Kommt der große Crash?

Januar 2017 | Wirtschaftswoche | Risikomanagement

Kommt der große Crash?

Bisher spielt sich Internetkriminalität vorrangig in den Bereichen Datenraub, Missbrauch von Kontodaten und Erpressung ab. Das Internet der Dinge ermöglicht nun Cyberkriminellen, die reale Welt anzugreifen.

Illustration: Dominika Kowalska
Mirko Heinemann / Redaktion

Das Internet der Dinge ist eigentlich eine tolle Sache: Softwaregesteuerte Maschinen übernehmen in den Fabriken die Produktion. Mit Hilfe von 3D-Druckverfahren lassen sich individuelle Produkte herstellen, die Bauanleitung gibt es im Internet. Staubsaugerdüsen als Ersatz können zu Hause, Flugzeugteile an jedem Ort der Welt schnell hergestellt werden. Selbst Organe werden schon bald mit Hilfe der additiven Druckverfahren produziert. Und das ist nur ein kleiner Ausschnitt aus der Welt der digitalen Möglichkeiten: autonom fahrende Autos, Thermostate, die kurz vor Ankunft des Bewohners die Heizung hochregeln, Fahrstühle, die ihren nahenden Ausfall prognostizieren, Algorithmen, die Gesundheitsdaten sammeln und daraus neue Medikamente gegen den Krebs identifizieren – das alles ist bereits heute möglich.

Wo die Chancen riesig sind, da lauert naturgemäß auch das Risiko: Kriminelle werden mit dem Internet der Dinge zunehmend in die Lage versetzt, Schäden in der wirklichen Welt anzurichten. So wäre es denkbar, dass Schadprogramme in additiven Druckprozesse eingeschleust werden, die in der praktischen Anwendung große Katastrophen verursachen. Cyberkriminelle könnten die Kontrolle über autonome Fahrzeuge übernehmen, über Verkehrsleitsysteme, Kraftwerke oder gar über militärische Computernetzwerke. So etwas schürt Angst.

Es muss ja nicht gleich der ganz große Crash sein; Gefahren drohen auch im Alltag: Wenn etwa Thermostate von unterwegs über das Internet reguliert werden oder eine Webcam das Haus überwacht, können auch Kriminelle Einblicke in Lebensgewohnheiten gewinnen – und sie etwa nutzen, um einen Einbruch auszubaldowern. Wer weiß, dass jeden Tag um die gleiche Zeit das Garagentor hochgefahren und die Heizung heruntergeregelt wird, hat schon einen Anhaltspunkt, wann ein Einbruch geplant werden müsste.
Bereits heute sind die Zahlen, die in punkto Cybercrime veröffentlicht werden, beängstigend: Fast jeder zweite Internetnutzer ist in Deutschland in den vergangenen 12 Monaten Opfer von Cybercrime geworden, ergab eine repräsentative Umfrage des Digitalverbands Bitkom. Die Vorfälle reichen von gefährlichen Virusinfektionen über Online-Betrug und Erpressung bis hin zu schweren Beleidigungen. Fast die Hälfte aller Betroffenen haben einen finanziellen Schaden davongetragen: 45 Prozent mussten entweder Hard- und Software ersetzen, auf bezahlte Leistungen verzichten oder waren Opfer illegaler Transaktionen.

Das BKA beziffert den Schaden durch Computer- und Internetkriminalität im vergangenen Jahr auf mehr als 40,5 Millionen Euro; ein Plus im Vergleich zum Vorjahr von 2,8 Prozent. Der größte Teil entfalle auf Computerbetrug. Die Ermittler gehen allerdings davon aus, dass die Zahlen nicht den tatsächlichen Schaden erfasst haben. So würden die BKA-Statistiken nur einen kleinen Ausschnitt der tatsächlichen Dimension dieser Art von Kriminalität abbilden. BKA-Chef Holger Münch mahnte deshalb die Betroffenen, jede Straftat
anzuzeigen. Nur so könne Cybercrime effektiv bekämpft werden.

So läuft etwa Erpressung häufig unter dem Radar der Behörden. Nach einer Umfrage der Allianz für Cybersicherheit hat jedes dritte Unternehmen in Deutschland bereits Erfahrungen mit Lösegeldsoftware, so genannter Ransomware gemacht. Dabei installieren die Erpresser eine Verschlüsselungs-Software im Netzwerk ihrer Opfer. Die Rechner werden verschlüsselt – wer wieder Zugriff auf seine Daten bekommen will, muss zahlen. Die Höhe der Schäden ist unbekannt, aus Angst vor Imageschaden vermeiden viele Unternehmen, die Behörden einzuschalten.

Doch das Geschäft scheint sich für die Täter zu lohnen. Das Bundesamt für Sicherheit in der Informationstechnik verzeichnet jedenfalls immer mehr unmittelbare Geldflüsse, die in Zusammenhang mit Ransomware stehen. „Das Gefährdungspotenzial nimmt zu“, erklärte Bundesamtschef Arne Schönbohm im Oktober 2016 auf der Nürnberger IT-Sicherheitsmesse it-sa. Die Angriffe richten sich mittlerweile nicht mehr nur gegen Unternehmen und private Internetnutzer, sondern auch gegen öffentliche Einrichtungen. Anfang des Jahres hatte die Erpressung mehrerer Krankenhäuser in Nordrhein-Westfalen Schlagzeilen gemacht. Laut Schönbohm seien 60 Krankenhäuser betroffen gewesen.

Zunehmend geraten Mobilgeräte ins Visier: Jeder vierte Smartphone-Nutzer hatte in den vergangenen zwölf Monaten einen Sicherheitsvorfall mit seinem Gerät. So führen spezielle Smartphone-Viren dazu, dass der Nutzer ausspioniert, aggressive Werbung angezeigt oder der Zugang zu den Geräten versperrt wird. Aus Sicht des Bitkom muss das Sicherheitsniveau im Internet weiter erhöht werden. „Wir müssen die technische Sicherheit von Geräten und Online-Diensten ständig verbessern und gleichzeitig das Bewusstsein der Nutzer für das Thema IT-Sicherheit schärfen“, erklärt Bitkom-Präsidiumsmitglied Winfried Holz.

Am 9. November 2016 hat die Bundesregierung ihre neue „Cyber-Sicherheitsstrategie“ beschlossen. Darin wird mit einigen liebgewordenen Gewohnheiten abgerechnet. So hält die Bundesregierung das derzeit verbreitete Benutzername/Passwort-Verfahren für „nicht sicher“. Es solle als Standard ergänzt und nach Möglichkeit abgelöst werden.

Außerdem wird ein Basis-Zertifizierungsverfahren für sichere IT-Verbraucherprodukte eingeführt, dessen Kriterien durch das Bundesamt für Sicherheit in der Informationstechnik festgelegt werden. Die IT-Sicherheitsforschung soll ausgebaut, die deutsche IT-Wirtschaft gestärkt werden. Die Strafverfolgung im Cyber-Raum wird intensiviert. Hierfür setzt die Regierung auf die Zusammenarbeit der staatlichen Organe. Es habe sich gezeigt, dass auch staatliche Institutionen zur Gewährleistung von Cyber-Sicherheit zunehmend vernetzt vorgehen müssen, heißt es im Strategiepapier. „Innere und äußere Sicherheit im Cyber-Raum sind nicht mehr trennscharf voneinander abzugrenzen.“