Thought Leadership
Der Diebstahl von Identitäten hat sich zu einer der größten Risiken in der IT entwickelt und führt zu Millionenschäden in der deutschen Wirtschaft. Gleichzeitig müssen Unternehmen aufgrund aktueller rechtlicher Bestimmungen wirkungsvolle Maßnahmen gegen einen Missbrauch von Daten und Identitäten umsetzen.
Anne-Sophie Braun, Geschäftsführerin des Vereins ‚Sichere Identität Berlin-Brandenburg e.V. berichtet im folgenden Gastbeitrag, welche Methoden von Identitätsdiebstahl es gibt, welche Compliance-Anforderungen in diesem Zusammenhang wichtig sind, welche Gegenmaßnahmen man ergreifen muss und wie sich am besten vorbeugen lässt.
Unternehmen müssen schnell und langfristig reagieren
Die Nachricht kam von einem Vorgesetzten. „Ich bin da auf eine interessante Technologiestudie gestoßen. Bitte schauen Sie sich das mal an“. Es folgt der Name der Studie. Und ein kurzer Gruß. Kein Link auf eine Webseite, kein angehängtes PDF-Dokument. Einfach nur eine typische Geschäftsmail von einem vertrauten Account. Über eine Internet-Suche gelangt der Mitarbeiter auf eine gefälschte und sorgfältig präparierte Webseite. Erst hier fängt sich der Mitarbeiter die Spionagesoftware ein, die fortan Daten vom Computer stiehlt.
Unter falschem Namen
Die vorgestellte Methode wird als „Spear-Phishing“ bezeichnet. Wie mit einem Speer wird das Unternehmen gezielt attackiert, um vertrauliche Daten „abzufischen“. Die Betrugsmasche per elektronischer Kommunikation zielt darauf ab, nicht autorisierte Zugriffe auf vertrauliche Daten zu erhalten. Das können Finanzinformationen, technische Pläne und Zeichnungen oder sogar militärische Geheimnisse sein. Im Fokus stehen Regierungseinrichtungen, staatliche Infrastrukturanbieter sowie technologie- und forschungsintensive Unternehmen.
Beim „Spear-Phishing“ kennt der Angreifer nicht nur die elektronische Adresse des Opfers, sondern auch Details aus dem privaten und beruflichen Umfeld. Diese bringt er nach sorgfältiger Recherche im Internet in Erfahrung. So gelingt es den Cyberkriminellen, die Identität eines Freundes oder Vorgesetzten anzunehmen, sodass die Mail vollkommen unverfänglich klingt. Das macht es so schwer, die Attacke zu erkennen.
„Spear-Phishing“ ist eine Form des „Social Engineering“. Darunter versteht man die gezielte Beeinflussung von Menschen, um an vertrauliche Informationen und Geld zu gelangen. Die „Social Engineers“ spionieren das persönliche Umfeld des Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus.
Eine weitere beliebte Methode des „Social Engineering“ ist die „Chef-Masche“. Dabei übernehmen Cyberkriminelle die Identität einer Führungskraft und veranlassen Mitarbeiter, meistens aus der Finanzbuchhaltung, hohe Beträge an ein fremdes Konto zu überweisen. Als Gründe werden zum Beispiel Firmenübernahmen oder Geheimprojekte genannt. Wie beim „Spear-Phishing“ erfahren die Betrüger über soziale Netzwerke, Online-Karriereportale und Unternehmenswebseiten so viel über eine Person, dass es Ihnen „leicht“ fällt, die Identität des Vorgesetzten vorzutäuschen.
Wie weit verbreitet der Diebstahl von Daten und Identitäten ist, zeigt eine aktuelle Umfrage des Digitalverbandes Bitkom. Demnach wurden in jedem sechsten Unternehmen in den vergangenen Jahren sensible Daten gestohlen. Vor allem Kommunikationsdaten wie E-Mails (41 Prozent) oder Finanzdaten (36 Prozent) fielen in die Hände der Angreifer, aber auch Kundendaten (17 Prozent) und Patente oder Informationen aus Forschung und Entwicklung (11 Prozent).
Rechtlicher Handlungsdruck
Die direkten negativen Auswirkungen auf die Unternehmen – wie Umsatzeinbußen, Imageschaden und verringerte Wettbewerbsfähigkeit – sind eigentlich Grund genug, sich intensiv mit Identitätsdiebstahl und Datenmissbrauch auseinanderzusetzen. Zusätzlichen Handlungsdruck erzeugen aktuelle IT-Compliance-Anforderungen.
