Cybercrime: Die Bedrohung wird immer massiver und realer!

Jörg Jung:
Also ich persönlich höre es immer mal in den Nachrichten, Cyberattacke auf Regierungsinstitutionen, auf große Unternehmen. Ja, ich selbst sag dann immer: Naja, ist halt so. Aber es hat dann doch schon große Tragweite. Und genau darüber reden wir jetzt. Und zwar mit den, ich möchte sagen Cyberprofis, die jetzt gerade hier bei mir im Studio sind. Zum einen ist es Matthias Peter. Er ist Geschäftsführer von Peter Communication Systems. Einen wunderschönen guten Tag, Herr Peter.

Matthias Peter:
Hallo Jörg.

Jörg Jung:
Und zum anderen ist es der Frank Fengel von Protektis. Auch dir, lieber Frank. Hallöchen. Schön, dass du da bist.

Frank Fengel:
Einen schönen guten Tag. Hallo, Jörg. Danke für die Einladung.

Jörg Jung:
Ja, gerne, gerne. Weil es ist ja am Ende ein sehr, sehr dann doch wichtiges Thema. Ich werde gleich mal auf mich privat noch eingehen. Also ich sehe das immer alles sehr lässig, aber man hört ja doch immer wieder mal in den Nachrichten Cyberangriffe hier, man will sogar in Wahlen eingreifen. Wir hatten ja jetzt die US-Wahl, dann wurde das gehackt, dann ist das lahmgelegt. Kann man denn sagen tatsächlich, dass Cyberkriminalitäts- und Cyberattacken-Risiko ist nicht nur hoch, sondern die Tendenz ist sehr steigend in letzter Zeit und in Zukunft.

Frank Fengel:
Es ist vor allem nicht nur hoch, es ist vor allem auch deutlich realer, als es meistens den Anschein hat. Also wir sind mit solchen Dingen konfrontiert, genau wie du es beschreibst in den Nachrichten, man hört eben, dass Wahlen möglicherweise manipuliert werden, Großkonzerne, Regierungen angegriffen werden, dass es Cyberwar gibt, Kriegsführung zwischen Ländern auf digitaler Ebene und das passiert auch alles, das gibt es auch alles. Aber es gibt diese Dinge eben auch im viel kleineren, im viel näheren, viel realeren Raum. Das heißt, auch kleine Unternehmen werden täglich angegriffen, auch Privatpersonen werden angegriffen. Ich bin mir sicher, jeder, der jetzt zuhört, hat schon mal irgendeine Phishing Mail bekommen. Den Versuch einer Bank, eine Fälschung, bei der versucht für die Bank Zugangsdaten abzugreifen oder eine SMS, in der steht "Hallo Mama, Hallo Papa, ich habe eine neue Nummer. Schreibt mir doch mal bitte auf WhatsApp". Das ist auch alles eine Form von Cybercrime. Es muss also gar nicht immer diesen großen Charakter haben, sondern es findet auch täglich im Kleinen statt und es ist sehr real. Es wird immer mehr, egal wo man hinschaut auf das Bundeslagebild der IT-Sicherheit, das vom BSI, also vom Bundesamt für Sicherheit in der Informationstechnik veröffentlicht wird, oder ob das Bundeslagebild zum Thema Cybercrime, das vom BKA veröffentlicht wird. Die sprechen beide die gleiche Sprache. Das wird mehr, es wird gefährlicher.

Jörg Jung:
So, jetzt habe ich gerade gesagt, Frank Fengel ist mit an Bord, wir haben Matthias Peter mit an Bord. Erzählt doch mal eure Kernkompetenz. Also, was ist da in genau diesem Bereich?

Matthias Peter:
Ich bin selbst seit 40 Jahren als IT-Unternehmer und auch als Geschäftsführer der Peter Communication Systems am Start. Für mich ist es von großer Bedeutung, dass die IT den Menschen unterstützt und dass diese technischen Möglichkeiten, die die IT schafft, für jedermann nutzbar waren, insbesondere auch gerade im geschäftlichen Umfeld. Und so habe ich als Kind in den 80er Jahren begonnen, mich intensiv mit den technischen Themen in diesem Bereich zu befassen. Und ich mag den Wandel und die Veränderung und Dynamik unserer Branche und gestalte sie gerne mit. Aber gerade daraus hat sich in den letzten Jahren auch für weniger Wohlgesinnte ein Geschäftsmodell entwickelt. Und wir beobachten immer stärker in unserem Kundenkreis Angriffe auf die Netzwerke, auch gerade unsere kleinen mittelständischen Kunden. Und so bin ich mit der Peter Communication Systems als professioneller IT Dienstleister für mittelständische Unternehmen am Markt tätig. Und die IT-Netzwerk und die IT-Sicherheit, aber auch Videolösungen und Drahtlos-Netzwerke sind unsere wesentlichen Tätigkeitsschwerpunkte, in denen uns eben auch tagtäglich die Bedrohungsszenarien, von denen wir eben gesprochen haben, begegnen und für die wir auch adäquate Gegenmaßnahmen im Laufe der Zeit entwickelt haben.

