Diese 9 Minuten sparen Ihnen bis zu 3 Stunden
Für Ihren individuellen Wissensvorsprung haben wir hier eine getAbstract-Zusammenfassung (ein Buch mit insgesamt 124 Seiten) zum Thema recherchiert und praktisch eingeordnet. Hätten Sie diese Arbeit selbst übernommen, wären Sie nicht weniger als 140 Minuten (ungefähr 3 Stunden) beschäftigt gewesen. Erfahren Sie mehr.

„Cyberkriminelle? Das kann jeder sein, vom Teenager bis zur Staatsmacht.“

Datensicherheit und Datenschutz hat in vielen Organisationen nach wie vor wenig Priorität. Ein fataler Fehler, wie Thomas H. Lenhard findet.

„Cyberkriminelle? Das kann jeder sein, vom Teenager bis zur Staatsmacht.“
@Hans Schenkel

Herr Lenhard, Stichwort Cyberkriminalität. Was ist damit grundsätzlich gemeint?

Thomas H. Lenhard: Gemeint ist damit Kriminalität, die im Bereich der Informationstechnologie stattfindet. Computerbetrug, Daten ausspähen, Daten verschlüsseln, Datenklau, Sabotage, Datenhehlerei – alles, was im Zusammenhang mit IT an Straftaten begangen wird, zählt man zur Cyberkriminalität. Und treffen kann es jeden. So gibt es allgemeine Angriffe, bei denen etwa eine Spammail an Millionen E-Mail-Konten geht, oder aber zielgerichtete, die sich meist auf Unternehmen konzentrieren. Cyberkriminelle gehen dabei oft sehr subtil vor. Ich hatte einen Fall, bei dem ein Hacker sich offiziell auf eine Stellenbeschreibung gemeldet hat. Seine Mail beinhaltete eine persönliche Ansprache und einen direkten Bezug auf die ausgeschriebene Stelle. Als die verantwortliche Person jedoch die angehängte PDF-Datei geöffnet hat, war es passiert. Der Trojaner war platziert und innerhalb weniger Augenblicke waren sämtliche Daten des Unternehmens verschlüsselt.

Für das Unternehmen bedeutete das was?

Es wurde erpresst. Ihm wurde der „Schlüssel“ für den Zugriff auf die Daten gegen Geld angeboten. In anderen Fällen wurden die Daten zudem mittels Ransomware vorab schon „abgesogen“ und es wurde damit gedroht, sie zu veröffentlichen. Das passiert oft, wenn es sich um Patente, geheime Rezepturen oder sensible Daten handelt.

Wer sind die Drahtzieher hinter solchen Aktionen?

Vom Teenager, der sich sein Taschengeld aufbessern will, über den verärgerten Ex-Mitarbeiter, der sich rächt, bis hin zur Mafia oder sogar einer Staatsmacht, die einem anderen Land, einer anderen Organisation oder auch Einzelpersonen schaden will, kann jeder hinter diesen Aktionen stecken. Es gibt sogar mittlerweile Unternehmen, die Cyberkriminalität als Service anbieten.

Andere Staaten und Unternehmen betreiben ganz ‚offiziell‘ Datenklau und Datenspionage innerhalb anderer unternehmerischer Organisationen – der Deckmantel nennt sich ‚Terrorbekämpfung‘.

Thomas H. Lenhard

Auf YouTube gibt es zahlreiche Tutorials, wie Sie sich in Systeme „hacken“. Und da viele das Thema Datenschutz immer noch stiefmütterlich behandeln, stehen die Chancen gut, dass Sie mit einem Hack erfolgreich sind. Zudem machen es viele Länder den Kriminellen sehr einfach. In Deutschland zum Beispiel wird Cyberkriminalität in der Regel kaum verfolgt – besonders nicht die kleinen Fälle wie zum Beispiel Kreditkartenbetrug. Der Aufwand ist zu groß für die Gerichte, die meisten Fälle werden eingestellt.

