Juni 2017 | Wirtschaftswoche | Digitalisierung

Allianz gegen Cybercrime

Cyberangriffe wie der Erpressungsfall „WannaCry“ passieren laufend. Höchste Zeit, dass Behörden international besser zusammenarbeiten.

Illustration: Daniel Balzer
Mirko Heinemann / Redaktion

Angst vor Cyber-Kriminellen hat Timotheus Höttges nicht. Vielmehr ist der Vorstandsvorsitzende der Telekom verärgert darüber, dass staatliche Sicherheitsbehörden nicht in der Lage sind, sich international abzustimmen. Den groß angelegten Cyber-Angriff „WannaCry“ auf Rechner von Krankenhäusern, Logistikern und anderen Unternehmen im Mai diesen Jahres nimmt er zum Anlass, um eine allgemeine Meldepflicht für Sicherheitslücken zu fordern. „Es geht nicht, dass jemand das Wissen für sich behält und damit die Sicherheit von Millionen Anwendern gefährdet“, so Höttges in einem Interview mit der FAZ am Sonntag Ende Mai.


Dieser Seitenhieb geht wahrscheinlich an den US-Geheimdienst NSA. Nach Angaben des Digitalverbands Bitkom sammelt der Dienst Sicherheitslücken von Programmen, leite sie aber, so Marc Fliehe, Bereichsleiter Information Security beim Digitalverband Bitkom, nicht rechtzeitig an die Hersteller weiter.


Internationale Cyberkriminalität nach Art der Ransomware-Angriffswelle „WannaCry“ versetzen Unternehmen derzeit in Angst und Schrecken. „Ransomware“, so werden Virenprogramme genannt, die in die IT-Infrastruktur der Unternehmen eingeschleust werden, sich automatisch dort installieren und die auf dem Server abgelegten Daten mit einem Code verschlüsseln. Die Anwender werden darüber informiert, dass ihre Daten erst nach Anweisung eines Lösegelds in der Kryptowährung Bitcoin wieder freigegeben werden.
Diese Form von Internetkriminalität ist kein neues Phänomen. Schon vor Jahren berichtete der Digitalverband Bitkom über Erpressungsversuche, die nach dem bekannten Muster ablaufen. Weil viele Unternehmen Sicherheitsvorfälle aus Angst um ihre Reputation lieber verschweigen, ist die Dunkelziffer hoch. Dabei war der nach Ansicht von Experten eher stümperhaft ausgeführte WannaCry-Angriff eher eine Ausnahme von der Regel. „Die Cyberkriminalität ist eine boomende und ausdifferenzierte, arbeitsteilig vorgehende und effizient organisierte Industrie geworden“, schreibt Bitkom-Geschäftsleiterin Susanne Dehmel in ihrem Blog. Nach ihren Angaben entstehen in Deutschland 51 Milliarden Euro Schaden durch Cyberkriminalität pro Jahr – mehr als die Etats der Ministerien Verteidigung, Inneres und Justiz zusammen.


Geht es um die Verfolgung von Kriminellen, die ihre Cyber-Straftaten von überall auf der Welt aus begehen können, verweisen Experten neben der mangelhaften internationalen Zusammenarbeit der Behörden gerne auf die Komplexität der internationalen Netzwerke. Dabei sind die Strafverfolgungsbehörden nicht immer machtlos. Das zeigte jüngst ein Fall, wo es besser lief als in der transatlantischen Zusammenarbeit von USA und Europa. Ausgerechnet im wegen seiner ineffizienten und korrupten Verwaltung bekannten Bosnien konnte die Schweizer Staatsanwaltschaft nun einen Hacker dingfest machen, der Schweizer Banken erpresst hatte.


