[datensicherheit.de, 24.11.2025] „Was macht unsere Software so angreifbar?“ – mit dieser Frage konfrontiert Dr. Hubert B. Keller vom Förderverein Ada Deutschland e.V. gerne sein Auditorium. Er macht die Relevanz schnell deutlich, besteht doch die überwiegende Zahl der technischen Systeme inzwischen zu großen Teilen aus Software: Zuverlässigkeit und Sicherheit dieser Systeme hänge somit ganz entschieden eben von der Zuverlässigkeit und Sicherheit ihrer Softwarekomponenten ab. „Und genau hier liegt ein erhebliches Problem: Die zunehmend starke Vernetzung und eine große Zahl bekannter Schwachstellen in verwendeter Software macht unsere Systeme angreifbar!“, warnt Keller eindringlich. Die volkswirtschaftlichen Schäden durch Cyberangriffe haben dauerhaft eine bedrohliche Größenordnung erreicht – ein stilles Hoffen auf das Beste und fatalistisches Abwarten können daher keine Option mehr sein, vielmehr gilt es, elementare IT-Sicherheitsmaßnahmen umzusetzen und auch bei der Wahl der Programmiersprache die richtige Wahl zu treffen, um „Security by Design“ zu ermöglichen.

Foto: Dirk Pinnow

Dr. Hubert B. Keller als Sprecher beim Vortragsabend „Cyber, KI und Geopolitik – Sicherheit in der vernetzten Welt“ der Konrad-Adenauer-Stiftung in Berlin am 21. Oktober 2025

Acht von zehn Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen

Erschreckend sei, dass Cyberangriffe mit erheblichen schädlichen Auswirkungen heute fast schon als alltäglich wahrgenommen werden. Tatsächlich aber verursacht Cyberkriminalität der deutschen Wirtschaft im weiteren Sinne jährlich einen Gesamtschaden in der Größenordnung von 200 Milliarden Euro. Hier sollte man zum Vergleich mal den Bundeshaushalt heranziehen, welcher nach Angaben des Bundesministeriums der Finanzen (BMF) für das Jahr 520,48 Milliarden Euro betragen soll [Stand per 23.11.2025].

• Nach statista-Angaben belaufen sich die Schäden durch Datendiebstahl, Industriespionage oder Sabotage in Deutschland im Jahr 2025 sogar auf etwa 289,2 Milliarden Euro.

Eine Bitkom-Studie von 2024 hat aufgezeigt, dass acht von zehn Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen waren. Eine solche Entwicklung gefährde nicht nur Unternehmen, sondern in besonderem Maße auch Kritische Infrastruktur (KRITIS), Lieferketten, die Industrie als Ganzes und vernetzt agierende Systeme wie Autonome Fahrzeuge.

Flut an Software-Schwachstellen sollte zu grundsätzlich neuem Sicherheitsansatz führen

Keller erläutert, was genau unsere Software so angreifbar macht: Die CISA (Cybersecurity and Infrastructure Security Agency) in den USA publiziert regelmäßig Hinweise auf Schwachstellen in der Software von technischen Systemen und hat hierzu einen Katalog ausgenutzter Sicherheitsprobleme erstellt. Auch das CVE-Programm veröffentlicht einen solchen Katalog, auf dessen Basis die „Top 25 Most Dangerous Software Weaknesses“ zusammengefasst und hervorgehoben werden.

• „Schaut man sich diese ,Top 25‘-Schwachstellen an, findet man sich permanent wiederholende Probleme vor allem in zwei Bereichen“, berichtet Keller.

Der erste umfasse alles, was es ermöglicht, sich mit falschen Identitäten und manipulierten Daten Zugriff zu einem System zu verschaffen – ungenügende Passwortabsicherung, inkorrektes Benutzermanagement, unsichere Übertragung sensibler Informationen, mangelhafte Validierung von Inputdaten. Selbst „Hard-coded Credentials“ tauchten immer noch in dieser Liste auf. Der zweite betreffe Implementierungsfehler – falsche programmtechnische Realisierung und fehlende Prüfung von Code.

Mit „Ada“ ganze Klassen von Fehlern systematisch von Grund auf vermeiden

Bei den Schwachstellen im Code-Kontext befinden sich laut Keller in exponierter Position Fehler bei der Speicherverwaltung: „Out-of-bounds Read & Write”, „Buffer Overflow”, „Null Pointer Dereference”, „Use After Free”, usw. Sowohl Microsoft als auch Google („Chrome“) hätten bestätigt, dass ungefähr 70 Prozent der von ihnen adressierten Schwachstellen auf unsicheren Umgang mit Speicher zurückgingen.

• „Und dieses Problem kann man hauptsächlich als eine Frage der eingesetzten Programmiersprache betrachten!“, unterstreicht Keller. Denn dieses trete vor allem dann auf, wenn keine geeigneten Speicherabstraktionen zur Verfügung stehen. Dies sei übrigens ein Grund für das „Informationsblatt zu sicheren Programmiersprachen“ der NSA, welches für Sprachen mit sicherer Speicherverwaltung plädiere – unter anderem eben für „Ada“.

„Aus gutem Grund: Programmiersprachen wie ,Ada’ können durch strenge Typisierung und umfangreiche Compiler- und Laufzeit-Prüfungen ganze Klassen von Fehlern systematisch von Grund auf vermeiden“, kommentiert Keller und führt weiter aus: „In ,Ada’ ist ein Array kein Pointer auf das erste Element, sondern eine semantische Struktur, die Indextypen und Grenzen des Arrays untrennbar beinhaltet. Lese- und Schreiboperationen werden sowohl vom Compiler als auch zur Laufzeit geprüft.“

Zwölf der „Top 25“-Schwachstellen mittels „Ada“-Verwendung zu vermeiden

Zwölf der „Top 25“-Schwachstellen wären somit durch „Ada“-Verwendung und deren syntaktische und semantische Prüfung durch den Compiler und das Laufzeitsystem ausgeschlossen, ließen sich also allein durch die Wahl der Programmiersprache vermeiden – „und das unabhängig von Programmierfehlern!“

• Sieben weitere Schwachstellen ließen sich durch korrekte Authentifizierung, Autorisierung und Passwortabsicherung vermeiden. „Was erschreckend ist, dass der Großteil trotzdem regelmäßig unter den ,Top 25‘ auftaucht, obwohl es für keine einzige Schwachstelle davon eine Ausrede gibt.“

Es seien in aller Regel die gleichen, allgemein vorher bekannten Fehler, die Software so angreifbar machten – „Fehler, die wir kennen und von denen wir wissen, wie sie zu beheben sind“, moniert Keller.

Foto: Dirk Pinnow

Laut Kellers klarer Positionierung müsse Grundsätzliches in der Implementierung umgestellt und bei allen Beteiligten ein Sicherheitsbewusstsein entwickelt werden – eben u.a. auch in der Politik und Gesellschaft

Singuläre Reparatur einzelner Schwachstellen unzureichend – „Security by Design“ gefragt

„Dass vorhandene Erkenntnisse in der Praxis schlicht nicht umgesetzt werden, liefert Jahr für Jahr die möglichen Angriffsvektoren für Cyberangriffe und gefährdet technische Systeme vom ,Smart Home’ bis zur Kritischen Infrastruktur, verbunden mit immensen Kosten“, gibt Keller zu bedenken.