Frank Fengel:
Genau da schließe ich mich gerade an. Frank Fengel, Firma Protektis. Ich bin der Geschäftsführer und wir sind ein reines Beratungshaus in den Themen Cyber-Security, IT-Sicherheit, Informationssicherheit. Und wir beraten mittelständische Unternehmen und Kommunen bei allen Themen, die da irgendwie dazugehören. Das heißt, wir auditieren, wir bauen Informationssicherheits-Managementsysteme auf bis hin zu einer Zertifizierung, die da möglicherweise angestrebt wird. Wir schreiben Notfallpläne, wir schreiben Richtlinien für die Mitarbeiter und sorgen eben dafür, auf organisatorischer Seite und da grenzen wir uns eben auch schön von der Peter Communication Systems ab und arbeiten deswegen auch in vielen Projekten zusammen, weil wir eben die IT nicht liefern, nicht betreuen, nicht administrieren, sondern den Kunden auf organisatorischer Seite helfen, durch Mitarbeiterschulungen und alles, was ich gerade schon genannt habe, damit die Firmen und Behörden sicherer werden.

Jörg Jung:
Jetzt ist natürlich die große Frage, wir reden von Cybersecurity. Erstmal in den Hintergrund zu gehen. Welche Form von Cyberattacken und Cyberkriminalität gibt es denn dann, die gerade für Regierungsinstitutionen oder Amt/Ämter oder auch Unternehmen gefährlich sein können? Also was für eine Gruppe von Kriminellen ist denn das am Ende überhaupt? Mit welcher Motivation?

Matthias Peter:
Die Motivation hat sich im Laufe der Zeit völlig verändert. In den Anfangstagen der IT hat man das Bild von einem Hacker, der vielleicht zu einem gewissen Ruhm gelangen wollte, indem er in Netzwerke eindringt oder diese lahm legt. Aber das hat sich völlig gewandelt. Mittlerweile sind kriminelle Organisationen am Werk, die auf illegalem Weg große Summen an Geld damit erwirtschaften. Und es sind rein wirtschaftliche Ziele, die von dieser Seite verfolgt werden. Aber weitere Akteure sind auch auf staatlicher Seite zu finden. Es ist ein virtueller Cyberkrieg, der stattfindet und der alltäglich ist. Und es gibt eben auch staatliche Institutionen, weniger wohlgesonnener Länder, die permanent Angriffe auf unsere Netzwerke verüben.

Jörg Jung:
Ist das denn auch, sagen wir mal, wir sind auf der einen Seite haben wir die Cyberkriminellen, auf der anderen Seite haben wir diejenigen, wie euch, die uns davor schützen wollen. Aber das ist doch am Ende eine eine unendliche Hasenjagd. Also ich meine, ihr habt es ja besonders schwer, weil ich vermute mal, die Cyberkriminalität ist ebenso erfinderisch wie ihr auch.

Frank Fengel:
Tatsächlich ist es immer wieder ein Katz- und Maus-Spiel und das ist auch etwas, was nie enden wird. Und wir sind leider hier in der Rolle des Hinterherjagenden. Also es gibt immer erst irgendwie einen Kriminellen, der sich was überlegt, der eine Schwachstelle findet, der eine Angriffsmethode entwickelt und der die irgendwo erfolgreich durchführt. Und in dem Moment wird dann häufig reagiert und es wird überlegt, wie kann man nicht betroffene Organisationen jetzt künftig vor so etwas schützen? Und dabei ist es schon unterschiedlich. Matthias hat es gerade schön gesagt, es gibt ganz viel, was da wirklich auf ich sag mal großer, bedrohlicher Ebene stattfindet. Man nennt es in der Branche APT (Advanced Persistent Threat), also weiter entwickelte dauerhafte Angriffe oder dauerhafte Bedrohung. Das sind wirklich die Großen, das sind die Staaten, das sind die großen kriminellen Organisationen. Es gibt da natürlich, ich sag mal, auch kleinere, es gibt Trittbrettfahrer. Und spannend wird es natürlich auch, wenn wir darüber reden. Wie findet denn so ein Angriff statt? Es gibt einerseits natürlich technische Angriffe, also bei denen jemand versucht, in ein System einzudringen, etwas zu hacken oder ein System lahmzulegen. Es geht ja nicht immer nur darum, gerade in so einem Cyberkrieg irgendwie an Daten zu gelangen oder Zugriff zu erlangen, sondern möglicherweise auch irgendwelche Dienste einfach außer Betrieb zu nehmen, um die Gegenseite zu schwächen.

