Unternehmen haben sollte?

Markus Hartmann: Ja, zu letzterem glaube ich, kann ich, kann ich sehr vertrauensvoll an die vielen Publikationen des BSI verweisen, die ja doch einen sehr hohen Aufwand betreiben, um den Grundschutz zu definieren, Best Practices zu definieren. Ich kenne auch eine ganze Reihe von verbandsinternen Empfehlungen in unterschiedlichen Branchen. Das BSI hat seit Jahren einen relativ hohen Maßstab, der dann spezifisch auf die Branche und das runtergebrochen wird: was heißt das denn für meine Unternehmen? Und das ist glaube ich, ein guter erster Punkt. Wir haben aber die Situation, dass wir doch sehr, sehr heterogene Infrastrukturen in vielen Industrie- und Wirtschaftsbereichen haben. Und deswegen ist es immer erforderlich, dass man das, was technisch möglich ist, an die Gegebenheiten vor Ort anpasst. Der entscheidende Punkt ist da tatsächlich, dass die Führungs- und Leitungskultur im Unternehmen Cybersicherheit nicht zu einer Aufgabe unter vielen macht, sondern anerkennt, dass ein erfolgreicher Cyberangriff existenzbedrohend sein kann. Und erst wenn ich diese Einschätzung meinen Betrachtungen zugrunde lege, dann wird auch klar, dass das Geschäftsführungsaufgabe ist, für die Cybersicherheit einzutreten und die erforderlichen Voraussetzungen zu schaffen. Das ist eben nicht nur die Aufgabe der IT Abteilung, sondern letztlich eine übergreifende Aufgabe des gesamten Unternehmens. In ganz praktischer Hinsicht gibt es natürlich ein paar allgemeine Regeln die immer gelten. Die Systeme aktuell halten, nie davon ausgehen, dass man einmal einen sicheren Zustand erreicht hat. Ganz wichtig ist aus meiner Sicht auch, dass man von alten Sicherheits Paradigmen wie: "Wir haben eine Firewall, wir schützen uns nach außen und das interne Netz ist eine gesicherte Zone", verabschiedet. Wir haben heute so viele Angreifer mit hohem Professionalisierungsgrad und so viele Sicherheitslücken in Standardsoftware, dass das Risiko, kompromittiert zu werden, egal wie sehr ich mich anstrenge, relativ hoch ist. Dann kann ich im Grunde mich nur darauf konzentrieren, so weit wie möglich die Kompromittierung zu vermeiden. Aber für den Fall des nicht unwahrscheinlichen erfolgreichen Angriffs, meine Infrastrukturen so aufzubauen, dass nicht gleich alles kaputt ist. Dinge wie Zero-Trust Strategie. Als eines der Hypewörter der letzten Zeit. Unterteilung der Netzwerkinfrastruktur in unterschiedliche Segmente, Abschottung der Services auch in der inneren Infrastruktur sind ganz wichtige Elemente für eine sichere Infrastruktur. Aber entscheidend ist tatsächlich, dass man sich ein Netzwerk aufbaut, auch an starken Partnern, wenn man nicht alles inhouse machen kann, was im Mittelstand ja doch eine sehr weit verbreitete Situation ist, um am Ende des Tages dann auf eine Krisensituation richtig reagieren zu können und im Vorhinein auch eine vernünftige Risikobewertung treffen zu können. Sie hatten gerade in einer Ihrer Fragen schon gesagt interne Tests. So Sachen wie Pentests sind viel, viel weiter verbreitet, als sie das noch vor einigen Jahren waren. Aber auch da ist noch Luft nach oben. Sich selber mal in die Rolle des Angegriffenen zu bewegen von einem wohlmeinenden Angreifer, der einem dann sagt, was alles schiefgeht, ist eine extrem heilsame Erfahrung bis hin zu den internen Abläufen. Wenn ich angegriffen werde und die IT geht nicht mehr, wie sorge ich denn dafür, dass meine IT Menschen die ganze Zeit vor Ort bleiben? Wer kümmert sich darum, dass deren Kinder vom Kindergarten abgeholt werden? Und wo kriege ich die Pizza her, damit die Leute alle versorgt sind? Das sind banale Fragen, die aber im Krisenfall mir einen Vorsprung an Ruhe und Entscheidungsfreiheit geben können. Deswegen Krisenszenario planen, Krisenreaktionspläne aufmachen und nicht zuletzt Strafanzeige erstatten. Den Ausflug in einen Werbeblock für die Strafverfolgungsbehörden müssen Sie mir an dieser Stelle gestatten. Denn nur in dem Gesamtpaket von Verteidigungsmaßnahmen, Recovery-Maßnahmen, Beratungsleistungen, die für den Wiederaufbau nach meinem Angriff nötig sind, aber eben auch Strafverfolgung, werden wir mittelfristig in der Lage sein, die Cyber Sicherheitslage deutlich zu verbessern.