• Um diese Gefährdung effektiv, wirtschaftlich vertretbar und nachhaltig zu beheben, reiche indes eine singuläre Reparatur einzeln erkannter Schwachstellen nicht aus. Keller unterstreicht: „Es muss Grundsätzliches in der Implementierung umgestellt und bei allen Beteiligten ein Sicherheitsbewusstsein entwickelt werden – bei denjenigen, die programmieren, auf Managementebene, aber auch in Politik und Gesellschaft!“

Abschließend empfiehlt er mehr „Security by Design“, mehr Sorgfalt in der Benutzerverwaltung und bei Kommunikationsprotokollen und „Augen auf bei der Wahl der Programmiersprache“ – an seiner bevorzugten Wahl von „Ada“ lässt er in diesem Zusammenhang keinen Zweifel.

Weitere Informationen zum Thema:

ResearchGate
Hubert B. Keller / Doctor of Engineering / Independent Expert/CEO at www.dr-hbkeller.de/index.html /www.ci-tec.de

Ada Deutschland
ADA IN DEUTSCHLAND

Bundesministerium der Finanzen
Bundeshaushalt

statista, Internet – Cyberkriminalität
Schäden durch Datendiebstahl, Industriespionage oder Sabotage in Deutschland im Jahr 2025

bitkom, 28.08.2024
Angriffe auf die deutsche Wirtschaft nehmen zu

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Cyber Threats and Advisories

CVE
CVE Program Mission: Identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.

CWE Common Weakness Enumeration
CWE Top 25 Most Dangerous Software Weaknesses

Microsoft
microsoft / MSRC-Security-Research Public

Google, 21.09.2021
Security Blog
An update on Memory Safety in Chrome

National Security Agency, April 2023
Cybersecurity Information Sheet: Software Memory Safety

WIKIPEDIA
Ada (Programmiersprache)

GI FACHGRUPPE ADA
Willkommen bei der Fachgruppe Ada – Zuverlässige Software-Systeme

DE GRUYTER OLDENBOURG, „at – Automatisierungstechnik“, 31.10.2016
Hubert B. Keller, Oliver Schneider, Jörg Matthes und Veit Hagenmeyer: „Zuverlässige und sichere Software offener Automatisierungssysteme der Zukunft – Herausforderungen und Lösungswege“

datensicherheit.de, 12.11.2025
BSI-Jahresbericht 2025: Trotz Fortschritten bei der Cybersicherheit weiterhin hohe Verwundbarkeit / Immer mehr KRITIS-Betreiber erfüllen die Mindestanforderungen und internationale Ermittlungen gegen Cyberkriminelle zeigen Wirkung – dennoch bleibt die Lage weiter angespannt

datensicherheit.de, 06.11.2025
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit / 23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

datensicherheit.de, 25.08.2025
Mehr als ein rein technisches Problem: Cybersicherheit eine Frage der Haltung / Lieferketten, Produktionssysteme und Kritische Infrastrukturen geraten zunehmend ins Visier professioneller Angreifer – die Bedrohung der Cybersicherheit ist real und betrifft jedes Unternehmen unabhängig von der Größe

datensicherheit.de, 22.03.2017
AdaCore: Neue Broschüre für Entwicklung zertifizierter Software in der Luftfahrt / Kostenlose Publikation „AdaCore Technologies for DO-178C / ED-12C“ vorgestellt

[datensicherheit.de, 18.08.2025] „Industrieanlagen und Kritische Infrastrukturen stehen weltweit vor einer massiven, oft unterschätzten Gefahr“, warnt Kai Thomsen, „Director of Global Incident Response Services“ bei Dragos, in seiner aktuellen Stellungnahme und bezieht sich auf den nun vorliegenden „2025 OT Security Financial Risk Report“ von Dragos und Marsh McLennan: Dieser zeigt demnach erstmals mithilfe statistischer Modelle berechnet das finanzielle Risiko von OT-Cybervorfällen auf – und welche Sicherheitsmaßnahmen den größten Schutz auch gegen finanzielle Schäden bieten. „Er ist damit ein zentrales Werkzeug für Unternehmensleitungen, Versicherer und Sicherheitsteams.“

Foto: Dragos

Kai Thomsen: „2025 OT Security Financial Risk Report“ ist ein zentrales Werkzeug für Unternehmensleitungen, Versicherer und Sicherheitsteams

70% der Schäden als indirekte Folgen wie Produktionsausfälle oder gestörte Lieferketten

„Dem Bericht zufolge entfallen bis zu 70 Prozent der Schäden auf indirekte Folgen wie Produktionsausfälle oder gestörte Lieferketten“, berichtet Thomsen. Diese Faktoren würden in klassischen Risikomodellen meist nicht berücksichtigt.

In einem extremen, aber plausiblen Szenario (ein „1-in-250-Jahre-Ereignis“) könnte das weltweite finanzielle Risiko 329,5 Milliarden US-Dollar betragen, davon 172,4 Milliarden allein durch Betriebsunterbrechungen.

SANS-Maßnahmen: 3 Schritte mit größter Wirkung zur Minimierung von Risiken und Vermeidung von Schäden

Mit der Zunahme spezialisierter OT-Malware und verschärfter Vorschriften wie der EU-Richtlinie NIS-2 wachse der Handlungsdruck. Die „kritischen Maßnahmen“ des SANS Institute böten eine erprobte Grundlage, um Investitionen gezielt und messbar risikosenkend einzusetzen. Diese seien bei Versicherern, „Compliance“-Teams und Entscheidungsträgern anerkannt.

Die Analyse nennt drei besonders wirkungsvolle Schritte zur Risikoreduktion:

• „Incident Response“-Plan: bis zu 18,5 %
• Verteidigungsfähige Architektur: 17,09 %
• Netzwerksichtbarkeit und -überwachung für „Industrial Control Systems“ (ICS): 16,47 %

Fehlende Kennzahlen hemmen Investitionen

Trotz steigender Angriffszahlen und wachsender Aufmerksamkeit auf Führungsebene gelinge es vielen Organisationen branchenübergreifend nicht, OT-spezifische Cyberrisiken wirksam zu managen oder abzusichern.

Der Bericht erkenne dabei drei zentrale Herausforderungen: Unklare finanzielle Folgen, nicht messbarer ROI und fehlende Priorisierungsgrundlagen. „Der Bericht schließt diese Lücken, indem er reale Finanzdaten mit OT-spezifischen Sicherheitskontrollen verknüpft und so eine gemeinsame Entscheidungsbasis für Führungskräfte, Risikomanager und Versicherer schafft“, kommentiert Thomsen abschließend.

Weitere Informationen zum Thema:

DRAGOS
About Dragos

DRAGOS
The 2025 OT Security Financial Risk Report / A first-of-its-kind analysis by Marsh McLennan reveals operational technology (OT) cyber threats pose hundreds of billions in annual financial risk globally and delivers industry-by-industry insights on which sectors are most at risk.

DRAGOS
Kai Thomsen – Director, Global Incident Response Services

SANS
About SANS Institute

datensicherheit.de, 22.04.2025
Neue Bundesregierung in der Pflicht: KRITIS müssen jetzt geschützt werden / TÜV NORD nimmt Stellung und erinnert an das „KRITIS-Dachgesetz“

datensicherheit.de, 20.04.2025
Kritische Infrastrukturen: Jede zweite Organisation unzureichend vor Cyber-Attacken in der Lieferkette geschützt / Erkenntnisse aus aktueller „DNV Cyber-Studie“ legen verstärkten Fokus auf Lieferanten nahe

datensicherheit.de, 11.02.2025
KRITIS immer öfter im Visier Cyber-Krimineller / Frank Lange: Höchte Zeit für einen strategischen Ansatz in der KRITIS-Cyber-Sicherheit

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

datensicherheit.de, 26.11.2024
Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen / Holger Fischer erörtert Schutz vor nur vermeintlich simpler Angriffsmethode per USB

datensicherheit.de, 07.11.2024
KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf / Laut Bitkom in Fragen der Sicherheit keine Trendwende – 86 Prozent der KRITIS-Unternehmen in den vergangenen zwölf Monaten von analogen oder digitalen Angriffen betroffen

[datensicherheit.de, 08.01.2020] Wenn Cyber-Kriminelle mit ihren Angriffen Zugriff auf lukrative Daten anstreben, verursacht dies „oft beträchtlichem finanziellem Schaden für das gehackte Unternehmen“, warnt Digital Guardian. Dessen „Director DACH & EE“, Christoph M. Kumpa, erläutert nachfolgende „Best Practices“ für die Datensicherheit in Unternehmen.