Image of: Datensicherheit
Zusammenfassung (Buch)

Datensicherheit

Was Sie tun müssen – und lassen sollten –, um Ihre Unternehmens-IT abzusichern.

Thomas H. Lenhard Springer Vieweg
Zusammenfassung ansehen

Was erhoffen sich die Hacker mit ihren Aktionen?

Teenager probieren das mal aus oder wollen eben ihr Taschengeld mit kleinen Betrügereien aufbessern. Steckt eine kriminelle Organisation dahinter oder sogar ein ganzes Land, geht es in der Regel darum, jemand anderem zu schaden. Und das gar nicht immer finanziell – man will den anderen einfach kaputtmachen. Und das können Sie, indem Sie die Daten entweder verschlüsseln und so die Organisation handlungsunfähig machen, oder Sie veröffentlichen die Daten. Ein andere Möglichkeit ist die Wirtschaftsspionage, bei der Patente oder andere sensible Daten gehackt werden, um sich selbst einen Vorteil zu verschaffen.

Was ist eigentlich das Schlimmste, das ich mir einfangen kann? Einen Trojaner, einen Virus, einen Keylogger?

Laut Bundeskriminalamt hat Ransomware das größte Schadenspotenzial. Sie kann auf der einen Seite Daten verschlüsseln, auf der anderen aber auch einfach Datennamen ändern. Andere geben nur vor, etwas verschlüsselt zu haben, und wieder andere verschlüsseln Daten ohne Rückfahrschein.

Was soll ich tun, wenn ich Opfer eines Angriffs geworden bin?

Versuchen Sie auf keinen Fall, etwas zu verschleiern. Informieren Sie die Behörden. Hier gibt es mittlerweile entsprechende Einheiten, die auf Hackerangriffe und Cybercrime geschult sind. Diese können auch Experten aufrufen, die Sie bei der Wiederherstellung von oder Zugriff auf Daten unterstützen. Und zahlen Sie kein Geld an die Erpresser. Sicher ist nämlich nur, dass das Geld weg ist. Dass Sie Ihren Schlüssel erhalten, ist eher unwahrscheinlich.

Ich habe gelesen, dass während der Pandemie die Cyberattacken innerhalb des Gesundheitswesens um 200 Prozent gestiegen sind. Warum das Gesundheitswesen?

Wir sprachen eben darüber, dass man es den Kriminellen auch einfach macht, und das gilt insbesondere für das Gesundheitswesen. Hier nimmt man das mit dem Datenschutz leider flächendeckend immer noch nicht ernst. Gerade Kliniken gehen mit Daten wenig sorgsam um, niedergelassene Ärzte sind hier oft besser aufgestellt. Ich selbst war viele Jahre Leiter eines klinischen Rechenzentrums und es ist ein Kampf gegen Windmühlen. Datenschutz und vor allem eine professionelle Datensicherung ist den Verantwortlichen in Kliniken schlichtweg zu teuer. Und man unterschätzt die Folgen.

Funktionieren wegen eines Hackerangriffs zum Beispiel Informationssysteme in den Laboren nicht mehr, kann das im schlimmsten Fall Menschenleben kosten.

Thomas H. Lenhard

Ich kenne einen Fall, da waren die Hacker selbst so schockiert, was sie mit der Verschlüsselung von Daten in einer Klinik angerichtet haben, dass sie schließlich freiwillig den Schlüssel herausrückten, damit die Klinik wieder einsatzbereit war.

Im Gesundheitswesen geht es also vornehmlich um Erpressung oder haben die Kriminellen noch andere Intentionen?

