HB Magazin 2 2022

TITEL

Foto: GreenTech/shutterstock.com

oberster Priorität den Betrieb wiederherstellen. Dabei können wir ihmnicht direkt helfen, das ist Aufgabe von qualifiziertenMitigations Dienstleistern. Wir kooperierenmit ihnen und sprechen ab, wann wir Daten erhalten können, die es uns ermöglichen, Ermittlungen aufzu nehmen. Diese Kooperation selbst ist sehr einvernehmlich. Wir bera ten das Unternehmen dahingehend, wie der Fall einzuschätzen ist, welche Gruppierung dahintersteckt, wie diese in der Vergangenheit vorgegangen ist und wie bei Lösegeldverhandlungen vorzugehen ist. Das kann man zunächst auch alles fernmündlich besprechen, Maßnahmen vor Ort wären dann in Absprache mit dem Mitigations Dienstleister möglich. Was raten Sie Betroffenen – sollen sie auf die Erpressung eingehen? Meywirth : Wir empfehlen jedem, kein Lösegeld zu zahlen. Einfach, weil nicht klar ist, mit wem da verhandelt wird. Sie wissen nur, dass das keine seriösen Geschäftspartner, sondern Verbrecher sind. Sie wissen nicht, ob die Schlüssel, wenn sie denn geliefert werden, tat sächlich effektiv eingesetzt werden können. Sie wissen nicht, ob die Täter mit Nachforderungen kommen. Es ist in jedem Fall eine Inves tition in eine illegale Dienstleistungswirtschaft. Die Täter werden durch Lösegeldzahlung vielmehr ermutigt, wiederzukommen. Weil sie wissen, es ist schon einmal gezahlt worden und die Wahrschein lichkeit hoch ist, dass es wieder geschieht. Wie ist Ihre Prognose für die Zukunft? Hat man eine Chance gegen hochprofessionell organisierte Cyberkriminelle? Meywirth : Es ist zunächst einmal für Unternehmen wie für private Akteure wichtig, eine gute Vorkehrung zu treffen. Es sollte also ein möglichst hohes Level an IT-Sicherheit vorhanden sein. Ich glaube, da ist in Deutschland viel in puncto Sicherheit aufzuholen, insbeson dere bei kleineren Unternehmen, die auch im Gesundheitssektor zu finden sind. Wir wissen natürlich, dass selbst das höchste IT-Sicher heitsniveau nicht ausreichend ist, umKompromittierungen zu entge hen. Bei Ransomware-Angriffen kommt es entscheidend darauf an, ob sich ein Mitarbeiter findet, der auf einen Schadcode klickt oder nicht. Da müssen neben IT-Sicherheitsmaßnahmen entsprechen de Ausbildungsmaßnahmen erfolgen. Aber wir brauchen auch eine effektive Strafverfolgung, um die Täter abschrecken zu können. Ich halte es für geboten, was die Cybercrime-Bekämpfung anbelangt, für ein möglichst hohes Abschreckungsniveau zu sorgen. Und das steigt mit den Täterermittlungen, die wir durchführen, und der Anzahl der Täter-Infrastrukturen, die wir zerstören.

schnell auf remote Infrastrukturen umgestellt werden, wir mussten ins Homeoffice, Firmen hatten Arbeitsprozesse außerhalb des phy sischen Netzwerks zu legen. Nach wie vor verzeichnen wir aber auch eine sehr geringe Aufklärungsquote von unter 30 Prozent. Diese Ent wicklungen haben dazu geführt, dass Täter immer mehr Angriffsflä chen und eine immer größere Wahrscheinlichkeit für illegale Profite erkannt haben. Warumwird denn nur einer von zehn Cyberangriffen bei der Polizei gemeldet? Meywirth : Es ranken sich gewisse Mythen um dieses Thema. Die Unternehmen glauben, dass wir deren gesamte IT einsammeln und einbehalten. Dass wir, wenn wir einmal Zugänge zu den Informati onen aus dem Unternehmen haben, auch nach anderen Straftaten wie Steuerdelikten oder Betrugsdelikten suchen. Und dass wir ihre Bemühungen nachhaltig stören, den Betrieb wiederaufzunehmen. Das stimmt natürlich nicht. Zusätzlich ist die Angst vor einem Repu tationsverlust groß, dass durch eine Anzeige die Öffentlichkeit davon erfährt und man sich für den erfolgten Cyberangriff rechtfertigen muss. Ich stelle in den vergangenen Jahren allerdings eine wachsen de Bereitschaft fest, Anzeige zu erstatten. Das liegt an den speziali sierten Cybercrime-Dienststellen in den Landeskriminalämtern, die sogenannten ZAC – Zentrale Ansprechstellen von Cybercrime. An wen kann man sich wenden, wenn man Opfer eines Cyberangriffs geworden ist? Meywirth : KRITIS-Unternehmen haben eine Meldeverpflichtung gegenüber dem BSI. Wir sitzen mit dem BSI und anderen Behörden im Nationalen Cyber-Abwehrzentrum und beraten dort über diese herausragenden Fälle und das Vorgehen. Das Bundeskriminalamt, also meine Abteilung „Cybercrime“, ist zuständig für die Ermittlung bei Cyberangriffen auf Kritische Infrastrukturen und Bundeseinrich tungen. Wir haben mit der Quick Reaction Force eine Aufrufeinheit aufgebaut, die 24/7 in Bereitschaft ist und die erste Maßnahmen bei Cybereingriffen einleitet. Kleinere Unternehmen wie Arztpraxen oder Apotheken sollten sich im jeweiligen Bundesland bei der ZAC beim Landeskriminalamt melden. Auch diese sind rund um die Uhr erreichbar. Wie lange muss denn vor Ort ermittelt werden? Meywirth : Das muss im ersten Moment nicht unbedingt vor Ort ab laufen. Das Opfer befindet sich in einer Chaos-Phase und muss mit

17