Bild: Digital Guardian

Christoph M. Kumpa: Ein Datenverstoß in Deutschland kostet eine Organisation durchschnittlich umgerechnet 4,32 Millionen Euro.

Weltweit 507 Unternehmen aus 17 Branchen befragt

In Deutschland kostet laut Kumpa „ein Datenverstoß eine Organisation durchschnittlich umgerechnet 4,32 Millioen Euro (4,78 Millionen US-Dollar)“, so das Ergebnis des aktuellen „Cost of a Data Breach Report“ des Ponemon Institute und IBM. Deutschland besetze damit Platz 3 nach den USA (8,19 Millionen US-Dollar) und dem Mittleren Osten (5,97 Millionen US-Dollar). Der globale Durchschnitt liege bei 3,92 Millionen US-Dollar.
Der Report hat demnach weltweit 507 Unternehmen aus 17 Branchen befragt und unter anderem untersucht, wie durch Abwehrmaßnahmen die Kosten eines Datenlecks reduziert werden könnten.

Umfassende „Data Security“-Strategie für jedes Unternehmen unumgänglich

Beispielsweise trügen Unternehmen, die Security-Automation-Technologien eingesetzt hätten, nur etwa die Hälfte der Kosten einer Datensicherheitsverletzung, verglichen mit Unternehmen, die diese Technologien nicht einsetzten.
Eine umfassende „Data Security“-Strategie sei für jedes Unternehmen deshalb heutzutage unumgänglich, um finanzielle Schäden durch Datenlecks einzudämmen, betont Kumpa.

Grundlegende „Best Practices“ für Datensicherheit

1. Data Discovery
   „Heute befinden sich Daten nicht nur in Unternehmensnetzwerken, sondern auch in der Cloud, auf Mobilgeräten und an Homeoffice-Arbeitsplätzen. Das Aufspüren sensibler Daten sowie die Transparenz zu wissen, wohin Daten fließen, wer darauf Zugriff hat und sie weitergeben kann, ist grundlegend für die Datensicherheit.“ Ansonsten könnten Unternehmen nicht bewerten, welche Dateien, Dokumente oder Geistiges Eigentum das größte Risiko bei einem Sicherheitsverstoß darstellten. Der erste Schritt sei deshalb die Entwicklung einer organisatorischen Sichtung und Strukturierung aller Daten.
   Umfassende „Data Loss Prevention“-Lösungen (DLP) verfügten über „Data Discovery“-Appliances. Diese ermöglichten ein automatisches, konfigurierbares Scannen von lokalen und Netzwerk-Freigaben unter Verwendung von erkennungsspezifischen Inspektionsrichtlinien, „um sensible Daten überall dort zu finden, wo sie sich befinden“. Detaillierte Auditprotokolle und -berichte lieferten zudem die erforderlichen Informationen, um die Einhaltung von Vorschriften nachzuweisen, vertrauliche Informationen zu schützen und das Risiko von Datenverlusten zu verringern.
2. Datenklassifizierung
   Die Strategien zur Datenklassifizierung könnten von Unternehmen zu Unternehmen variieren, „aber durch den Einsatz von DLP-Tools zur Analyse sensibler Daten und der Anwendung von Richtlinien können Unternehmen die dringend benötigte Struktur in ihre Sicherheitsstrategie implementieren“. Üblicherweise werden laut Kumpa Daten in folgende Kategorien eingeteilt:
   • „Eingeschränkt“: Daten, die bei einem Datenleck dauerhafte und schwere Konsequenzen für ein Unternehmen bedeuten.
   • „Vertraulich“: Daten, die vor unbefugtem Zugriff geschützt werden müssen und mäßig sensible Informationen enthalten.
   • „Öffentlich“: Daten, die geteilt werden dürfen.
3. Zugriffskontrollen und kontinuierliche Datenverfolgung
   Kumpa: „Nachdem die Daten klassifiziert wurden, sollten Unternehmen sicherstellen, dass auf Benutzerebene geeignete Sicherheitskontrollen vorhanden sind, um Informationen vor Diebstahl zu schützen.“ Richtlinienkontrollen stellten sicher, dass Daten nicht durch böswillige oder fahrlässige Mitarbeiter verändert, verloren oder gestohlen werden könnten. Gerade unvorsichtige Mitarbeiter seien seit Jahren eine der Hauptursachen für den Verlust von Unternehmensdaten.
   Um Risiken zu minimieren, entschieden sich deshalb viele Unternehmen für Kontrollen, die den Datenzugriff für die Mitarbeiter einschränkten. Dies stelle sicher, dass Angestellte nur Zugang auf für ihre Arbeit notwendige Daten hätten. „Data Loss Prevention“-Tools böten hier die Überwachung, Verfolgung und den Schutz sensibler Daten vor nicht autorisiertem Zugriff während des gesamten Verarbeitungszyklus, „unabhängig davon, ob sie sich im Ruhezustand, Gebrauch oder in Übertragung befinden“. Einige Lösungen verfügten über Richtlinien, die das Auffordern, Blockieren oder automatische Verschlüsseln ermöglichten, wenn ein Benutzer mit sensiblen Daten arbeitet. Andere könnten so konfiguriert werden, dass sie unbefugten Zugriff auf sensible Inhalte, Manipulationen oder die Synchronisierung mit Cloud-Umgebungen vollständig verhinderten.
4. Mitarbeiteraufklärung bei riskantem Verhalten
   Neben der Möglichkeit, kritische Daten zu überwachen und zu verfolgen, könnten Kontrollen zudem verhindern, dass Benutzer bestimmte Handlungen ausführen, wie etwa Daten zu verschieben, zu kopieren oder zu drucken.
   In diesen Szenarien könnten Administratoren DLP-Lösungen einsetzen, um Nutzern Benachrichtigungen anzuzeigen, die erklärten, weshalb eine Handlung – sei es der Zugriff, das Verschieben oder das Verschicken bestimmter Daten per Mail – verboten ist. Dies trage zur Aufklärung der Mitarbeiter bei und fördere die Optimierung im Umgang mit kritischen Informationen.
5. Einsatz verhaltensbasierter Erkennungswerkzeuge
   Neben „Data Loss Prevention“ könnten zudem Lösungen wie „Endpoint Detection and Response“ (EDR) oder „Advanced Threat Protection“ (ATP) Bedrohungen in Echtzeit erkennen, „bevor Daten gefährdet werden“. EDR-Tools überwachten Endpunkt- und Netzwerkereignisse und speicherten diese Informationen in einer zentralen Datenbank. Diese Daten würden auf Anomalien wie selten auftretende Prozesse, ungewöhnliche oder unbekannte Verbindungen und andere verdächtige Aktivitäten untersucht.
   Der Vorgang könne automatisiert werden, wobei Anomalien Alarme für sofortige Gegenmaßnahmen oder weiterführende Untersuchungen auslösten. Zudem böten viele EDR-Tools auch eine manuelle oder nutzergesteuerte Datenanalyse.

