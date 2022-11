„Angriffe auf Deutschland nehmen zu“: Eisenreich und Wintergerst warnen vor digitalem Leichtsinn

Von: Georg Anastasiadis, Sebastian Hölzle

Teilen

Sprachen über Gefahr im Netz: Ralf Wintergerst, Chef von Giesecke+Devrient, und Bayerns Justizminister Georg Eisenreich (re.). © Oliver Bodmer

Wie sicher sind Bayerns Netzwerke, wie sicher die persönlichen Daten seiner Bürger? Ein Gespräch mit Geld-Experte Ralf Wintergerst und Justizminister Georg Eisenreich.

München – Ralf Wintergerst ist Chef des Münchner Geld-Spezialisten Giesecke+Devrient (G+D), Beiratsvorsitzender der Allianz für Cyber-Sicherheit sowie Mitglied im Präsidium des Digitalverbandes Bitkom. Wintergerst weiß, wie sicher das Internet ist – und wo die Schwachstellen lauern. Auf staatlicher Ebene ist in Bayern unter anderem das Justizministerium von Georg Eisenreich (CSU) für Cyber-Sicherheit zuständig.

Nach dem Überfall Russlands auf die Ukraine steht die Frage im Raum: Wie sicher ist die IT-Infrastruktur in Deutschland? Ist der Cyber-Krieg schon da?



Wintergerst: Das grundlegende Problem ist ein anderes: Jedes Jahr wird weltweit mehr Geld für Technologie und Innovation ausgegeben. Es ist daher nicht verwunderlich, dass damit auch die Zahl der Cyber-Angriffe steigt.



Gibt es Schwerpunkte?



Wintergerst: In seinem jüngsten Bericht hat das Bundesamt für Sicherheit in der Informationstechnik festgestellt: Ein Schwerpunkt ist die hohe Zahl an DDoS-Attacken. DDoS-Attacken sind Angriffe, bei denen die Server eines Unternehmens so lange mit Anfragen bombardiert werden, bis die IT-Infrastruktur zusammenbricht. Das zweite Problem ist Schadsoftware. Sowohl Privatnutzer als auch Unternehmen sind betroffen. Ob damit der Cyber-Krieg schon da ist, lässt sich schwer sagen. In Folge des Ukraine-Krieges sehen wir aber, dass Deutschland insgesamt stärker attackiert wird.



Frage an den Minister: Haben Sie Hinweise, dass staatliche Akteure wie Russland hinter den Attacken stecken?

Eisenreich: Es ist sehr schwierig, das nachzuweisen. Spuren führen aber oftmals nach Russland. Viele Experten vermuten, dass dort Akteure zumindest teilweise mit Wissen staatlicher Stellen unterwegs sind.



Welches Motiv hat Russland?



Eisenreich: Hier muss man zwei Ebenen trennen: Auf Ebene der Staaten und der Staatengemeinschaften, etwa EU und Nato, geht es um Spionage, Sabotage und Destabilisierung. Cyberangriffe richten sich aber genauso gegen Unternehmen und einzelne Bürger – dabei geht es primär ums Geld.



Sind vor allem Großkonzerne im Visier?



Eisenreich: Nein. Betroffen sind auch kleine und mittelständische Unternehmen.



Mit welchem Schaden?



Eisenreich: Laut Zahlen der Bitkom ist in den vergangenen zwölf Monaten der deutschen Wirtschaft allein durch Erpressung mit gestohlenen oder verschlüsselten Daten ein Schaden von 10,7 Milliarden Euro entstanden. Insgesamt beläuft sich der Schaden sogar auf 203 Milliarden Euro. Aber das kann Herr Wintergerst besser erklären, er sitzt im Präsidium der Bitkom.



Wintergerst: Die 203 Milliarden Euro sind eine Schätzung. Viele Fälle werden von betroffenen Firmen schlicht nicht angezeigt. Und bei Spionage ist das Problem, dass sie oft nicht erkannt wird.



Warum?



Wintergerst: Spionage-Programme sind so konzipiert, dass sie in das Firmennetzwerk eingeschleust werden, ohne entdeckt zu werden. Ist der Trojaner erst einmal im System, schleust er permanent Daten nach draußen.



Wie viele Unternehmen sind in Bayern betroffen?



Eisenreich: Genaue Zahlen gibt es nicht. Das Dunkelfeld ist groß. Ein Teil der Unternehmen merkt gar nicht, dass sie angegriffen wurden. Zudem erstatten viele bei Cyber-Angriffen keine Strafanzeige, weil sie einen Imageschaden fürchten. Wir wollen Unternehmen überzeugen, sich nicht einschüchtern zu lassen, sondern vertrauensvoll mit Polizei und Staatsanwaltschaft zusammenzuarbeiten.