Im industriellen und im mittelständischen Umfeld ist es aber tatsächlich eher so, dass es meistens darum geht, entweder Zahlungen auszulösen, Daten zu verschlüsseln oder eben in Systeme einzudringen und dann wiederum eine Verschlüsselung durchzuführen. Meistens ist das das Ziel und da gibt es eben einmal diese technischen Angriffe auf Systeme und ganz, ganz viel und wenn wir ehrlich sind, auch das größere Problem sind aber die Angriffe gegen Menschen. Also das Thema Social Engineering nennt man es immer, wenn ein Mensch targetiert wird, als Ziel ins Visier genommen wird und kein System von Social Engineering. Und das macht über 90 % der erfolgreichen Cybercrime-Angriffe aus. Wenn wir so umgangssprachlich an Cybercrime denken, dann stellen wir uns irgendjemanden vor, der in einem Keller im Pulli sitzt und vor einer schwarzen Konsole irgendwelche Befehle eingibt. In der Praxis ist es aber meistens so, dass irgendwie gar nicht der Hacker etwas tut, sondern dass Menschen angegriffen werden mit ganz klassischem Betrugsversuchen, mit Phishing-Mails, mit Anrufen über alle Wege, über die Menschen irgendwie erreichbar sind, finden diese Angriffe auch statt.

Jörg Jung:
Jetzt muss ich natürlich sagen, ich persönlich, ich entlarve mich immer wieder selbst als jemand, der sagt aa, und mich betrifft das ja nicht. Wenn da jetzt auf meinem PC irgendwo so eine Warnung kommt: Hier schützen Sie sich. Ach nee, brauch ich ja doch nicht. Aber das fängt ja vom Kleinen ins Große an! Also wir haben im Vorgespräch ja schon gesagt, Unternehmen als solche, die können ja schon dadurch lahmgelegt werden, wenn ein Mitarbeiter irgendwie eine falsche Mail öffnet. Also das ist prozentual, so wie ich es rausgehört habe, so der der der häufigste Grund, dass da überhaupt mal irgendwas durchdringt. Kann das sein?

Matthias Peter:
Absolut. Die Mitarbeiter stellen letztlich die Achillesferse eines Unternehmens dar. Es sind gerade die Angriffe, die über einen einzelnen Mitarbeiter stattfinden, in dem eben ein unsicheres Passwort gewählt wurde, in dem eben so eine Sicherheitsnachricht, wie du es gerade eben erwähnt hast, überklickt wird. Und genau das sind die Momente der Unachtsamkeit oder auch vielleicht das Fehlen des Bewusstseins über dieses Gefährdungspotenzial, die von den Angreifern gezielt ausgenutzt werden, um auf dem Weg eben in das Netzwerk eines Unternehmens einzudringen. Und Frank erwähnte schon diesen Identitätsdiebstahl. Jeder von uns verkörpert eine Person auch als Nutzer in einem Firmennetzwerk. Und wenn diese Identität von einer fremden Person oder von einer fremden Einrichtung übernommen werden kann und vorgegaukelt werden kann, es handele es sich um die echte Person, während sich ein Angreifer im Netzwerk tummelt, dann ist buchstäblich Tür und Tor geöffnet und der Angreifer hat freie Hand über die Möglichkeiten des entsprechenden Benutzeraccounts und kann sich in dem Netzwerk umsehen, kann Daten abziehen, kann beispielsweise eine Verschlüsselungssoftware installieren oder weitere schadhafte Handlungen vollziehen. Und das ist genau das, was lange Zeit unbemerkt bleibt. Gerade deswegen, weil sich viele Einzelpersonen, aber auch ganz viele Unternehmen, überhaupt nicht bewusst sind, dass ihre Daten schützenswert sind und dass sie eventuell zum Ziel eines Angriffs werden könnten. Und das ist das zentrale Problem, dieses oftmals leider noch fehlenden Bewusstseins über diese reale Gefahr.