Wertvolle Daten zielgerichtet gegen externe Angreifer und Insider-Bedrohungen verteidigen

„Wenn Organisationen genau wissen, welche ihrer Daten besonders wertvoll sind, können sie diese zielgerichtet durch kontinuierliche Überwachung und Verschlüsselung gegen externe Angreifer und Insider-Bedrohungen verteidigen, selbst im Fall eines Sicherheitsverstoßes.“
Der Einsatz der oben genannten „Data Security-Best Practices“ könne Unternehmen helfen, ihre sensiblen Informationen besser zu schützen und hohe Kosten durch einen Sicherheitsvorfall zu vermeiden.

Weitere Informationen zum Thema:

IBM
How much would a data breach cost your business?

datensicherheit.de, 14.10.2019
Bösartige Unbekannte: Zero-Day-Angriffe

datensicherheit.de, 17.09.2019
Advanced Malware: Fünf Best Practices zum Schutz / APT-Attacken dienen Spionage und Datendiebstahl

datensicherheit.de, 28.08.2019
Cyber-Sabotage durch Datenmanipulation / Wenn Kriminelle Daten nicht stehlen, sondern gezielt verändern

datensicherheit.de, 12.06.2019
Sicherheitsfokus direkt auf sensible Unternehmensdaten lenken / 4 grundlegende „Best Practices“ für datenzentrierten Sicherheitsansatz

[datensicherheit.de, 28.02.2019] Everbridge stellt einen aktuellen Fragenkatalog zur Verfügung, der helfen soll, schnelle und zielgerichtete Reaktionen auf erfolgreiche Cyber-Angriffe vorzubereiten. Die Wahrscheinlichkeit für Unternehmen, Opfer einer Cyber-Attacke zu werden, sei heute so hoch wie nie zuvor, denn mit ihren modernen Angriffsmethoden seien Hacker immer häufiger erfolgreich. Deshalb genüge es nicht länger, nur Cyber-Security-Maßnahmen zu implementieren. Es gelte, sich auch für das oft Unvermeidbare zu rüsten – einen tatsächlichen IT-Schadensvorfall.

Eine Schlüsselrolle für die Kommunikation

Eine Schlüsselrolle spielt dabei laut Everbridge die Kommunikation: Nur wenn Unternehmen im Fall der Fälle effektiv kommunizierten, könnten sie eine Cyber-Attacke schnell entschärfen, ihr Ausmaß begrenzen, den Geschäftsbetrieb so gut wie möglich aufrechterhalten und einen Reputationsverlust verhindern.
Everbridge benennt als Basis einer Checkliste sechs entscheidende Fragen, die sich Unternehmen dafür stellen sollten:

• Frage 1: Ist ein spezielles Kommunikationssystem vorhanden?
  Um die Reaktion, Kommunikation und Abstimmung im Fall einer Cyber-Attacke zu automatisieren, sei ein spezielles „Critica-Communication-System“ erforderlich. Dieses müsse sicherstellen, dass die relevanten Personen, etwa die IT-Verantwortlichen, unverzüglich erreicht werden können.
  Es sollte eine bi-direktionale Kommunikation ermöglichen, damit Unternehmen sofort andere Ressourcen kontaktieren können, wenn die ersten Ansprechpartner nicht antworten.
• Frage 2: Sind alle Mitarbeiter an das System angebunden?
  An dieses System sollten nicht nur die IT-Verantwortlichen und Krisenteams, sondern sämtliche Mitarbeiter angebunden sein. Nur dann lasse sich die komplette Belegschaft effizient über die Situation und die nächsten Schritte unterrichten.
  Am besten würden die Mitarbeiter dazu verpflichtet, sich für das System zu registrieren.
• Frage 3: Ist multimodales Messaging möglich?
  Der Schlüssel, um die relevanten Personen schnell zu informieren, liege im sogenannten multimodalen Messaging: Je mehr Kommunikationskanäle offen stehen, desto wahrscheinlicher sei es, dass die relevanten Personen unabhängig von Tageszeit oder Aufenthaltsort auch wirklich erreicht werden können.
  Deshalb sollten sie immer über mehrere Kanäle und Geräte kontaktiert werden können: via SMS, Push-Nachricht, E-Mail oder Sprachnachricht auf ihren privaten und beruflichen Festnetz- und Mobiltelefonen.
• Frage 4: Gibt es vorbereitete Templates?
  Um im Ernstfall möglichst effektiv und fehlerfrei zu kommunizieren, sollten Unternehmen Templates für die Workflows und die Benachrichtigungen vorbereiten. Dabei komme es entscheidend darauf an, die Nachrichten gezielt für die verschiedenen Empfängerkreise und ihre unterschiedlichen Aufgaben im Krisenfall auszulegen.
  Das IT-Response-Team benötige natürlich ganz andere Informationen als das Management oder die Personalabteilung.
• Frage 5: Ist auch die externe Kommunikation abgedeckt?
  Neben der internen dürfe natürlich die externe Kommunikation nicht vergessen werden: So seien beispielsweise Partner oder Kunden zu informieren, wenn sie durch die Cyber-Attacke beeinträchtigt werden. Auch für sie sollten entsprechende Abläufe und Templates vorbereitet werden.
  So lasse sich Transparenz schaffen, Vertrauen aufbauen und verhindern, dass Fehlinformationen verbreitet werden oder Spekulationen wuchern. Zudem könne eine gesetzliche Meldepflicht gegenüber Behörden bestehen, etwa, wenn ein Unternehmen als Betreiber einer Kritischen Infrastruktur (KRITIS) eingestuft ist.
• Frage 6: Wurden die Abläufe durchgespielt?
• Vorbereitete Workflow- und Nachrichten-Templates ermöglichten es, die aufgesetzten Abläufe ohne den Druck des Ernstfalls einzuüben, zu erproben und gegebenenfalls zu optimieren.
  Probeläufe würden dabei helfen, die Antwort- und Reaktionsraten zu messen, dadurch etwaige Schwachstellen aufzudecken und sie dann gezielt zu beseitigen.

Im Schadensfall interne und externe Kommunikation gleichermaßen wichtig

„Kommt es zu einem IT-Sicherheitsvorfall, sind interne und externe Kommunikation gleichermaßen wichtig. Mit einem automatisierten, Template-getriebenen System stellen Unternehmen sicher, die richtigen Personen zur richtigen Zeit zu erreichen“, erläutert Andreas Junck, „Director of Sales DACH“ bei Everbridge.
„Die IT kann das Problem dann schneller beseitigen und interne sowie externe Stakeholder haben die Möglichkeit, auf Basis exakter und aktueller Informationen ihre Entscheidungen zu treffen“, so Junck.

Weitere Informationen zum Thema:

datensicherheit.de, 28.09.2018
Erfolgreiche Cyber-Attacken sind nur eine Frage der Zeit

[datensicherheit.de, 14.09.2018] Kriminelle Attacken treffen Industrieunternehmen besonders hart: Durch Sabotage, Datendiebstahl oder Spionage ist der deutschen Industrie in den vergangenen beiden Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer entsprechender Angriffe geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies. Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die 503 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Industriebranchen repräsentativ befragt wurden. „Mit ihren Weltmarktführern ist die deutsche Industrie besonders interessant für Kriminelle“, sagte Bitkom-Präsident Achim Berg bei der Vorstellung der Studie in Berlin. „Wer nicht in IT-Sicherheit investiert, handelt fahrlässig und gefährdet sein Unternehmen.“ So wurden in den vergangenen zwei Jahren bei einem Drittel der Unternehmen (32 Prozent) IT- oder Telekommunikationsgeräte gestohlen, bei fast einem Viertel (23 Prozent) sind sensible digitale Daten abgeflossen. „Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage sind keine seltenen Einzelfälle, sondern ein Massenphänomen“, betonte Thomas Haldenwang, Vizepräsident des Bundesamtes für Verfassungsschutz (BfV).