Jeannine Malcherek-Wirtz: So wie Sie das jetzt gerade geschildert haben, da mag doch wirklich manches Unternehmen sagen: "Ach du liebe Güte, diese Komplexität und vor allem auch immer diese wachsenden, professioneller werdenden kriminellen Strukturen". Was mache ich denn, wenn ich als Unternehmen sagt: "Das geht nicht, das kriege ich nicht alleine hin"?

Markus Hartmann: A) wenn ich die Erkenntnis habe, ich muss es tun und B) Ich selber, bin ich dazu in der Lage. Ich habe eigentlich großes Vertrauen in die Innovationskraft der Wirtschaft. Was macht man in solchen Fällen? Das macht man in anderen Wirtschafts und Businessentscheidungen ja auch. Man greift auf Dienstleister zurück, man greift auf Berater zurück. Ich bitte um Verständnis, wir sind als Staatsanwaltschaft in einer von Gesetzes wegen neutralen Rolle. Ich kann also nicht sagen Unternehmen X oder Firma Y, ist jetzt der primäre Ansprechpartner. Aber da kann man, glaube ich, vor allen Dingen sich darauf verlassen, dass man sich in einem gesamten Ökosystem an Sicherheitsdienstleister befindet. Ich will da auch gerne noch mal an die Verbände verweisen, die sich da in dem Bereich ja sehr stark auch engagieren. Dass man darauf zurückgreift und dann externe Expertise hineinhört. Und zwar nicht erst, wenn es zu spät ist im Krisenfall, sondern im Idealfall schon zu Beginn der Auseinandersetzung, wie sichere ich meine eigentlichen Infrastrukturen besser ab?

Jeannine Malcherek-Wirtz: Ich komme jetzt schon zu wieder zu meiner vorletzten Frage. Es ist immer so schade, dass die Zeit so schnell vergeht. Ich erinnere mich an ein Zitat das Sie mal gesagt haben: "Was gehackt werden kann, wird auch gehackt.", dass Cyberangriffe nahezu unvermeidbar sind. Bedeutet das auch, das Unternehmen sich in Zukunft auch noch anders absichern müssen? Also kommen dann so Themen wie Versicherung für Ausfallkosten dazu, die auch relevant werden könnten?