Herr Wintergerst: Was beobachten Sie bei Attacken auf Ihr Unternehmen G+D?



Wintergerst: Erst vor Kurzem habe ich eine Mail von meiner Frau auf meine Firmen-E-Mail-Adresse bekommen. Sie bat mich, einen Anhang mit einem Passwort zu öffnen.



Und? Kam die E-Mail tatsächlich von Ihrer Frau?



Wintergerst: Nein, natürlich nicht. Das war eine Fake-E-Mail. Hätte ich den Anhang angeklickt, hätte ich unser IT-Netzwerk geöffnet. Diese Masche nennt sich CEO-Fraud und ist bei Kriminellen gerade sehr beliebt.



„Niemand muss Unmengen an Bargeld unter dem Kopfkissen horten“

Der beste Schutz dagegen ist offenbar der gesunde Menschenverstand.



Wintergerst: So ist es. Gute Technik ist die eine Seite, auf der anderen Seite muss das Personal geschult sein.



Ist es sinnvoll, angesichts der Bedrohung aus dem Netz Bargeld zu horten? Kredit- oder Bankkartensysteme könnten plötzlich nicht mehr funktionieren.



Wintergerst: Das ist ein Extremszenario. Aber es kann natürlich immer sein, dass die digitale Welt nicht mehr funktioniert. Dann ist Bargeld sinnvoll. Nach einem Hurrikan etwa fahren Zentralbanken mit Lastern voller Bargeld ins Katastrophengebiet, damit die Menschen eine Erstversorgung haben. Sonst fangen sie an zu plündern.



Eisenreich: Mir ist ganz wichtig, dass hier kein Alarmismus entsteht: Niemand muss Unmengen an Bargeld unter dem Kopfkissen horten. Im Katastrophenfall greifen immer staatliche Systeme. Bis die staatlichen Notfallsysteme greifen, reicht Bargeld in einem vernünftigen Rahmen aus.



Gleichzeitig verspricht Giesecke+Devrient, dass der digitale Zahlungsverkehr sicher ist.



Wintergerst: Das ist unser Anspruch. Wir arbeiten beispielsweise an Lösungen, um zu verhindern, dass Kriminelle in der Fußgängerzone im Vorbeigehen unbemerkt Geld von der Kreditkarte abziehen

Das BSI rät: So können sich Privatpersonen vor Kriminellen schützen „Prävention ist der beste Schutz gegen Cyber-Angriffe“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Verbraucher könnten so verhindern, dass ihr System beschädigt wird oder Daten abfließen. In einer Bürgerbroschüre appelliert das Amt unter anderem, den Webbrowser aktuell zu halten und möglichst sicher einzustellen. Updates für Betriebssysteme sollten durchgeführt werden und eine meist in den Programmen enthaltene Firewall aktiviert werden. Ein Virenschutz und verschiedene Benutzerkonten – bestenfalls ohne Administratorenrechte – können laut BSI helfen. Sichere Passwörter sollen aus mindestens acht Zeichen aller Art bestehen und nicht im Wörterbuch vorkommen.

Vor dem Öffnen von Anhängen und Links aus E-Mails sollten Verbraucher im Zweifel beim Absender nachfragen – allerdings nicht unter den dort angegebenen Kontaktdaten. Das BSI rät weiter, Downloads am besten direkt über Herstellerseiten zu tätigen, sich mit der Weitergabe von persönlichen Daten zurückzuhalten und beim Surfen auf eine verschlüsselte Verbindung zu achten – erkennbar etwa an einem Schlosssymbol in der Adressleiste des Browsers. Nutzer sollten außerdem regelmäßig Sicherheitskopien ihrer Daten auf externen Speichern anfertigen. Bei Smartphones ist es laut BSI unter anderem sinnvoll, WLAN oder NFC nur bei Bedarf einzuschalten. Weitere Infos bietet das Amt unter www.bsi.bund.de. nap



Das beliebteste Passwort in Deutschland ist nach wie vor „12345“

Wie sollten sich Privatnutzer und Firmen schützen?



Eisenreich: Das Wichtigste ist eine gesunde Vorsicht. Jeder muss sich bewusst sein, dass er Ziel eines Angriffs werden kann.



Zum Beispiel?



Eisenreich: Es können täuschend echt aussehende Phishing-E-Mails im Postfach landen, der Online-Auftritt einer Bank kann gefälscht sein, zudem gibt es Fake-Shops im Internet. Zugangsdaten sollten niemals rausgegeben werden, außerdem sind sichere Passwörter notwendig.