Bild: Bitkom

Umfrage: Attacken auf deutsche Industrieunternehmen

Nicht nur Diebstahl macht der Industrie zu schaffen. Jedes fünfte Industrieunternehmen (19 Prozent) berichtet von digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Weitere 28 Prozent vermuten, dass es solch einen Vorfall bei ihnen gab. Bei 11 Prozent wurde die digitale Kommunikation ausgespäht, beispielweise E-Mails oder Messenger-Dienste. Insgesamt haben digitale IT-Angriffe bei fast der Hälfte der Befragten (47 Prozent) einen Schaden verursacht. Klassische analoge Attacken sind für die Industrie auch ein Thema, fallen aber vergleichsweise weniger ins Gewicht. 21 Prozent der Befragten haben einen Diebstahl von sensiblen physischen Dokumenten, Unterlagen, Mustern oder Maschinen festgestellt, bei 10 Prozent kam es in den vergangenen zwei Jahren zur analogen Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen, z.B. durch die Manipulation von Geräten vor Ort in Unternehmen. Dazu BfV-Vizepräsident Haldenwang: „Neben der klassischen Wirtschaftsspionage beschäftigen uns vermehrt Attacken, bei denen davon ausgegangen werden muss, dass Schadsoftware mit dem Ziel in IT-Systeme eingebracht wird, Sabotage-Akte vorzubereiten.“

Kritische Unternehmensdaten im Visier von Angreifern

Angreifer haben im Rahmen ihrer Attacken unterschiedlich sensible Daten erbeutet. Bei fast der Hälfte (48 Prozent) der betroffenen Industrieunternehmen wurden Kommunikationsdaten wie Emails gestohlen. Bei jedem fünften Unternehmen sind durch digitale Angriffe jeweils Kundendaten (21 Prozent) und Finanzdaten (20 Prozent) abgeflossen. Patente und Ergebnisse aus Forschung und Entwicklung sind bei jedem zehnten Unternehmen (10 Prozent) in kriminelle Hände gefallen. „Viele Unternehmen nehmen das Thema Sicherheit noch zu sehr auf die leichte Schulter, auch weil ihnen das entsprechende Know-how fehlt“, so Berg. „Erster und wichtigster Schritt ist, IT-Sicherheit im Unternehmen zur Chefsache zu machen.“

Dabei stammen die Täter häufig aus den eigenen Reihen. Bei fast zwei Drittel der Betroffenen (63 Prozent) gingen Delikte von ehemaligen oder derzeitigen Mitarbeitern aus. Die Hälfte der geschädigten Unternehmen (48 Prozent) hat Kunden, Lieferanten, externe Dienstleister oder Wettbewerber als Täter identifiziert. Bei drei von zehn (29 Prozent) waren es Privatpersonen oder Hobbyhacker, 17 Prozent der Betroffenen berichten von organisierter Kriminalität, jedes neunte betroffene Unternehmen (11 Prozent) gibt ausländische Nachrichtendienste als Täter an.

Aufmerksame Mitarbeiter als effektivster Schutz

Mitarbeiter sind es, die auf der anderen Seite aber auch dafür sorgen, dass kriminelle Handlungen aufgedeckt werden. Sechs von zehn betroffenen Industrieunternehmen (61 Prozent) sind so erstmalig auf Angriffe aufmerksam geworden. 40 Prozent der Betroffenen erhielten Hinweise auf Angriffe durch eigene Sicherheitssysteme, bei fast einem Viertel (23 Prozent) war es hingegen reiner Zufall. Nur bei 3 Prozent der Unternehmen gingen erste Hinweise auf Delikte durch externe Strafverfolgungs- oder Aufsichtsbehörden ein. „Der effektivste Schutz vor Spionage, Diebstahl oder Sabotage sind motivierte, gut geschulte und aufmerksame Mitarbeiter“, sagte Berg.

Künftige Bedrohungen sehen Unternehmen vor allem durch digitale Angriffe. Nahezu alle Befragten (97 Prozent) nennen sogenannte Zero-Day-Exploits als größte Gefahr. Dabei nutzen Angreifer Sicherheitslücken in Software aus, die bis dahin unbekannt waren. 93 Prozent fürchten die Infizierung mit Schadsoftware, zwei Drittel (68 Prozent) geben den Mangel an qualifizierten IT-Sicherheitskräften als Bedrohung an. Die zunehmende Fluktuation von Mitarbeitern ist für 58 Prozent der Unternehmen ein Risiko. Dass Kriminelle die Rechenleistungen von Internetnutzern anzapfen, etwa zum unbemerkten Schürfen von Kryptowährungen, nehmen hingegen nur 29 Prozent der Unternehmen als echte Gefahr wahr.

Weitere Informationen zum Thema:

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

[datensicherheit.de, 28.12.2014] KASPERSKY lab hat im Zusammenhang mit der eigenen Prognose zu IT-Sicherheitsverletzungen im Jahr 2015 in einer Stellungnahme Ende Dezember 2014 nochmals die Erwartung bestärkt, dass es zu verstärkten Angriffen gegen Online-Bezahlsysteme kommen wird. Dies geschehe auch auf Kosten der Nutzer, denn laut einer eigenen Umfrage bekomme nur etwa die Hälfte der Befragten nach einem Online-Diebstahl ihr Geld vollständig zurück.

28 Prozent der Geschädigten gehen leer aus

Diese weltweite Umfrage in Kooperation mit B2B International zeige, dass bisher nur knapp mehr als die Hälfte der Befragten (56 Prozent) ihr Geld komplett zurückerstattet bekommen habe, nachdem sie Opfer eines Online-Betrugs mit Geldverlust wurden. Weitere 16 Prozent hätten lediglich eine Teilkompensation erhalten. 28 Prozent der befragten Nutzer hätten ihr Geld nicht wiedergesehen.
Im Durchschnitt hätten die Befragten einen Geldbetrag von 175 Euro (218 US-Dollar) verloren – und 18 Prozent gar mehr als 800 Euro (1.000 US-Dollar).

Im Visier: Deutschland an dritter Stelle

Im Jahr 2014 hat KASPERSKY lab nach eigenen Angaben zwei Millionen Attacken verhindern können, bei denen Schädlinge mit der Spezialisierung auf den Diebstahl von Geld via Online-Zugriff auf Bankkonten zum Einsatz gekommen seien.
Deutschland belege weltweit den dritten Rang, wenn es um Angriffe von Bank-Trojanern geht. Bei den Bank-Trojanern bleibe „Zeus“ der am weitesten verbreitete Schädling. In ihren Prognosen für das Jahr 2015 gehen die Experten von KASPERSKY lab davon aus, dass Angriffe gegen virtuelle Zahlungssysteme verstärkt auftreten werden.

KASPERSKY empfiehlt umfassenden Transaktionsschutz

Auch wenn Finanzinstitute oder Onlinegeschäfte zum Teil gestohlenes Geld zurückerstatten, sollten Nutzer von Online-Banking und -Shopping nach wie vor besondere Vorsicht walten lassen, empfiehlt Holger Suhl, „General Manager DACH“ bei KASPERSKY lab. Spezielle Schutzlösungen und Technologien könnten Nutzer aber dabei unterstützten, ihr Geld und ihre Daten vor Missbrauch zu schützen.