Markus Hartmann: Ja, das ist ein relativ komplexes Thema. Also ich bitte um Verständnis. Ich bin jetzt in der Versicherungswelt sicher nicht hinreichend bewandert, um das tatsächlich bewerten zu können. Das, was ich von Unternehmen zurückgespiegelt kriege ist, dass es mittlerweile recht schwierig geworden ist, überhaupt Versicherungen abschließen zu können, weil die Risiken im Cyberbereich A) sehr hoch und eben auch existenzbedrohend sind und B) sehr schwierig sind. Was aus meiner Sicht durchaus Sinn machen kann: Es gibt ja eine Reihe von Service Agreements, wie man Beratungsleistungen für den Krisenfall absichert. Ob das unter Versicherungen zu zählen ist, ist sicher schwierig. Also in der Summe, ich kann keine Einschätzung verbindlich dazu abgeben, ob eine Versicherung Sinn macht oder nicht. Das ist, glaube ich, eine Entscheidung, die ein Unternehmen treffen muss. Aber Ausfallkosten im Sinne von – bleiben wir kurz bei der Thematik Ransomware, Lösegeldzahlungen. Das ist ja so eine der Debatten, die auch geführt werden. Da muss ich Ihnen aus Strafverfolger-Sicht auch ganz deutlich sagen, da bin ich sehr, sehr zurückhaltend. Mir ist klar, dass wenn ein Unternehmen vor der Alternative steht, ein teilweise ja im sechs-/siebenstelligen Bereich befindliches Lösegeld zu zahlen oder in die Existenzvernichtung zu gehen, in die Insolvenz zu gehen, dass das eine sehr schwierige Entscheidung ist. Wir müssen aber auch berücksichtigen, dass auch die Zahlung von Lösegeld, also die Idee – lassen Sie es mich anders formulieren – die Idee, "Ich nehme mir eine Versicherung, und wenn der Schadensfall eintritt, dann verlasse ich mich darauf, dass die Versicherung mein Lösegeld zahlt. Und dann habe ich sozusagen die die Risiken abgewandt". Wenn das die Konzeption eines Versicherungsszenarios aus Sicht eines Unternehmens ist, dann kann ich nur sagen: vergessen Sie diesen Gedanken! Denn Sie kommen in massive Compliance-Probleme hinsichtlich der Zahlung von Lösegeld, wenn Sie US-Geschäft haben. Da ist in weiten Teilen das Zahlen von Lösegeld verboten, da macht man sich schon angreifbar. Es wird auch nach deutschem Strafrecht intensiv gerade in der Fachöffentlichkeit diskutiert, inwieweit, wenn sie an solche Gruppierungen Lösegeld zahlen, dass ein "Unterstützen einer kriminellen Vereinigung" sein kann. Da ist vieles juristisch noch ungeklärt. Aber es ist nicht so einfach zu sagen: "Ich sichere mich ab. Ich habe eine Versicherung, die zahlt mir die Million die ich an Lösegeld zahlen muss und dann ist alles wieder gut". Der Gedanke wird nicht tragen. Das kann ich, glaube ich, mit relativer Deutlichkeit sagen.

Jeannine Malcherek-Wirtz: Das kann ich gut nachvollziehen. Wahrscheinlich ist es ein ergänzender Faktor, den man mit berücksichtigen kann ….

Markus Hartmann: Ich würde es in jedem Fall im Rahmen einer Gesamtstrategie prüfen. Das ist sicher sinnvoll. Aber wie ich auch bei den technischen Dingen sagte, man muss sich in Bezug auf das eigene Unternehmen, die jeweiligen Risiken, die Bedrohungsszenarien, auch die Folgen des Ausfalls bestimmter Bereiche so vergewissern und dann im Einzelfall prüfen, was kann ich als Schutzmaßnahme tun? Da will ich einer Versicherung – da bin ich wie gesagt überhaupt kein Experte – gar nicht dafür oder dagegen reden, das muss jedes Unternehmen selber beurteilen. Nur für diese spezifische Konstellation, eine Versicherung zu zahlen wegen des Lösegelds; Das habe ich gelegentlich in Gesprächen mit Unternehmen gehört, dass so der Gedanke mal aufgekommen ist: "Naja, dann versichere ich mich halt für diese Zahlung und habe das Risiko damit abgewendet". Da bin ich aus Strafverfolger-Sicht einigermaßen skeptisch.

Jeannine Malcherek-Wirtz: Es ist so spannend! Ich könnte mit Ihnen noch mindestens zwei Stunden weiter sprechen, Herr Hartmann. Ich beende immer gerne meinen Podcast mit einer persönlichen Frage an meine Gäste. Und zwar: Markus Hartmann als Privatperson, gibt es dieses eine digitale Tool, dieser eine App, wo auch Marcus Hartmann, obwohl er alle Gefährdungspotenziale kennt, sagt, da drauf würde er in seinem Privatleben nicht mehr verzichten?