Jörg Jung:
Aber ihr habt gesagt, wir wollen das Bewusstsein schärfen. Ich nehme vorweg, es gibt eine ganz tolle Infoveranstaltung dazu im Februar. Was habt ihr euch da überlegt?

Frank Fengel:
Tatsächlich glaube ich, dass die Infoveranstaltung wirklich sehr spannend sein könnte, weil wir uns neben dieser einen Seite, warum IT-Sicherheit oder Cybersecurity wichtig ist, nämlich weil es viele Angriffe gibt, weil da viele Schäden entstehen, weil man seine eigenen Daten und Systeme schützen will, auch mit der Frage beschäftigen, wer verlangt das möglicherweise von uns? Und da gibt es jetzt auch in den nächsten Monaten einiges erwartbar von rechtlicher Seite. Es wird ein Gesetz geben, dass in Deutschland für ungefähr 25.000 Unternehmen, die bislang nicht reguliert waren, Anforderungen für IT-Sicherheit und Cybersicherheit macht und die dann eben auch umgesetzt werden müssen, weil sonst empfindliche Strafen drohen. Also der Gesetzgeber, in dem Fall die EU, weiß, dass viele Unternehmen leider noch zu wenig tun, dass da draußen wirklich viele Schäden entstehen und ist eben hergegangen und hat gesagt, wir müssen da mehr regulieren.

Matthias Peter:
Und wenn ich an dieser Stelle noch was ergänzen darf, Wir richten uns mit unserem Beitrag zu der Veranstaltung gerade eben nicht an die IT-Experten und an die IT-Sicherheitsfachleute, sondern an die Unternehmer, an die Entscheider. Denn gerade diese müssen sich bewusst werden, dass hier ein Handlungsbedarf besteht, und zwar ein dringender. Und es ist wichtig, dass die möglichen Angriffsszenarien erläutert werden, aber vor allem auch, dass wir aufzeigen, dass es Optionen gibt, sich dem entgegenzustellen, dass es einfache Methoden gibt und praxisnahe Methoden. Und gerade diese pragmatischen Ansätze, gerade die schnell umsetzbaren Lösungen und die konkrete Hilfe ist eine besondere Stärke. Und wir können das in einer Sprache kommunizieren, die auch für einen Laien verständlich ist und mit dem man auf jeden Fall aus der Veranstaltung mit einem für ihn geeigneten Wissen und einem geeigneten Werkzeugsatz herausgeht, um diesen Anforderungen zu begegnen.

Jörg Jung:
Und genau das wird dann live zu hören sein. Und zwar, ich sag's ganz schnell, wir haben aber auch die Daten natürlich nochmal verlinkt in den Shownotes. Das wäre der 7. Februar, 13 Uhr geht's los. Am Ende gibt es noch eine leckere Currywurst. Das soll ich von meinem Chef Willi Plattes ausrichten. Das ganze im Club der Mallorca Zeitung bzw. im Club des Diario de Mallorca. Unter anderen dann auch mit dabei, die die wir gerade gehört haben, Matthias Peter und Frank Fengel. Meine Herren, ich würde fast vorschlagen, bis zum 7.Februar ist ja noch ein bisschen Zeit. Sollten wir uns und könnten wir uns denn allmonatlich zu einer Podcastfolge treffen und genau dieses Thema Cybersecurity noch vertiefen? Weil ich glaube, da steckt noch viel, viel mehr dahinter.

Frank Fengel:
Sehr, sehr gerne. Ich glaube, da geht uns bis Februar der Stoff nicht aus.

Jörg Jung:
Hätte ich auch gesagt, aber bis dato zu diesem Grundlagenwissen, das ihr uns vermittelt habt, erstmal vielen Dank und bis demnächst. Und denken Sie daran, meine Damen und Herren, gerne vormerken: Der 7.Februar 2025 ab 13 Uhr im Club der Mallorca Zeitung. Alle Infos und den Link zum Event haben wir in den Shownotes. Und dann hören Sie die beiden Herrschaften nicht nur, sondern sehen sie auch. Und dann gibt es volle Expertise mit voller Kraft. Ich bedanke mich bei Frank Fengel und Matthias Peter. Bis zum nächsten Mal.

Matthias Peter:
Vielen Dank auch von meiner Seite. Bis bald.

Frank Fengel:
Bis bald. Vielen Dank, Jörg.

Autor: Jörg Jung /Mitarbeit: C. Schittelkopp