Ein zentraler Stichtag ist hierbei der Mai 2018. In diesem Monat müssen zwei zentrale Gesetze zur IT-Sicherheit umgesetzt sein: Der erste Teil der Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) und die EU-Datenschutzgrundverordnung.
Die BSI-KritisV ist ein zentraler Bestandteil des IT-Sicherheitsgesetzes. Sie legt fest, welche Sektoren zu den so genannten ‚Kritische Infrastrukturen’ gehören. Unter ‚Kritische Infrastrukturen’ versteht der Gesetzgeber Einrichtungen und Anlagen, die für die Erbringung einer kritischen Dienstleistung (kDL) notwendig sind. Kritische Dienstleistungen sind essentiell für das Funktionieren des Gemeinwesens. Betreiber Kritischer Infrastrukturen sind verpflichtet, angemessene organisatorische und technische Maßnahmen zur Sicherheit ihrer IT zu treffen und diese laufend zu aktualisieren. Ab Mai 2018 endet die Frist für die Umsetzung der Verordnung für die Sektoren Energie, Wasser und Ernährung sowie Informationstechnik und Telekommunikation, ein Jahr später für das Gesundheitswesen, die Finanz- und Versicherungswirtschaft sowie für den Transport und Verkehr.
Am 25. Mai 2018 müssen zusätzlich die Bestimmungen der EU-Datenschutzgrundverordnung (EU-DSGVO) umgesetzt sein. Die Neuerungen betreffen jedes Unternehmen und fordern, den Datenschutz in seiner Gesamtheit zu überprüfen und anzupassen. Laut DSGVO besteht eine Rechenschaftspflicht („Accountability“). Unternehmen müssen nachweisen, dass sie als Verantwortlicher angemessene und wirksame Maßnahmen ergreifen, um die datenschutzrechtlichen Grundsätze und Verpflichtungen der Verordnung zu erfüllen. Ansonsten drohen hohe Bußgelder, die bis zu 20 Millionen Euro beziehungsweise bei Unternehmen 4 Prozent des Umsatzes betragen können.
Schnelle Reaktion gefragt
Die beiden Gesetze geben klare Vorgaben, was im Fall einer IT-Störung und einer Datenschutzpanne zu geschehen hat.
So müssen die Betreiber Kritischer Infrastrukturen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme und IT-Prozesse melden. Das BSI nennt auf seiner Webseite als Beispiel für IT-Störungen ausdrücklich das „Spear-Phishing“. Für die Meldung gilt grundsätzlich Schnelligkeit vor Vollständigkeit. Sie muss unverzüglich nach Erkennung der IT-Störung erfolgen.
Lesen Sie in dieser Serie auch folgende Beiträge des Vereins Sichere Identität Berlin-Brandenburg e.V.:
Digitalisierung: Sichere Identitäten entscheidend
Identitätsmissbrauch im Internet verhindernDer Klau von E-Mail-Adressen, Passwörtern und PINs gehört heute zum Internet-Alltag. Laut Umfrage des Wirtschaftsauskunftsdiensts Schufa ist bereits jeder fünfte Deutsche einmal Opfer eines Identitätsdiebstahls geworden, die finanziellen Schäden gehen in die Millionen. Doch damit muss man sich nicht abfinden.
Digitale Zertifikate: Die Sichere Identität einwandfrei nachweisenDie Benachrichtigungspflichten bei Datenschutzverletzungen sind durch die DSGVO erheblich verschärft worden. Während früher die Meldung nur in eng beschränkten Fällen – wie bei Berufsgeheimnissen oder Bank- und Kreditkartenkonten – vorgeschrieben war, sind laut DSGVO alle Datenschutzverletzungen innerhalb von 72 Stunden (ab dem Zeitpunkt der Entdeckung) an die Aufsichtsbehörde zu melden.
Generell gilt: Werden personenbezogene Daten für Betrügereien und andere Straftaten missbraucht, ist das ein Delikt. Betroffene Unternehmen sollten deshalb immer bei der Polizei eine Strafanzeige wegen Betrugs und Identitätsdiebstahls stellen.
Langfristig handeln
IT-Sicherheitsgesetz und EU-Datenschutzgrundverordnung bringen klar zum Ausdruck, dass technische Maßnahmen für die Umsetzung der IT-Schutzziele nicht ausreichen, sondern um organisatorische und personelle Aspekte erweitert werden müssen.
Firmen sollten sich deshalb intensiv überlegen, Informationssicherheit und Datenschutz zu institutionalisieren. Das kann in Gestalt eines Managementsystems für Informationssicherheit (ISMS) oder eines Datenschutzmanagementsystems geschehen. Beide Systeme basieren auf ähnlichen Grundsätzen, die zum Beispiel in den Standards ISO 270001 oder BSI-Grundschutz festgelegt sind. So lassen sich beide Themen – die Vorbereitung auf die DSGVO und die Einführung eines ISMS – miteinander „verheiraten“.
