„Prävention ist eine sehr zentrale Aufgabe der Polizei“

Beobachtet man die Zahlen im Zuständigkeitsbereich des Polizeipräsidiums Ravensburg, ist ein stetiger Anstieg der Fälle im Bereich der Cyberkriminalität zu erkennen. Die Ukraine- und Energiekrise lässt sich aus den polizeilichen Zahlen bislang noch nicht klar herauslesen. Im Umfeld der Cyberkriminalität ist dies jedoch auch darauf zurückzuführen, dass die Polizei schließlich häufig nur die erfolgreichen Attacken mitbekommt und auch davon lediglich nur einen Bruchteil. Ich denke, das sogenannte Dunkelfeld ist in diesem Bereich noch deutlich zu hoch, da viele Unternehmen die Attacken auf ihr Unternehmen gar nicht erst anzeigen.

Hier ist ein Wandel spürbar. Ich bin nun seit etwa vier Jahren in der Cybercrime-Bekämpfung des Polizeipräsidiums Ravensburg tätig. Anfangs gab es wenige Präventionsveranstaltungen zum Thema Cybercrime, obwohl es auch damals schon ein aufstrebendes Phänomen war. Zu dieser Zeit haben sich Unternehmen leider erst gemeldet, wenn ein Angriff vorbei und es damit eigentlich schon zu spät war. In jüngster Zeit kommen immer wieder Unternehmens- und IT-Leiter auf das Polizeipräsidium zu und bitten um Beratung oder Tipps. Und genau das ist der Weg, wie er eigentlich sein sollte, da Prävention eine sehr zentrale Aufgabe der Polizei ist. Diese Entwicklung begrüßen wir und geben gerne Auskunft. Natürlich ist es uns als Strafverfolgungsbehörde nicht möglich, Unternehmen vollumfänglich zu beraten, dazu haben wir auch nicht die personelle Kapazität. Aber jedes besser geschützte Unternehmen bedeutet im Sinne der Prävention weniger Schäden für unsere Region.

Ich würde gerne folgendes raten: Ziehen Sie ihren Notfall-Plan – in der Fachsprache Incident Response Plan – aus der Schublade und verfolgen Sie die Prozesse, die darin für den Angriffsfall definiert sind. Nein, zurück zur Realität: In der turbulenten Anfangsphase nach einem Angriff einen Plan zu haben, ist für ein Unternehmen ein großer Vorteil und wird leider immer noch zu wenig praktiziert. Was ich konkret rate: Melden Sie sich bei der Polizei und ihren IT-Dienstleistern, dazu zählen das IT-Systemhaus und das IT-Forensikunternehmen Ihres Vertrauens. Die Erreichbarkeiten wurden im Idealfall schon vorher ausgetauscht. Bilden sie dann ein Krisenteam, zu dem neben den IT-Experten unter anderem auch die Geschäftsführung, PR-Mitarbeiter und Datenschutzbeauftragte gehören. Während die Polizei zusammen mit dem IT-Forensikunternehmen einen Plan für das Vorgehen in der Krise erstellt und in der Folge die Infrastruktur analysiert, kann sich das Systemhaus zusammen mit den IT-Mitarbeitern um die notwendige Wiederherstellung der Daten kümmern. Paralleles Vorgehen spart hier Zeit, jedoch ist Vorsicht geboten: Bevor nicht bekannt ist, wie die Täter in das System kamen, sollte diese wiederhergestellte „saubere“ Umgebung nicht in den Produktivbetrieb übernommen werden.

Ich sehe insbesondere drei große Faktoren:
zu wenig zugeteilte Ressourcen – dazu zähle ich Personal, Geld und Zeit –, keine Vorbereitung auf den Ernstfall, und zu guter Letzt werden die Mitarbeiter zu wenig in die IT-Sicherheit eingebunden. Während die IT oder EDV früher als Dienstleister betrachtet wurden – nach dem Motto „IT muss funktionieren“ –, rückten sie durch die Digitalisierung immer mehr in den Mittelpunkt der Unternehmen und ihrer Geschäftsmodelle. Es ist zwangsläufig ein Umdenken erforderlich, und wir merken auch, dass viele Unternehmenslenker der Region hier schon die richtigen Gedanken gefasst haben und sich dem Thema annehmen. Klar kostet IT-Sicherheit Geld und macht Abläufe teilweise etwas aufwändiger, aber denkt man an große Ransomware-Fälle, also die Erpressung durch die Verschlüsselung der Unternehmensinfrastruktur, übersteigen die dadurch entstandenen Kosten bei Weitem die Kosten für einen guten IT-Sicherheitsstandard.

Technische IT-Sicherheit ist nur ein Punkt eines umfassenden IT-Sicherheitsmanagements, und davon ist der Virenscanner auch wieder nur ein Teilaspekt, der häufig nur dann reagiert, wenn die Malware schon auf dem System ist. Ich erkläre IT-Sicherheitsmanagement immer anhand dreier Worte: Protect, Detect, Respond. Neben den Schutzmaßnahmen auf technischer und organisatorischer Ebene sollten auch die Mitarbeiter-Awareness und Maßnahmen zur Erkennung eines Angriffs und zur Reaktion darauf eine Rolle spielen. Mir ist auch klar, dass kleine Betriebe eine konzeptionelle und aufwändige Herangehensweise gar nicht realisieren können, aber auch hier gibt es gute Ansätze: Zum Beispiel sollten nur sichere und genau geprüfte Verbindungen von außen in das eigene Firmennetzwerk zugelassen werden, damit man etwa vom Homeoffice aus über Remote Desktop darauf zugreifen kann. Sobald Rechner oder Server von außen erreichbar sind, sind sie potenziell angreifbar. Auch die Passwortsicherheit ist essenziell – also Passwortstärke und Zwei-Faktor-Authentifizierung. Zudem sollten nicht unbedacht auf Links in Mails geklickt oder deren Anhänge geöffnet werden. Eine gesunde misstrauische Haltung schadet in solchen Fällen nicht.

Interview: Melanie Riether