Weitere Informationen zum Thema:

datensicherheit.de, 01.12.2014
KASPERSKY lab präsentiert IT-Sicherheitsprognosen für 2015 / Im kommenden Jahr gezielte Cyber-Attacken gegen Banken erwartet

KASPERSKY lab
Protecting your money online with Safe Money technology

KASPERSKY lab, July 2014
CONSUMER SECURITY RISKS SURVEY 2014: MULTI-DEVICE THREATS IN A MULTI-DEVICE WORLD

[datensicherheit.de, 06.05.2014] Cybercrime ist in Deutschland inzwischen ein weit verbreitetes Phänomen. 38 Prozent aller Internetnutzer sind in den vergangenen zwölf Monaten Opfer von Computer- und Internetkriminalität geworden, was rund 21 Millionen Betroffenen entspricht. Das hat eine repräsentative Umfrage im Auftrag des Hightech-Verbands BITKOM ergeben. Danach geben 24 Prozent der Internetnutzer an, dass ihre Computer mit Schadproprogrammen infiziert wurden. Bei 14 Prozent sind die Zugangsdaten zu Internetdiensten wie Online-Shops, sozialen Netzwerken oder Online-Banken ausgespäht worden. „Viele Kriminelle verlagern ihre Aktivitäten ins Internet“, sagt BITKOM-Präsident Prof. Dieter Kempf. Zwar sind nicht alle Angriffe auf Computer und Smartphones gefährlich, aber immerhin jeder zehnte Internetnutzer hat laut Umfrage durch Schadprogramme oder infolge eines Datendiebstahls einen finanziellen Schaden erlitten.

© BITKOM

BITKOM-Umfrage zum Thema Cybercrime

Weitere 9 Prozent sind bei Transaktionen wie Einkäufen oder Auktionen im Internet betrogen worden. Bei 8 Prozent wurden Spam-Mails im Namen der Betroffenen versendet.

„Internetnutzer können ihre persönliche Sicherheit durch technische Maßnahmen und durch vorausschauendes Verhalten erhöhen“, sagt Kempf. Zum Standard gehören aktuelle Virenschutzprogramme und Firewalls. Zudem sollten das Betriebssystem sowie die verwendete Anwendungssoftware regelmäßig aktualisiert werden. Wer zusätzliche Sicherheit erreichen will, kann seine Daten und seine Kommunikation verschlüsseln. Schutz vor Betrügern sowie vor der Infektion von Computern und Smartphones bietet zudem eine gesunde Vorsicht. So sollten Internetnutzer zum Beispiel keine E-Mail-Anhänge unbekannter Absender öffnen und keine Apps dubioser Herkunft auf dem Smartphone installieren. Kempf: „Für ein insgesamt höheres Schutzniveau müssen wir an drei Stellen ansetzen: IT-Produkte und Online-Dienste sollten noch sicherer und die Strafverfolgung verbessert werden. Zudem sollten die Nutzer mögliche Gefahren kennen und entsprechend handeln.“

Weitere Hinweise, wie man sich in der digitalen Welt schützen kann, finden Nutzer zum Beispiel bei der Initiative „Deutschland sicher im Netz“ unter www.sicher-im-netz.de oder beim Bundesamt für Sicherheit in der Informationstechnik unter www.bsi-fuer-buerger.de.

[datensicherheit.de, 17.09.2012] In einer aktuellen gemeinsamen Erklärung des BITKOM und des Bundeskriminalamtes (BKA) wird auf eine erneute Zunahme der durch Internetkriminalität verursachten Schäden hingewiesen. Trotz insgesamt stagnierender Fallzahlen nähmen bestimmte Delikte wie der Diebstahl digitaler Identitäten stark zu, zum Beispiel das Phishing. Dies zeigten das Lagebild „Cybercrime 2011“ des Bundeskriminalamtes (BKA) und aktuelle Umfragen des Hightech-Verbands BITKOM, die am 17. September 2012 in Berlin vorgestellt wurden.
Der Diebstahl digitaler Identitäten entwickle sich zu einem Massenphänomen, das immer größere Schäden anrichtet, sagte BITKOM-Präsident Prof. Dieter Kempf. Bei der Bekämpfung der Computerkriminalität müssten Wirtschaft und Staat ihre Zusammenarbeit verstärken.
Die Intensität der kriminellen Aktivitäten im Bereich „Cybercrime“ und damit das für jeden Internetnutzer bestehende Gefährdungspotenzial habe weiter zugenommen, warnte BKA-Präsident Jörg Ziercke. Diese Entwicklung lasse sich an der gestiegenen Professionalität der eingesetzten Schadsoftware ablesen. Auch sich ständig ändernde Vorgehensweisen zeigten, wie flexibel, schnell und professionell die Täterseite auf neue technische Entwicklungen reagiere und ihr Verhalten entsprechend anpasse.

Anzahl der Schadensfälle annähernd gleichbleibend – aber Schadenhöhe wächst

Nach der Polizeilichen Kriminalstatistik (PKS) beläuft sich die Zahl der erfassten Fälle von „Cybercrime“, also aller Straftaten, die unter Ausnutzung moderner Informations- und Kommunikationstechnik oder gegen diese begangen wurden, im Jahr 2011 auf 59.494 Fälle. Dies entspreche nahezu dem bereits hohen Vorjahreswert von 59.839 Fällen. Der Schaden aller „Cybercrime“-Delikte sei im Jahr 2011 um 16 Prozent auf insgesamt 71,2 Millionen Euro gestiegen (2010: 61,5 Mio. Euro). Dabei entfielen rund 50 Millionen Euro auf Computerbetrug und 21,2 Millionen Euro auf den Betrug mit Zugangsdaten zu Kommunikationsdiensten.

52 Prozent der privaten Internetnutzer haben bereits persönliche Erfahrungen mit Internetkriminalität gemacht

Laut den Ergebnissen einer repräsentativen BITKOM-Umfrage haben im laufenden Jahr 52 Prozent der privaten Internetnutzer bereits persönliche Erfahrungen mit Internetkriminalität gemacht. Dies entspreche 28 Millionen Menschen. Bei 36 Prozent oder 20 Millionen Nutzern seien Computer mit Viren oder anderen Schadprogrammen infiziert gewesen. 16 Prozent oder 8,5 Millionen Internetnutzer hätten angegeben, dass ihre Zugangsdaten zu verschiedenen Diensten ausspioniert worden seien. Dies entspreche einem Anstieg von drei Prozentpunkten im Vergleich zum Vorjahr. Jeder achte (zwölf Prozent) Internetnutzer sei bereits Opfer eines Betrugs im Zusammenhang mit Online-Shopping geworden; entsprechend etwa 6,5 Millionen Fällen. Es folge mit zehn Prozent betroffenen Internetusern der unfreiwillige Versand von Spam-Mails vom eigenen E-Mail-Account.

Negative soziale Erfahrungen im Web vor allem bei jungen Menschen

Laut BITKOM-Umfrage berichten immer mehr Internetnutzer von negativen Erfahrungen mit anderen Menschen. 14 Prozent der Internetnutzer hätten unangenehme Anfragen von Fremden bekommen (2011: zwölf Prozent). Jeder Achte (zwölf Prozent) sei im Internet sexuell belästigt worden (2011: 13 Prozent); entsprechend 6,5 Millionen Fällen. Jeweils 4,3 Millionen bzw. acht Prozent seien im Netz beleidigt worden oder es seien Unwahrheiten über die Befragten verbreitet worden (2011: sechs Prozent Beleidigung, fünf Prozent Unwahrheiten). 2,2 Millionen oder vier Prozent sagten, dass sie gemobbt würden – von diesen Delikten seien Jugendliche und junge Erwachsene stärker betroffen als der Durchschnitt.