Markus Hartmann: Ach, es gibt ganz vieles, auf das ich nicht verzichten würde. Da gibt es nicht nur eine App, sondern ganz viele Services. Ich wäre ja auch einigermaßen fehl am Platze, wenn ich jetzt nicht im Digitalen auch leben würde. Nein, es ist alles angreifbar, auch das, was ich privat nutze. Aber die Risiken kennen und sie richtig einschätzen, das ist das Entscheidende. Ich bin weit davon entfernt, jemandem zu sagen verzichten Sie auf digitale Apps oder verzichten Sie auf digitale Services. Im Gegenteil, wir kommen ohne Digitalisierung überhaupt nicht voran. Aber Digitalisierung richtig zu verstehen heißt eben auch, alles zu nutzen. Deswegen, ich kann Ihnen keine einzelne App sagen, die jetzt mir so ans Herz gewachsen ist. Das wäre vielleicht auch ein bisschen vermessen, da eine hervorheben zu wollen. Aber ohne Digitalisierung werden Sie, glaube ich, weder bei mir noch bei irgendeinem Kollegen in der hiesigen Dienststelle viel Freude haben. Deswegen, wir machen unseren Beruf ja auch gerade deswegen als Zentralstelle, weil wir uns eigentlich im Digitalen ganz wohlfühlen.

Jeannine Malcherek-Wirtz: Wunderbar. Ein wunderbares Abschlusswort. Vielen Dank, Markus Hartmann, dass Sie sich die Zeit für uns genommen haben. Ein sehr spannendes Thema und ein Thema, das uns immer wieder beschäftigen wird und für uns auch so wichtig ist, dass wir sagen, dass wir auch immer wieder unsere Kanäle nutzen wollen, um über dieses Thema zu sprechen. Vielen Dank!

Markus Hartmann: Herzlichen Dank!

Jeannine Malcherek-Wirtz: Es ist nicht die Frage, ob Unternehmen von Cybercrime betroffen werden, sondern wann. Sprich: Hier ist falsche Scham nicht angebracht. Im Gegenteil. Sie erleichtert das Geschäft der Kriminellen. Der wirtschaftliche Schaden, den sie anrichten, ist immens. Und darüber gilt es offen zu sprechen. Gegen die Aktivitäten der Betrüger hat die Zentrale und Anlaufstelle Cybercrime NRW eine schlagkräftige Gegenwehr aufgebaut. Doch damit der Schaden erst gar nicht entsteht, sollten sich Unternehmen angesichts der massiven und sehr professionellen Angriffe gut schützen. Dabei helfen Ihnen Profis - unsere Netzwerkpartner vermitteln hier gerne weiter. Und auch die IHK, Ihr Internet-Provider und die Stadt Düsseldorf sind gute Anlaufstellen für Information und Hilfe. Gleichzeitig ist jede und jeder im Unternehmen gefragt: Schulen Sie dieses Bewusstsein intensiv und machen Sie Ihre Mitarbeitenden zu Verbündeten in der Sache. Es gilt, äußert aufmerksam zu sein und immer am Ball zu bleiben. Alle bisherigen Podcast Folgen finden Sie übrigens online auf der Website der Stadtsparkasse Düsseldorf zum Nachhören – unter www.sskduesseldorf.de/fi/home/digitaler-mittelstand/Podcast-DigiDUS Und weitere Infos und Tipps zum Thema Digitalisierung im Mittelstand finden Sie wie immer auf unserem Firmenkundenportal unter www.sskduesseldorf.de/fi/. Wir freuen uns, wenn Sie auch bei der nächsten Folge wieder zuhören.

StationVoice: #Digitus, Digitalisierungstrends und Herausforderungen im Mittelstand. Ein Podcast der Stadtsparkasse Düsseldorf.