Wer digitalisiert, um Entwicklung voranzutreiben, muss auf Nummer sicher gehen. Denn mit dem Fortschritt der Digitalisierung wächst auch die Cyberkriminalität. Wie Cybersicherheit aussehen kann, erklärt Dr. Haya Shulman, Professorin für Informatik an der Goethe-Universität Frankfurt, Abteilungsleiterin am Fraunhofer-Institut für Sichere Informationstechnologie und Koordinatorin des Forschungsbereichs Analytics-based Cybersecurity im Forschungszentrum ATHENE.
Prof. Dr. Haya Shulman
Professorin für Informatik an der Goethe-Universität Frankfurt
Wo steht Deutschland beim Digitalisieren?
Dank Corona sind wir ein gutes Stück vorangekommen. Das war aber auch bitter nötig, denn trotzdem sind uns andere Länder, zum Beispiel Israel, bei der Digitalisierung noch immer weit voraus. Wenn wir Digitalisierung als das Mittel verstehen, die Gesellschaft digital zu transformieren, um viele Prozesse zu beschleunigen und zu vereinfachen, dann haben wir noch viel zu tun.
Haben Sie ein Beispiel, wo es noch hapert?
Das fängt schon bei ganz alltäglichen Dingen an: Ich wollte gerade den großen Wochenendeinkauf online ordern – und scheiterte an der begrenzten Zahl freier Termine des Dienstleisters … Die Angebote kommen der Nachfrage offensichtlich nicht nach.
Stieg mit der von Corona beschleunigten Digitalisierung auch die Zahl der Cyberangriffe?
Die Angriffe mehren sich stetig. Mit der pandemiebedingten Verlagerung unzähliger Arbeitsplätze ins Homeoffice vergrößerten wir die virtuelle Angriffsfläche dramatisch. Wir erlaubten aus der Not heraus den Menschen im Homeoffice Zugriff auf zuvor separierte digitale Strukturen (Intranetze) via Internet – dazu noch oft von privaten Rechnern, die nicht selten von mehreren Personen, darunter auch Kinder, benutzt wurden. Die Kinder laden oft Spiele runter, die können auch Schadsoftware enthalten. Das war und ist ein wahres Fressen für Cyberkriminelle.
Die Hemmschwelle für Kriminelle ist virtuell viel niedriger als im realen Leben.
Wie nutzen Cyberkriminelle das aus und wofür?
Cyberkriminalität ist längst ein lukratives Geschäft, vergleichbar mit Drogen- und Waffenhandel. Es geht um Unmengen von vergleichsweise leicht verdientem Geld. Cyberkriminalität ist organisiert und industrialisiert. Täterinnen und Täter verkaufen die Passwörter und Identitäten, die sie mit raffinierten Methoden stehlen, im Darknet an ihre Kundinnen und Kunden. Sie arbeiten in Netzwerken, pflegen Partnerschaften und sind oft weltweit verteilt. Je nach Auftrag folgt nach dem Datenklau eine Lösegeldforderung, die gerne auch mit einer Teilveröffentlichung der Daten verbunden wird, um die Zahlungsmotivation der Erpressten zu steigern. Oder die erbeuteten Daten werden direkt an Auftraggeberinnen und Auftraggeber oder im Darknet verkauft.
Woher kommt die kriminelle Energie für Cyberangriffe?
Die Hemmschwelle für Kriminelle ist virtuell viel niedriger als im realen Leben. Sie handeln von einem Rechner irgendwo in der Welt aus und müssen dem Opfer nicht mal mehr gegenübertreten und in die Augen schauen, wie ein Bankräuber bei einem klassischen Banküberfall. Hinzu kommt, dass virtuelle Kriminalität auch logistisch leichter und risikoärmer ist: Die Täter brauchen weder Waffen noch Fluchtfahrzeuge, sie müssen nicht mit einer riskanten Verfolgungsjagd durch die Polizei rechnen.
Wie schaffen Unternehmen Cybersicherheit?
Indem sie bei der Digitalisierung von Strukturen auf Nummer sicher gehen. Das macht aber Aufwand: personellen, organisatorischen und finanziellen. Und: Die Ressourcen dafür sind nicht einmal aufzuwenden, sondern kontinuierlich. Das können sich derzeit oft nur große Unternehmen leisten. Daher rate ich kleinen und mittelständischen, das Thema Cybersicherheit outzusourcen, um schnellstmöglich Angriffe abzuwehren und bestenfalls sogar aktive Verteidigungsmaßnahmen zu ergreifen, also die technische Quelle des Angriffs zu blockieren. Grundsätzlich empfehle ich Cyberschutzübungen für die Mitarbeitenden, ganz so, wie wir auch Brandschutzübungen machen.
Gibt’s eine Best Practice für Cybersicherheit?
Es gibt tatsächlich viele Best Practices, etwa den sogenannten „IT-Grundschutz“. Das genügt aber nicht mehr. Die USA haben als Reaktion auf die vermehrten Cyberattacken gerade gut vorgelegt: Bis Ende 2024 müssen US-Bundesbehörden für ihre IT-Systeme sogenannte Zero-Trust-Architekturen entwickeln und umsetzen. Zero Trust könnte auch in Deutschland signifikant zur Cybersicherheit von Unternehmen und der öffentlichen Hand beitragen. Denn erstes Ziel der Sicherheitsarchitektur soll sein, das eigene IT-System so zu sichern, dass dafür nichts oder möglichst wenig über die Sicherheit anderer IT-Systeme angenommen werden muss – auch wenn das nicht zu 100 Prozent gelingen wird, da sich einzelne Komponenten eines IT-Systems immer korrumpieren lassen, zum Beispiel indem ein Angreifer den Hersteller der Komponente erfolgreich angreift. Das zweite Ziel von Zero Trust ist es, dem Angreifer die Verbreitung im von ihm erfolgreich angegriffenen Zielsystem so schwer wie nur möglich zu machen.