In einem fiktiven Bรผrokomplex geht zur Nachtzeit eine Alarmanlage an. Gleichzeitig lรคuft bei der nahen Sicherheitsleitstelle ein Einbruchmeldealarm auf. Das Sicherheitspersonal stellt vor Ort eine aufgebrochene Tรผr fest. Sie verschlieรen die Tรผr wieder und veranlassen die Neuschaltung der Alarmanlage. Hier hat die Sicherheitsfirma schlechte Arbeit geleistet.
Wie wรผrde ein positives Beispiel aussehen? Der gleiche Fall. Dieses Mal wird erst, nachdem die Mitarbeiter:innen sicher sind, dass niemand in das Gebรคude eingedrungen oder noch drin ist, die Tรผr sicher geschlossen und die Anlage wieder scharf geschaltet. Das ist gute professionelle Arbeit und auch die รผbliche Verfahrensweise.
Durch die offene Tรผr spaziert und geblieben
Woher kommt aber jetzt der Bezug zu Cybercrime? Angenommen, ein IT-Hersteller meldet eine Schwachstelle in seinen Systemen. Solche Systeme sind auch im oben angefรผhrten Bรผrokomplex in Betrieb. Der Hersteller hat aber nicht nur den Hinweis auf die offene Tรผr, er hat praktischerweise auch einen Sicherheitspatch fรผr das System, quasi ein neues Schloss fรผr die Tรผr. Der Patch wird entsprechend der Anweisung des Herstellers eingespielt. Zwei Monate spรคter sind alle Firmendaten mit einer Ransomware verschlรผsselt und die Geschรคftsleitung bekommt eine Nachricht mit einer Geldforderung zum Erhalt des Entschlรผsselungscodes. Bezahlt wird natรผrlich in Kryptowรคhrung.
Vergleicht man den digitalen mit dem analogen Fall, stellt man fest, dass man hier von schlechter und unprofessioneller Arbeit sprechen kann. Denn auch hier hat niemand geprรผft, ob jemand durch die Tรผr gegangen ist. Leider ist dieser Fall Alltag bei einer Vielzahl von Ransomware-Attacken.
Die IT fรผr die Zukunft hรคrten
Ein Beispiel ist der Angriff auf ein deutsches Krankenhaus im September 2020. Dort stellte man die Infektion mit Ransomware im Netz des Krankenhauses fest. Die einzige Lรถsung war das sofortige Herunterfahren der Krankenhaus-IT โ Stillstand.
Hierbei wurde die Schwachstelle eines Herstellers ausgenutzt, die im Januar 2020 publiziert und mit einem Patch geschlossen wurde. Wรคre wie im positiven Beispiel nachgesehen worden, hรคtte man erkennen kรถnnen, dass die Hacker die IT-Schwachstelle schon im Oktober 2019 genutzt und sich eine Tรผr ins Netz geschaffen haben. Der Auslรถser wurde einfach nur ein Jahr spรคter virtuell gedrรผckt.
In diesem speziellen Fall wurde der Code zum Entschlรผsseln zeitnah und ohne Geldzahlung รผbermittelt. Aber selbst mit diesem Schlรผssel hat die Instandsetzung der IT noch drei Wochen gedauert. Drei Wochen Betriebsausfall, nur um das System auf den Stand vor der Infektion zu bringen. Die Kosten fรผr die Analyse, die IT-Spezialisten und den Betriebsausfall kann jeder grob รผberschlagen.
Schutz vor Crime-as-a-service
Doch welches Investment ist nรถtig, um die IT fรผr die Zukunft zu hรคrten? Was lehrt uns jetzt der Vergleich zwischen der analogen Polizeiarbeit und dem digitalen Ransomware-Befall? Wir mรผssen im digitalen Feld genauso professionell arbeiten und die gleiche Sorgfalt an den Tag legen, wie wir es in anderen Bereichen bereits tun. Jeder kennt die Regeln zum Brandschutz im Bรผro: Die Fluchtwege sind gekennzeichnet, der Sammelplatz ist ausgewiesen und die jรคhrliche Brandschutz- und Evakuierungsรผbung kommt immer zum unpassendsten Zeitpunkt.
Gibt es รคhnliche Notfallplรคne auch fรผr IT-Sicherheitsvorfรคlle? Weiร jede/jeder Mitarbeitende, was zu tun ist? Ist ein Back-up gemacht worden, um die Daten notfalls ohne den Schlรผssel wiederherzustellen? Bekommt es รผberhaupt jemand mit, wenn etwas im Netzwerk passiert? Ein Gebรคude kann ich nach einem Brand wieder aufbauen. Daten, die verschlรผsselt oder gelรถscht sind, kรถnnen zum Totalverlust der Existenz fรผhren. Hacker haben verstanden, wo unsere Schwachstellen und Abhรคngigkeiten stecken. Sie arbeiten mit einem professionellen System in Form von Aufgabenverteilung, auch bekannt als โCrime-as-a-serviceโ, in verteilten Rollen und mit Umsatzbeteiligungen komplett gewinnorientiert.
Die einzige Chance dagegen ist die Sensibilisierung fรผr das Thema und der professionelle Einsatz der zur Verfรผgung stehenden Ressourcen mit einem ganzheitlichen Ansatz. Ein Investment, das sich lohnt.
Peter Vahrenhorst ist Kriminalhauptkommissar beim Landeskriminalamt Nordrhein-Westfalen. Er ist fรผr die Prรคvention von Cybercrime mit der Zielrichtung โWirtschaftโ zustรคndig. Die Aufgabenfelder des Cybercrime-Kompetenzzentrums liegen unter anderem in der Computer Forensik, der Mobile Forensik, Ermittlungen, TKร, Open Source Recherche, Kriminalistische luK-Lageunterstรผtzung, Prรคvention/Medien und der Auswertestelle Kinderpornografie.
Nach dem Studium an der Fachhochschule fรผr รถffentliche Verwaltung NRW war Peter Vahrenhorst zunรคchst 10 Jahre als IT-Ermittler tรคtig. Danach war er im Bereich der polizeilichen Prรคvention zum Thema Internet unterwegs. Drei Jahre war er zusรคtzlich Lehrbeauftragter an der Universitรคt Bielefeld.
Peter Vahrenhorst wurde 2009 mit dem Preis โKooperation Konkretโ vom Schulministerium NRW und 2010 mit dem Landespreis Innere Sicherheit vom Ministerium fรผr Inneres und Kommunales NRW ausgezeichnet.