Cyberkriminalität bremst Verbreitung innovativer Online-Dienste in allen Bereichen

Die Angst vor „Cybercrime“ und die negativen Erfahrungen jedes Einzelnen haben Auswirkungen auf das Verhalten vieler Menschen. Sieben von zehn Internetnutzern schränkten bewusst Kommunikation oder Transaktionen im Internet ein. 42 Prozent versendeten vertrauliche Informationen oder Dokumente nicht per E-Mail, ein Viertel verzichte auf Online-Banking und ein Fünftel ganz oder teilweise auf Online-Shopping. Jeder zehnte Nutzer nehme grundsätzlich keine Transaktionen im Internet vor. Die Cyberkriminalität bremse die Verbreitung innovativer Online-Dienste in allen Bereichen der Gesellschaft, so Professor Kempf.

Laut „Lagebild Cybercrime 2011“ Computerbetrug die mit Abstand größte Fall-Gruppe

Nach dem „Lagebild Cybercrime 2011“ des BKA bildeten erneut die Fälle des Computerbetrugs, wie beispielsweise das Phishing von Onlinebanking-Daten oder der missbräuchliche Einsatz von Kreditkartendaten, mit einem Anteil von 45 Prozent (26.723 Fälle), die mit Abstand größte Gruppe. Beim Delikt „Ausspähen/Abfangen von Daten“ seien im vergangenen Jahr 15.726 Straftaten erfasst worden (2010: 15.190), bei der „Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung“ seien es 7.671 Fälle (2010: 6.840) gewesen. Beim „Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten“ seien 4.730 Delikte (2010: 7.993) und bei der „Datenveränderung/Computersabotage“ 4.644 Delikte (2010: 2.524) registriert worden.

Wachsende Bedrohung für die Nutzer durch Diebstahl digitaler Identitäten

Eine wachsende Bedrohung für die Nutzer ist der Diebstahl digitaler Identitäten. Bei der digitalen Identität handelt es sich um alle Arten von Nutzer-Accounts, also zum Beispiel um Zugangsdaten zu E-Mail-Postfächern, Online-Banking- oder eBay-Konten. Die wohl bekannteste Variante des digitalen Identitätsdiebstahls sei das sogenannte Phishing im Zusammenhang mit Online-Banking. Für das Jahr 2011 seien dem BKA 6.422 Sachverhalte hierzu gemeldet worden. Im Vergleich zum Jahr 2010 (5.331 Fälle) bedeute dies einen Anstieg um 20 Prozent. Die durchschnittliche Schadenssumme habe im Jahr 2011 rund 4.000 Euro pro Fall und insgesamt rund 25,7 Millionen Euro betragen.

Digitale Erpressung in vielen Spielarten gewinnt an bedrohlicher Bedeutung

Eine sich zunehmend verbreitende Variante aus dem Bereich der „Cybercrime“ sei die digitale Erpressung mit ihren verschiedenen Ausprägungen. Dabei nutzten die Täter entweder DDoS-Attacken oder die Drohung, mittels Kompromittierung von Systemen gestohlene Daten zu veröffentlichen, um „Lösegeldforderungen“ durchzusetzen. Eine weitere, inzwischen weltweit verbreitete Erpressungsmethode sei die Manipulation des Rechners des Opfers mit einer „Ransomware“. Diese Schadsoftware sorge dafür, dass ein Rechner „gesperrt“ und dem Opfer gleichzeitig mitgeteilt wird, dass die Zahlung einer Gebühr oder Strafe notwendig sei, um die Sperrung wieder aufzuheben. Um die Forderung glaubwürdig erscheinen zu lassen, würden von Tätern Logos von Behörden, wie zum Beispiel von BKA oder Bundespolizei sowie von bekannten Institutionen wie der GEMA verwendet. Die Dimension dieses Problems sei erheblich, betonte Ziercke. Sie schätzten, dass man mittlerweile allein in Deutschland von sechsstelligen Opferzahlen ausgehen müsse. Eine Vielzahl der Geschädigten werde aber – aus Scham oder auch der Angst vor einer potenziellen Verfolgung durch die Strafverfolgungsbehörden – die Straftat nicht zur Anzeige bringen. Das Dunkelfeld allein bei diesem Modus Operandi sei gewaltig.

Smartphones als beliebte Angriffsziele

Im Jahr 2011 habe sich gezeigt, dass mobile Endgeräte wie Smartphones ein zunehmend lukratives Ziel für die Täter darstellten. Von besonderer Bedeutung seien hierbei die Versuche, Smartphones mit Schadsoftware zu infizieren, um beispielsweise an die Daten möglicher SMS-basierter Authentifizierungsverfahren zu gelangen. Dabei bestünden Einsatzmöglichkeiten insbesondere im Bereich des Online-Bankings sowie des Einsatzes von Kreditkarten im Internet. Zudem würden Smartphones zunehmend für Botnetze attraktiv, da sie in der Regel dauerhaft online sind und somit ständig zur Verfügung stehen.

Überforderter Mittelstand

Unternehmen seien von „Cybercrime“ ebenso betroffen wie Privatanwender. Deutsche Mittelständler gehörten in vielen Branchen zu den innovativsten Unternehmen weltweit. Dies wecke Begehrlichkeiten, betonte Professor Kempf. 40 Prozent aller Unternehmen in Deutschland verzeichneten Angriffe auf ihre IT-Systeme, viele davon mehrmals. Ein Drittel habe bereits Erfahrungen mit dem Verlust von Daten gemacht – so eine BITKOM-Umfrage unter 800 IT-Verantwortlichen. Umso bedenklicher sei es, dass viele Unternehmen unzureichend auf solche Fälle vorbereitet seien.
Fast die Hälfte (45 Prozent) der Firmen habe keinen Notfallplan für Datenverluste oder andere IT-Sicherheitsvorfälle. Diese Ergebnisse bestätige eine Umfrage unter Erwerbstätigen – auch diese sagten zu 38 Prozent, dass es bei ihrem Arbeitgeber bereits Fälle von Computerkriminalität gegeben habe. Das Ergebnis seien Ausfälle der IT-Systeme, Beschwerden von Kunden oder Partnern sowie negative Medienberichte. 40 Prozent der Erwerbstätigen gäben an, dass ihr Arbeitgeber keinerlei Vorgaben für den Umgang mit Computer und Smartphones mache oder ihnen diese nicht bekannt seien. 39 Prozent der Unternehmen sähen Angriffe von Hackern, Konkurrenten, Kriminellen oder ausländischen Geheimdiensten nicht als reale Gefahr.

Mangelndes Vertrauen der Unternehmen in die Sicherheitsbehörden

Laut BKA ist das Anzeigeverhalten bei Cyber-Angriffen auf Unternehmen nach wie vor gering. Unternehmen fürchteten sich vor Rufschädigung oder vertrauten nicht der Kompetenz der Sicherheitsbehörden. Um das unbefriedigende Anzeigeverhalten von Wirtschaftsunternehmen zu verbessern, hätten die Polizeibehörden der Länder und das BKA „Handlungsempfehlungen für die Wirtschaft in Fällen von Cybercrime“ erarbeitet. Diese Leitlinien sollten betroffenen Unternehmen konkrete Hinweise zum Verhalten bei Cyber-Angriffen geben und zudem Unsicherheiten im Zusammenhang mit der Anzeige solcher strafrechtlich relevanten Vorfälle nehmen.