Mitarbeiter einbeziehen und schulen
Ein wichtiger Bestandteil jedes Managements für Informationssicherheit und Datenschutz sind die eigenen Mitarbeiter oder wie es Arne Schönbohm, Präsident des Bundesamts für Sicherheitstechnik (BSI) formuliert: „Der beste Schutz sind aufmerksame, vorsichtige Mitarbeiter“.
Kurzfristig sind Mitarbeiter über die „Social Engineering“-Tricks der Cyperkriminellen aufzuklären. Sie sollten zudem ermutigt werden, ein gesundes Missvertrauen an den Tag zu legen. Dabei helfen können verschiedene Details in der Kommunikation, die Indizien für „Social-Engineering-Attacken sind. Stimmt die Anrede? Duzt man sich oder spricht man sein Gegenüber formell an? Wird der Mitarbeiter unter Zeitdruck gesetzt? Werden Formulierungen wie „Kann ich auf Sie zählen“ oder „Die Angelegenheit ist dringlich“ benutzt?
Damit die Sensibilisierung langfristig und nachhaltig wirkt, darf sich das Thema IT-Sicherheit nicht in einmaligen Belehrungen erschöpfen. Es muss in der täglichen Arbeit proaktiv gelebt werden. Regelmäßige Schulungen und Trainings sind deshalb eine der tragenden Säulen von IT-Sicherheitsstrategien.
Dass es dabei noch erhebliches Optimierungspotenzial gibt, zeigt eine aktuelle Studie der Bundesdruckerei. Das IT-Sicherheitsunternehmen fand heraus, dass nur knapp die Hälfte der Unternehmen ihre Mitarbeiter regemäßig zur IT-Sicherheit schulen. Besonders besorgniserregend: Gegenüber dem letzten Jahr ist ein deutlicher Rückgang zu verzeichnen. Führten 2016 noch 55 Prozent der Unternehmen Mitarbeiterschulungen zu Fragen der Datensicherheit und des Datenschutzes durch, waren es 2017 nur 46 Prozent.
Spielerisch aufklären
Unternehmen können bei der Aufklärungsarbeit auch auf das umfangreiche Angebot gesellschaftlicher Akteure wie Verbände und Vereine zurückgreifen. Erfolg versprechen neue pädagogische Ansätze, die Aufmerksamkeit und persönliche Anknüpfungspunkte für das Thema ‚IT-Sicherheit erzeugen.
Ein gutes Beispiel dafür ist das Lernspiel „Sicher im Internet“ des Vereins „Sichere Identität Berlin-Brandenburg e.V.“ Das Online-Spiel vermittelt auf unterhaltsame und einfache Weise Grundlagen der IT-Sicherheit und lässt sich einfach mithilfe gängiger Browser auf der Webseite des Vereins aufrufen.
Inhaltliche Schwerpunkte sind die Passwortsicherheit, die E-Mail-Sicherheit und der sichere Umgang mit Datenträgern. Diese Aspekte der Informationssicherheit sind spielerisch in drei Episoden aufbereitet. Als Spielumgebung wurde der Büroalltag eines fiktiven Schokoriegelherstellers gewählt. Dort gilt es, kleine Aufgaben zu lösen, um für einen reibungslosen und sicheren Produktionsprozess des Mittelständlers zu sorgen. Dabei müssen die Spieler Gegenstände auf einem Bild finden. Ist ein richtiger Gegenstand gefunden, werden die Spieler mit unterhaltsamen Animationen belohnt. Das Suchen und Finden der Gegenstände wird mit leicht verständlichen Texten begleitet, die zentrale Verhaltensweisen der IT-Sicherheit vermitteln.
Am Ende jeder Episode erhält der Spieler eine Urkunde, die das Gelernte noch einmal zusammenfasst sowie Fakten präsentiert, die einen ‚Aha-Effekt’ auslösen sollen. So ist es vielen Anwendern kaum bewusst, dass sich ein Passwort mit sechs kleingeschriebenen Buchstaben in nur 1 Sekunde knacken lässt.
Das Lernspiel richtet sich vor allem an die Geschäftsführung und Mitarbeiter Kleiner und Mittelständischer Unternehmen (KMU), spricht aber auch den Nutzer mit geringen IT-Kenntnissen an.
Anne-Sophie Braun, Geschäftsführerin des Vereins Sichere Identität Berlin-Brandenburg e.V.
