Cyberkriminelle erscheinen oft professionell, da sie viele technische Fähigkeiten besitzen. Es wird jedoch häufig übersehen, dass bei den meisten Fällen von Cyberkriminalität der Endbenutzer durch unsicheres Verhalten die Angriffe erleichtert. Computer sind darauf ausgelegt, ihre Aufgaben auszuführen, jedoch nicht, das Verhalten ihrer Benutzer zu antizipieren.

Cyberkriminelle nutzen ihre technischen Kenntnisse, um Menschen dazu zu bringen, auf Links zu klicken, Sicherheitslücken auszunutzen oder durch soziale Manipulation (Social Engineering) die erforderlichen Informationen für einen Angriff zu erhalten. Diese Täter arbeiten nicht unbedingt in dunklen Kellern und ernähren sich von Fastfood, sondern operieren oft wie reguläre Unternehmen, ohne sich an gesetzliche Vorschriften halten zu müssen.

Der Kampf gegen Cyberkriminelle ist eine Herausforderung. IT-Spezialisten müssen rund um die Uhr aufmerksam sein, während die Täter den Zeitpunkt ihrer Angriffe bestimmen können. IT-Spezialisten können nur Maßnahmen gegen bekannte Sicherheitslücken ergreifen, während Täter unbekannte Schwachstellen (Zero-Day-Lücken) ausnutzen. Während IT-Spezialisten an Regeln und Gesetze gebunden sind, haben Täter die Freiheit, unkonventionelle Methoden anzuwenden. Zudem stehen IT-Spezialisten oft im Konflikt mit Mitarbeitern, da neue Sicherheitsmaßnahmen als belastend empfunden werden.

Die Technologie entwickelt sich jedoch schnell weiter und die Rechenleistung steigt kontinuierlich, was tägliche Anpassungen der IT-Sicherheitsmaßnahmen erfordert. Neue Bedrohungen tauchen häufig auf und bevor Maßnahmen vollständig implementiert oder reguliert sind, haben sich die Angriffsstrategien der Täter bereits weiterentwickelt. Insbesondere politische Maßnahmen benötigen Zeit, wodurch Täter ihre Methoden mehrfach ändern können, ehe Regelungen greifen. Zusätzlich zu diesen Entwicklungen kommen verschiedene gesetzliche Regelungen wie NIS2 (Netzwerk und Informationssicherheit), KI-Verordnung und DORA (digitale operationale Resilienz im Finanzsektor) hinzu, die bei einigen Unternehmen Überlegungen auslösen, ihre Aktivitäten ins Ausland zu verlagern.

Künstliche Intelligenz (KI) ist derzeit ein viel diskutiertes Thema und wird oft als neue Erfindung wahrgenommen, obwohl dies nicht zutrifft. 1936 legte der britische Mathematiker Alan Turing mit seiner „Turing-Maschine“ den Grundstein für die KI. Mit dieser Rechenmaschine zeigte er, dass solche Maschinen kognitive Prozesse ausführen könnten. 1956 entstand der Begriff „Künstliche Intelligenz“ auf einer Konferenz am Dartmouth College im US-Bundesstaat New Hampshire, geprägt durch den Programmierer John McCarthy. 1966 wurde der erste Chatbot entwickelt, der mit Menschen kommunizieren konnte. Heutzutage nutzen auch Kriminelle KI, um beispielsweise Phishing-E-Mails professioneller zu gestalten oder Hacking-Programme zu erstellen. Insbesondere erhalten Amateure dadurch mächtigere Werkzeuge.

Es ist dennoch möglich, das Leben von Tätern durch geeignete Sicherheitsmaßnahmen erheblich zu erschweren. Täter bevorzugen leichte Opfer und wenden sich häufig anderen Zielen zu, wenn umfangreiche Schutzmaßnahmen vorhanden sind. Mit den folgenden Hauptsäulen der IT-Sicherheit kann deren Vorgehen effektiv behindert werden.

1. Aktualisierungen und Passwortsicherheit

Eine Aktualisierung bedeutet, dass eine Sicherheitslücke entdeckt wurde, die schnell geschlossen werden muss. Wenn dies nicht geschieht, können Angreifer diese Lücken nutzen und in das System eindringen. Ähnlich wie man beim Verlassen des Hauses Fenster und Türen schließt, sollten Sicherheitsaktualisierungen ernst genommen werden. Jedoch wird häufig, wenn eine Meldung auf dem Bildschirm erscheint, „Später“ ausgewählt, statt sofort zu aktualisieren. Untersuchungen zeigen, dass mehr als die Hälfte der erfolgreichen Cyberangriffe darauf zurückzuführen sind, dass notwendige Aktualisierungen nicht durchgeführt wurden.