Weitere Informationen zum Thema:

BITKOM, 17.09.2012
Empfehlungen für Sicherheit im Internet

Bundeskriminalamt
Bundeslagebild Cybercrime 2011

DsiN.de
IT-Sicherheitslage im Mittelstand 2012 / DsiN-Studie zeigt Schwachstellen bei Kommunikation via E-Mail, Nutzung mobiler Geräte und Benutzerrechte-Verwaltung auf

[datensicherheit.de, 02.08.2011] Obwohl sich Unternehmen und Behörden der Bedrohung durch Internetkriminalität bewusst sind, werden sie immer häufiger Ziel von erfolgreichen Internetattacken – dadurch entsteht ihnen ein erheblicher finanzieller Schaden:
Laut einer im Auftrag von HP durchgeführte Studie des US-Marktforschungsunternehmens Ponemon Institute sei den befragten Unternehmen 2010 im Durchschnitt ein finanzieller Verlust von 5,9 Millionen US-Dollar durch Online-Kriminalität entstanden – ein Anstieg von 56 Prozent gegenüber 2009. Im Einzelnen habe der Schaden pro Unternehmen zwischen 1,5 und 36,5 Millionen US-Dollar gelegen. Gleichzeitig sei die Zahl der erfolgreichen Online-Angriffe gestiegen. So sei es über vier Wochen hinweg Hackern gelungen, 72 Mal in die IT-Systeme der 50 befragten Unternehmen einzudringen – ein Anstieg um 45 Prozent im Vergleich zu 2010. Ursache für mehr als 90 Prozent des von Internet-Kriminalität verursachten Gesamtschadens seien Schadcode, „Denial of Service“-Attacken, Angriffe aus dem Web oder von entwendeten Geräten wie Laptops oder Smartphones.
Die Studie zeige detailliert, welche Investitionen nötig sind, um die Folgen von erfolgreichen Angriffen einzudämmen. Demnach würden Online-Attacken teuer, wenn Unternehmen nicht schnell reagieren – durchschnittlich dauere es 18 Tage um einen Online-Angriff zu überwinden. Dabei entstünden Kosten von beinahe 416.000 Dollar. Kommt die Attacke aus dem eigenen Unternehmen, dauere es sogar bis zu 45 Tage, um die Folgen zu kontrollieren. Moderne Sicherheitssysteme und Lösungen für das Risikomanagement aber schwächten die Auswirkungen von Cyber-Attacken ab – so seien Unternehmen, die „Security Information and Event Management“-Lösungen (SIEM) verwenden, in der Lage, den angerichteten Schaden um beinahe 25 Prozent zu senken. SIEM-Lösungen sollen Unternehmen dabei unterstützen, Attacken frühzeitig zu entdecken und geeignete Gegenmaßnahmen einzuleiten.
Die Raffinesse und die Häufigkeit von Online-Angriffen nähmen zu – und damit auch die wirtschaftlichen Folgen für Unternehmen, so Dr. Larry Ponemon, Leiter und Gründer des Ponemon Instituts. Unternehmen sollten berücksichtigen, welchen Schaden Internet-Kriminalität tatsächlich anrichten könnte, wenn sie über Investitionen in Sicherheitsmaßnahmen entscheiden.
Am 3. August 2011 veranstaltet HP ein Webinar zu den Ergebnissen der zweiten Jahresstudie „Schäden durch Internetkriminalität“.

Weitere Informationen zum Thema:

ArcSight
2nd Annual Cost of Cyber Crime Findings

[datensicherheit.de, 02.07.2011] Sophos, einer der führenden Anbieter von Lösungen für IT- und Datensicherheit, hat erstmals einen Bericht zum Stand der Datensicherheit erstellt:
„The State of Data Security“ steht ab sofort zum kostenlosen Download bereit – der Bericht untersucht anhand prominenter Datenskandale und Compliance-Verstöße aus dem vergangenen Jahr die Gefahren ungesicherter Informationen auf mobilen Geräten und sozialen Netzwerken. Er liefert Unternehmen Handlungsempfehlungen und die notwendigen Informationen, um Datensicherheitspläne zu entwickeln, mit denen sie die beträchtlichen Kosten eines Datenlecks vermeiden und alle Compliance-Anforderungen erfüllen können. Dabei hilft ihnen eine im Report enthaltene Checkliste, den Status ihrer Datensicherheit zu analysieren.

Abbildung: Sophos GmbH, Wiesbaden

Sophos: Ein verlorener Datensatz kostet ein deutsches Unternehmen durchschnittlich 251 Euro.

Abbildung: Sophos GmbH, Wiesbaden

Sophos: Kosten eines verlorenen Datensatzes in Euro

Datenverluste durch leichtsinnige Mitarbeiter oder Datenmissbrauch durch unzufriedene Mitarbeiter gebe es schon länger, so Sascha Pfeiffer, „Principal Security Consultant“ bei Sophos. Vollkommen neue Herausforderungen für die Datensicherheit seien dagegen laut Pfeiffer durch die schnelle Verbreitung von Mobiltechnologien und „Social Media“ sowie eine zunehmend von Endanwendern geprägte IT entstanden. Weitere Herausforderungen seien der Virtualisierungs- und „Cloud-Computing“-Boom. Unternehmen könnten diesen Gefahren zum Beispiel mit Verschlüsselungs- und „Data-Loss-Prevention“-Lösungen begegnen.
Compliance-Maßnahmen kosten Unternehmen zunächst Geld – jedoch ist das Nicht-Erfüllen von Compliance-Anforderungen noch viel teurer. Wie hoch der Schaden für ein Unternehmen genau ist, hängt auch vom Ort des Geschehens und den dortigen Gesetzen ab. Dem Ponemon Institute zufolge belaufe er sich in Deutschland auf 251 Euro pro Datensatz, in Großbritannien dagegen nur auf 139 Euro. Noch vor Deutschland landeten die USA – dort schlage ein verlorener Datensatz mit durchschnittlich 290 Euro zu Buche. Wie zuletzt der Fall des gehackten „Sony Playstation Networks“ aber gezeigt hat, wiegen Imageverluste und Umsatzausfälle noch schwerer als der finanzielle Schaden. Um Unternehmen davor zu schützen, gibt Sophos Ratschläge für ihre Datensicherheit – denn wenn Unternehmen ihre Informationsrisiken richtig managten, erfüllten sie bereits einen Großteil der Compliance-Anforderungen.

Sophos gibt sechs Tipps für das Management von Informationsrisiken:

1. Daten identifizieren: Das Unternehmen definiert, welche Unternehmensdaten personenbezogen sind und daher besonderen Schutz verdienen, und pflegt ein aktuelles Inventar dieser Daten.
2. Zugriff kennen: Ein Unternehmen weiß, mit welchen Geräten seine Mitarbeiter auf Daten zugreifen.
3. Physische Orte bestimmen: Unternehmen kennen die Speicherorte ihrer Daten und ihre mobilen Endpoints. Sie wissen auch, welche Partner einen Zugriff auf ihre Daten besitzen.
4. Nur wichtige Daten speichern: Es werden nur die Daten gespeichert, die tatsächlich notwendig sind. Unnötige Daten werden sicher und endgültig gelöscht.
5. Zugang limitieren: Es dürfen nur diejenigen auf sensible Daten zugreifen, die sie wirklich benötigen.
6. Schutzmaßnahmen installieren: Nach einer Risikoanalyse werden klare Richtlinien festgelegt, die in regelmäßigen Schulungen vermittelt werden.

Weitere Informationen zum Thema:

Sophos
Datensicherheit unter der Lupe / Neue Risiken abwehren  und richtlinienkonform bleiben (Report lesen)