Die Polizei Aachen hat eine recht beachtliche Pressemitteilung zum Umgang mit Cybercrime für Unternehmen herausgegeben, die auch hier aufgenommen wird. Man kann nicht genug betonen, wie wichtig es ist, hier nicht zu blauäugig zu sein – Mitarbeiter sind ein erhebliches Einfallstor für Angreifer, etwa über Fake-Support-Anrufe und natürlich mit den modernen Bestell-Maschen.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Technologieregion Aachen
Man sollte nicht unterschätzen, wie bedeutsam die Unternehmen der hiesigen Technologieregion sind. Passend erschien auch heute der Bitkom Smart-City Index, wo sich Aachen zumindest in den Top20 wiederfindet – zusammen mit RWTH, der zunehmend florierenden IT-Landschaft und im Süden angrenzend an das Forschungszentrum Jülich wird die Bedeutung der hiesigen Region massiv zunehmen. Und damit für Cyberkriminelle nur noch interessanter sein.
Dabei bedeutet Cybercrime nicht nur ein Ärgernis, selbst wenn man gute Backups hat und die IT-Infrastruktur umgehend wieder instand bringen kann: Neben Imageschäden drohen empfindliche Meldepflichten und Bußgelder. Ja, natürlich geht es um die DSGVO. Das Szenario eines erfolgreichen Hacks gehört nicht verdrängt, sondern fest geplant, damit im Fall der Fälle nicht hektisch kurze Fristen verpasst werden, sondern man gemäß Fahrplan abarbeiten kann.
Zielgerichtetes Vorgehen von Angreifern
Gerade kleine Unternehmen verschätzen sich sehr, was die Angriffe angeht – auch gesteuert von schlechten Filmen und Reportagen hat man immer die großen bösen Hacker (mit Kapuze auf dem Kopf vor dem Rechner sitzend) vor Augen, die zielgerichtet ausgewählte Opfer angehen. So funktioniert es aber nicht – zwar wird zielgerichtet vorgegangen, aber nicht in dem Sinne, dass ein Hacker sich ein Unternehmen aussucht.
Die Automatisierung macht so was auch gar nicht nötig: Mit Skripten kann man auslesen, welche Dienste etwa eine Webseite benutzt. Schon der Provider lässt Rückschlüsse zu, etwa darauf, welches System zur Verwaltung zum Einsatz kommt. Und so können dann automatisiert massenhaft Webseiten aufgerufen, IP-Adressen ausgelesen, einem Provider zugeordnet und Phishing-Mails geschaffen werden, die scheinbar vom eigenen System generiert wurden. Beispiel:
Solche Mails erreichen uns immer wieder, weil einer unserer Server bei einem Provider steht, der regelmäßig cPanel zur Verwaltung nutzt. Ist ganz nett gemacht. Im Screenshot habe ich die Maus auf den Link bewegt, damit man sehen kann, welcher Link sich wirklich hinter dem angeblichen Link zu unserer cPanel-Oberfläche steckt. Nun ist das ohnehin zum Scheitern verurteilt, weil wir u.a. eigene dedizierte Server haben und sicherlich kein cPanel nutzen. Und aus Sicherheitsgründen ist die Webseite nochmals ausgelagert und von der anderen Infrastruktur getrennt. Ist vielleicht für viele kleine Betriebe am Ende etwas aufwendig, aber auch nicht zwingend – wichtig ist, zu sehen, dass auch automatisierte Angriffe mit wenig Aufwand sehr personalisiert sein können.
Denn: Solche Angriffe leben vor allem vom Moment der Täuschung. Das Konzept ist äussert simpel: Einen kurzen kleinen Schreckmoment auslösen („Achtung fremder Zugriff“), in einem bekannten Umfeld („Fake-Mail“) um die gewünschte Aktion auszulösen („Klick & Dateneingabe“).