Daten und vor allem Gesundheitsdaten sind natürlich für Versicherungsunternehmen Gold wert. Stellen Sie sich einmal vor, dass Versicherungen Zugang zu Ihren Daten haben – und zwar neben den gesundheitlichen auch noch auf andere Daten, die vielleicht mittels Punktekarten im Detailhandel oder Bonusprogrammen eingesammelt werden. Man kennt somit Ihren Lebensstil und verweigert Ihnen deswegen vielleicht eine Berufsunfähigkeitsversicherung, Lebensversicherung oder ein privater Krankenversicherer lehnt Sie ab. Sie werden nicht einmal den Grund erfahren, aber die Versicherungen können für sich so sicherstellen, dass die Chance auf einen Schadensfall möglichst gering bleibt.

Wir sprachen eben über die Datensicherheit in Kliniken. Wer ist eigentlich grundsätzlich in einer Organisation für die Datensicherheit verantwortlich?

Verantwortlich muss immer die Geschäftsleitung sein. Sie muss die Gelder freigeben, damit Daten entsprechend sicher und mit System gespeichert werden. Denken Sie an mein Beispiel mit den Kliniken. Es reicht nicht aus, dass Sie als Geschäftsleitung einen sogenannten DPO (Data Protection Officer) also einen Datenschutzbeauftragten bestimmen und meinen, damit ist die Sache vom Tisch.

Sie müssen als Unternehmen konstant in die Datensicherung und in den Datenschutz investieren – Zeit und Geld.

Thomas H. Lenhard

Eine zehn Jahre alte Firewall hält keinen Hacker ab und Back-ups, die aufgrund von Updates nicht mehr mit der Software zur Rücksicherung kompatibel sind, helfen auch nicht bei der Datenwiederherstellung. Daher: Sie sind als Geschäftsleitung verantwortlich und müssen Techniker, Ingenieure, Administratoren und den DPO befähigen, ihre Arbeit tun zu können.

Gibt es ganz grundsätzliche Dinge, die man in Bezug auf Datensicherung und Datenschutz beachten sollte?

Datensicherung ist ein extrem komplexes Thema. Was man aber sicher sagen kann:

  1. Investieren Sie in ein gutes Datenschutzmanagementsystem.
  2. Machen Sie regelmäßig eine Risikoanalyse.
  3. Schauen Sie, dass die Technik – Soft- wie auch Hardware – auf dem neuesten Stand ist und dass Ihre Back-up-Systeme funktionieren.
  4. Stellen Sie sicher, dass kein Unberechtigter Zugang zum System bekommt.

Beginnen Sie damit, dass Sie Ihre Mitarbeiter schulen. Sie können sich technologisch noch so hochrüsten, wenn die Mitarbeiter im Umgang mit der Technik nicht sensibilisiert sind, bringt Ihnen das rein gar nichts. Und Sensibilisierung bedeutet, die Mitarbeiter regelmäßig auf die Dinge hinzuweisen. Der Datenschutzbeauftragte kann zum Beispiel einmal im Monat entsprechende Infos über aktuelle Entwicklungen verteilen, er kann Beispiele für „klassische“ Hackerangriffe zeigen. Sie können zudem den Zugang zum Internet sperren, wenn dieser nicht zwingend für die Arbeit des jeweiligen Mitarbeiters erforderlich ist. Gleiches gilt für Zugriffsrechte. Schauen Sie genau hin, welcher Rechner mit welchen Systemen verbunden ist.

In diesem Zusammenhang würde ich gerne auf das Thema Remote Arbeit oder hybride Arbeitsplätze zu sprechen kommen. Wie wirkt sich das auf die Sicherheit von Daten und deren Schutz aus?