Wintergerst: Das beliebteste Passwort in Deutschland ist nach wie vor „12345“.



Eisenreich: E-Mail-Anhänge nur öffnen, wenn der Absender vertrauenswürdig ist.



Warum sind E-Mail-Anhänge so gefährlich?



Wintergerst: Im Anhang kann sich ein Schadprogramm befinden, das sich auf den Rechner lädt und bestimmte Funktionen sperrt oder zerstört.



Und technisch?



Eisenreich: Das Betriebssystem von Handy oder Rechner sowie die Anti-Viren-Software sollten immer auf dem aktuellen Stand sein.



Wintergerst: Außerdem muss jeder wissen: Welche Daten sind meine Kronjuwelen? Diese sollten an einem sicheren Ort verwahrt sein.



Was gilt für Unternehmen?



Wintergerst: Die Empfehlung: Von den laufenden IT-Ausgaben sollten 15 bis 20 Prozent in die IT-Sicherheit fließen.



Wird das eingehalten?



Wintergerst: Nein. Der Durchschnitt in Deutschland liegt bei neun Prozent.



Welche Angriffsmuster lassen sich beobachten?



Eisenreich: Die Täter gehen inzwischen hochprofessionell und arbeitsteilig vor. Eine Gruppe versucht etwa Schadsoftware ins Unternehmen zu schleusen. Die dadurch erlangten Zugänge zu den IT-Netzwerken der Unternehmen werden im Darknet verkauft. Andere Gruppen haben sich auf Erpressung spezialisiert, sie kaufen die Zugänge und schlagen zu. Das ist ein kriminelles Massengeschäft.



Sollte Bayern nicht Kompetenzen an den Bund oder die EU abgeben, statt mit föderalem Klein-Klein auf die globale Bedrohung zu reagieren?



Eisenreich: Entscheidend ist die Kooperation von Behörden, Institutionen und Unternehmen – und zwar auf allen Ebenen. Wer glaubt, dass Zentralisierung der Schlüssel ist, liegt falsch.



Wintergerst: Die Sicherheitsstruktur muss auf staatlicher Ebene dezentral sein, gerade weil die Angriffe von überall herkommen. Auch Giesecke+ Devrient setzt auf eine dezentrale Sicherheitsarchitektur.



Während für Cybersicherheit viel getan wird, hat sich der Staat für Hass und Hetze im Netz lange nicht interessiert. Warum wurden im Internet Recht und Gesetz nicht durchgesetzt?



Eisenreich: Da fragen Sie den Falschen. Der Kampf gegen Hass und Hetze ist mir ein wichtiges Anliegen. Ich habe das Thema gleich zu Beginn meiner Amtszeit auf die Agenda gesetzt. Hass und Hetze in den sozialen Netzwerken haben ein erschreckendes Ausmaß angenommen. Hasskriminalität hat sich zu einer echten Gefahr für die Demokratie entwickelt. Wir gehen in Bayern entschlossen dagegen vor.



Wie lautet Ihre Antwort?



Eisenreich: Inzwischen gibt es bei allen 22 bayerischen Staatsanwaltschaften ein Sonderdezernat zur Bekämpfung von Hasskriminalität im Netz. Außerdem habe ich bereits Anfang 2020 einen Hate-Speech-Beauftragten ernannt, der bei der Generalstaatsanwaltschaft München angesiedelt ist. Allein vergangenes Jahr haben wir mehr als 2000 Verfahren neu eingeleitet. Aber die Staatsanwaltschaft kann nur ermitteln, wenn ein Fall auch zur Anzeige gebracht wird.



Die meisten wissen nicht, wo sie das tun können.



Eisenreich: In Bayern können inzwischen alle Bürgerinnen und Bürger mit wenigen Klicks online Anzeige erstatten. (www.meldestelle-respect.de; Anm. d. Red.).

Wann sollte man das tun?



Eisenreich: Die Frage lässt sich pauschal nicht beantworten, in Deutschland gilt die Meinungsfreiheit. Es gibt widerliche Äußerungen, die nicht zwingend strafbar sind. Am Ende entscheiden das die Gerichte. Mir ist daher wichtig, dass es bei unserer Online-Meldestelle auch eine Beratung gibt. Die bietet eine erste Einschätzung an, wann eine Anzeige Sinn macht.



Und wenn man Opfer von Internetkriminalität wird?



Eisenreich: Die örtliche Polizeidienststelle anrufen. Oder im Zweifel die 110.



Interview: Sebastian Hölzle und Georg Anastasiadis

Ampel vor großen Aufgaben - was SPD, Grüne und FDP planen, erfahren Sie in unserem Politik-Newsletter.