Eine vorgebliche Gruppe „DD4BC“ hatte gedroht, die Server von Schweizer Finanzinstituten mit einer groß angelegten Cyberattacke zu überlasten und damit auszuschalten, würden die betroffenen Unternehmen nicht binnen kurzer Zeit einen bestimmten Betrag in Bitcoins bezahlen. Die Banken erstatteten Anzeige, woraufhin das „Kompetenzzentrum Cybercrime Zürich“ der örtlichen Staatsanwaltschaft den Fall übernahm. In enger Zusammenarbeit koordinierten Strafverfolgungsorgane verschiedener Staaten, in denen das Hackernetzwerk aktiv war, die Aktion gemeinsam mit Europol unter dem Titel „Operation Pleiades“. Der Täter konnte in Bosnien-Herzegowina verhaftet werden, wo er auch vor Gericht gestellt wird.
Ein deutscher Fall wurde vor kurzem vom Fachkommissariat für Computerkriminalität der Kriminalpolizei Bielefeld aufgeklärt. Ein 24-jähriger Internet-Erpresser aus Voerde am Niederrhein hatte über ein Botnetz die Online-Präsenzen namhafter deutscher Firmen lahmgelegt. Das IT-Sicherheitsunternehmen Link11, das die Vorgehensweise des Täters analysierte, stellte „Volumen-, Protokoll- und Applikationsattacken“ von wenigen Minuten bis hin zu mehreren Stunden und Tagen fest. Die Schlagkraft der Angriffe sei „mit bis zu 20 Gbps nicht außergewöhnlich hoch gewesen, aber ausreichend, um Server mit Uplinks von 1 bis 2 Gbps offline zu nehmen.“ Belegt ist ein Fall, bei dem der Paketlogistiker DHL angegriffen wurde. Der Erpresser hatte ein Lösegeld in der anonymen Währung Bitcoin verlangt. Dann würde er die Angriffe stoppen.


Den Computerfachmann aus Voerde erwartet eine hohe Strafe. Denn bei seinem Delikt handelte es sich nicht um einen einfachen „Hack“, also ein Eindringen in Systeme, etwa, um Sicherheitslücken aufzuzeigen, sondern um eine Erpressung. Und Erpressung wird nach deutschem Recht mit Freiheitsstrafen von bis zu fünf Jahren belegt. Wer Daten stiehlt, muss im Übrigen mit einer Freiheitsstrafe von bis zu drei Jahren rechnen. Schon das Abhören von Nachrichten oder Mitlesen von Mails kann als Verstoß gegen das Fernmeldegeheimnis mit einer Freiheitsstrafe von bis zu zwei Jahren oder Geldstrafe geahndet werden.


Solche Fälle wirken sicherlich abschreckend auf die internationale Szene der Cyber-Kriminellen. Doch zugleich sollten sich auch die Unternehmen bestmöglich schützen. Der Bitkom rät allen professionellen und privaten Anwendern, Vorkehrungen gegen Hacker-Angriffe zu treffen. Der Basisschutz besteht aus Virenscannern, Firewalls und regelmäßigen Updates sämtlicher Programme. Dieser sollte durch spezielle Angriffserkennungssysteme ergänzt werden. Daten sollten zudem regelmäßig gesichert werden, um sie im Falle eines Verlusts wiederherstellen zu können.


In seinem Interview mit der Frankfurter Allgemeinen Sonntagszeitung hatte Telekom-Chef Timotheus Höttges noch versichert, beim größten deutschen Telekommunikationsanbieters habe der Datenschutz „höchste Priorität“. Seiner Meinung nach sollten Hard- und Softwarehersteller gesetzlich zur Bereitstellung von Sicherheits-Updates verpflichtet werden. Dass ein funktionierender Datenschutz aber nicht im Alleingang möglich ist, sondern der gemeinsamen Anstrengung von Unternehmen, Behörden und Anwendern bedarf, weiß der 54-Jährige auch. Deshalb bringt der Unternehmer diese Themen auch bewusst auf die große politische Bühne: Auf dem jüngsten Treffen der G20-Staaten setzte er sich für eine allgemeine Ächtung von Cyberangriffen ein – ähnlich wie bei Landminen.