Mitteilung der Polizei Aachen zu Cybererpressung
Der Großraum Aachen ist als Technologiestandort für Cybererpresser besonders interessant. Kleine, mittelständische und große Unternehmen sind aber nicht nur hier derzeit von sogenannten „Ransomware-Attacken“ betroffen. Das Phänomen häuft sich in den letzten Wochen landes- und bundesweit.
Die Straftäter greifen die IT-Systeme der Firmen an. Sie verschlüsseln Firmendaten mit der Folge, dass der Betrieb umfänglich eingestellt werden muss. Die IT-Infrastruktur kann in der Regel nur mit großem Aufwand wieder hergestellt werden. Betroffen sind Verwaltung, Logistik und Produktion. Die wirtschaftlichen Schäden bewegen sich im 7-stelligen Eurobereich.
In letzter Zeit stellt die Polizei eine besonders perfide Masche der Erpresser fest: Die Verschlüsselung wird mit dem Diebstahl von Firmendaten kombiniert. Die Täter verschaffen sich Zugang zu den Daten der Firmen, schauen sich in den Systemumgebung um und stehlen wertvolle Daten. Sie drohen, diese vollständig im Darknet zu veröffentlichen. Die Werkzeuge dafür werden im Darknet häufig gleich mit angeboten, quasi als „crime as a service„.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
In beiden Varianten werden von dem Unternehmen Lösegeldsummen in virtueller Währung (z. B. Bitcoin) verlangt. Je nach Wirtschaftskraft des Unternehmens kann dies im Einzelfall auch ein Millionenbetrag sein. Für die Betriebe ist es eine Herausforderung, die IT-Systeme sicherheitstechnisch auf Stand zu bringen und zu halten. Fehlende Updates bei Programmen, Betriebssystemen aber auch Anti-Virensoftware oder Firewalls sind willkommene Einfallstore für die Täter. Auch ein nicht geändertes Standardpasswort eines Netzwerkdruckers oder eines Routers erleichtern oder ermöglichen Angriffe.
Nicht zuletzt spielt der Faktor Mensch in diesem Kontext eine Rolle, das „social engineering“ ist nicht zu unterschätzen. Eine unverfängliche Mail mit einem infizierten Dateianhang unvorsichtigerweise geöffnet und der Angreifer hat sein Ziel erreicht. Schwache oder mehrfach genutzte Passwörter und fahrlässiger Umgang mit administrativen Zugängen können schnell zum Verhängnis werden.
Die Landeskriminalämter und das Bundesamt für Sicherheit in der Informationstechnik stellen umfängliche Handlungsempfehlungen zu Verschlüsselungstrojanern im Internet zur Verfügung. Gemeinsam mit IT-Fachkräften sollten Firmen prüfen, ob ihre Systeme auf sicherheitstechnischem Stand sind und den Empfehlungen entsprechen. Auch sollten die Mitarbeiter regelmäßig im Umgang mit eingehenden Mails und Passwörtern sensibilisiert werden. Ein Notfallplan und Notfallerreichbarkeiten gehört heute nicht nur für Brandfälle, sondern auch für Cyberangriffe in die Schublade.
Beratung zum Thema Cybercrime bietet auch das Kriminalkommissariat KP/O (Kriminalprävention) der Aachener Polizei an. Im Ernstfall eines Cyberangriffes sollte unverzüglich Kontakt mit der örtlichen Polizeidienststelle oder der Hotline des Cybercrime-Kompetenzzentrum für Klein- und Mittelständige Unternehmen (KMU) des LKA NRW aufgenommen werden (Quelle dieses Abschnitts: Pressemitteilung des Gerichts)
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.
- Berufungsschriftsatz: Bedeutung der Gewährung rechtlichen Gehörs - 26. April 2024
- Feststellungen zu Regelbeispiel in der Berufung - 26. April 2024
- Firmenmissbrauchsverfahren: BGH-Entscheidung zum Namensrecht einer Partnerschaftsgesellschaft - 26. April 2024