Dazu eine kleine Anekdote: Als die Mitarbeiter eines Kunden in der Pandemie ins Homeoffice versetzt wurden, wurde ich beauftragt, sie zum Thema Datenschutz und -sicherheit zu beraten. Ich stieg damit ein, dass jeder nur auf seinem Firmenlaptop arbeiten und auf gar keinen Fall den privaten nutzen sollte. Das führte dazu, dass mich nach dem Seminar ein verärgerter Auftraggeber anrief und meinte: „Jetzt muss ich 80 neue Laptops kaufen, weil Sie so selbstverständlich gemeint haben, dass jeder nur auf dem Firmenlaptop arbeiten soll.“ Und ja, ich war selbstverständlich davon ausgegangen, dass jedem Mitarbeiter ein Firmenlaptop zur Verfügung gestellt wird. Das ist ein zentraler Punkt, um die Sicherheit der Daten garantieren zu können. Ein privater Laptop, auf dem der Sohn seine Ballerspiele spielt, die Tochter ihre Bilder auf Instagram postet und auf den der Ehemann auch noch Zugriff hat, ist definitiv kein sicherer Arbeitsplatz.

Viele setzen mit Blick auf hybride Arbeitsmodelle auf Terminal Technology – was ist das und was kann die?

Damit ist gemeint, dass alle Daten ausschließlich auf den Servern des Unternehmens liegen. Auf den jeweiligen Endgeräten findet keine Datensicherung statt. Die Übertragung der Daten sollte dabei im besten Fall verschlüsselt stattfinden – wobei man die Verschlüsselung natürlich selbst vornimmt. Auch externe USB-Sticks oder Festplatten sollten nicht zulässig sein. Der Vorteil von Terminal Technology ist auf jeden Fall der Datenschutz, aber auch die Sicherstellung von Aktualität. Jeder hat entsprechend seiner Position immer Zugang zu den aktuellsten Daten.

Und wer trägt die Verantwortung, wenn sich doch jemand über meinen Rechner, den ich im Homeoffice benutze, Zugang zu Firmendaten verschafft?

Eine gute Frage. Grundsätzlich ist das Unternehmen dafür verantwortlich, die Sicherheit der Daten zu garantieren. Indem man Ihnen als Mitarbeiter zum Beispiel einen Firmenlaptop zur Verfügung stellt und die Datenübertragung zum Unternehmen entsprechend verschlüsselt.

Wenn Sie jedoch als Mitarbeiter grob fahrlässig agieren, haften auch Sie.

Thomas H. Lenhard

Beispiel: Sie kleben ein Post-it mit allen Zugangsdaten auf den Laptop oder klicken auf dem Rechner bestimmte Webseiten an. Daher wird im Schadensfall immer geschaut, ob Fahrlässigkeit vorliegt – oder sogar Vorsatz. Denn auch das gibt es immer wieder: frustrierte Mitarbeiter, die dem eigenen Unternehmen bewusst schaden wollen und Daten zerstören oder Zugänge nutzen, um Daten abzuziehen.

Eingangs sprachen wir darüber, dass Cyberkriminalität zunimmt. Welchen Einfluss haben Blockchains und Kryptowährungen darauf?

Einen großen, und ich plädiere seit Jahren für ein Verbot von Kryptowährungen. Wieso ich das tue? Wir haben ein gut funktionierendes Bankensystem. Wir haben funktionierende Währungen. Und beide werden staatlich kontrolliert. Mit Kryptowährungen und Blockchains haben wir nun ein paralleles System aufgebaut, das nur den Zweck hat, Zahlungen zu verschleiern. Drogenumschlag, Waffenhandel, Geldwäsche, all das findet zunehmend über Kryptowährung statt. Und damit ist sie für mich persönlich der größte Treiber von Internetkriminalität.

Über den Autor
Thomas H. Lenhard ist als Sachverständiger für die Themen IT und Datenschutz tätig.

Wie das Journal Ihnen Zeit spart
Lesezeit
9 Min.
Die Lesezeit für diesen Artikel beträgt etwa 9 Minuten.
Gesparte Zeit
3 Std.
Mit der Lektüre sparen Sie bis zu 3 Stunden Recherche- und Lesezeit.
Recherchierte Abstracts
1 Für diesen Beitrag haben wir die praktischsten Einsichten aus einer Zusammenfassung zum Thema herausgesucht.
1 Wir haben ein Buch mit 124 Seiten für diesen Artikel gelesen und zusammengefasst.
Share this Story