Halten Sie ein 8-stelliges Passwort mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen für sicher? Leider trifft das nicht mehr zu. Dank fortschrittlicher Technologien, einschließlich künstlicher Intelligenz, kann ein System ein solches Passwort in nur einer Sekunde entschlüsseln. Ein 11-stelliges Passwort lässt sich derzeit innerhalb von vier Tagen knacken. Ein ausreichend sicheres Passwort sollte heute mindestens 13 Zeichen umfassen, da es einem System dann 47 Jahre dauert, dieses zu entschlüsseln. Bei einem 14-stelligen Passwort beträgt die Zeitspanne etwa 3000 Jahre. Es ist jedoch anzumerken, dass dies lediglich den aktuellen Zustand widerspiegelt.

Wenn Unternehmen und Anbieter, bei denen viele Nutzer registriert sind, gehackt werden, werden die Zugangsdaten häufig im Darknet veröffentlicht. Dort können die Benutzernamen und Passwörter vollständig eingesehen werden. Daher reicht ein sicheres Passwort allein nicht aus. Wenn Sie für verschiedene Anwendungen dasselbe Passwort verwenden, haben Täter die Möglichkeit, vollständige Kontrolle über Ihre Informationen zu erlangen. Es ist daher unerlässlich, für jede Anwendung unterschiedliche Passwörter zu verwenden. Aber wie können wir alles im Kopf behalten?

Ein Passwort-Manager kann helfen, unterschiedliche Passwörter für verschiedene Konten zu verwenden, ohne sich diese merken zu müssen. Der Manager vergibt für jedes Konto ein individuelles Passwort, das bis zu 30 Zeichen lang sein kann. Alternativ kann man die Zwei-Faktor-Authentifizierung (2FA) nutzen. Hierbei wird ein zusätzlicher Code benötigt, der per SMS, App oder Authenticator (z.B. Yubikey oder TAN-Generator) generiert wird. Dieser Code ändert sich regelmäßig. Selbst wenn jemand Ihre Zugangsdaten kennt, kann er ohne diesen zusätzlichen Code keinen Zugriff erhalten.

2. Sensibilisierung der Mitarbeiterinnen und Mitarbeiter (Awareness)

Nur wenn man die Gefahren kennt, kann man sich auch dagegen schützen. Daher müssen die Mitarbeiter in regelmäßigen Abständen mit neuen Sachen und Wiederholungen der alten Sachen, sensibilisiert und informiert werden. Insbesondere durch eine Anti-Phishing-Training können die Mitarbeiter trainiert werden, um Phishing E-Mails erkennen zu können.

90 % der Cyberangriffe beginnen mit einer Phishing-Mail. Das Erkennen einer Phishing-Mail kann daher viele Angriffe verhindern. Wenn alle Personen ihre E-Mails mit einem digitalen Zertifikat signieren würden, hätten Phishing-E-Mails keine Chance. Verschlüsselte Kommunikation würde zudem helfen, damit die Täter die Kommunikation nicht überwachen können.

Eine weitere Methode ist die Erstellung einer E-Learning-Plattform, auf der Mitarbeiter das ganze Jahr über verschiedene Szenarien lernen können. Um die Motivation zu erhöhen, könnten Punkte oder Trophäen für abgeschlossene Szenarien vergeben werden. Am Jahresende könnten Mitarbeiter mit 95+ Punkten einen freien Tag oder besondere Geschenke wie Gutscheine erhalten.

Wie bei einer Brandübung kann auch ein Cybercrime-Fall simuliert werden, um zu prüfen, ob alle Maßnahmen funktionieren, z.B. ob die Backup-Festplatten einsatzbereit sind. Ein präventives Notfall-Management ist wichtig, um zu wissen, welche Schritte im Ernstfall zu unternehmen sind und welche Behörden informiert werden müssen.

3. End Point Security

Ein Antivirus-Programm allein reicht heute nicht mehr aus. Netzwerksicherheit erfordert Anomalie-Erkennung und Netzwerksegmentierung, wie XDR (Extended Detection and Response) und MDR (Managed Detection and Response). Bei MDR lagern Unternehmen ihre IT-Sicherheitsaufgaben an Dienstleister aus, die Technologie vor Ort installieren und externe Dienste anbieten. XDR erfasst und korreliert Daten automatisch auf verschiedenen Ebenen – E-Mail, Endpunkt, Server, Cloud und Netzwerk – für schnellere Bedrohungserkennung und bessere Reaktionszeiten.

In der heutigen Zeit sind nahezu alle IT-Probleme grundsätzlich lösbar. Warum haben Cyberkriminelle dennoch Erfolg? Dies liegt oftmals an menschlicher Nachlässigkeit oder mangelndem Bewusstsein für die Gefahren. Jeder Mensch besitzt schützenswerte Informationen, wie Zugangsdaten zu Dienstleistern, Kreditkartennummern oder persönliche Daten, die als besonders wertvoll betrachtet werden sollten. Aus diesem Grund ist das Prinzip der „Datensparsamkeit“ auch eine Säule für eine effektiven IT-Sicherheitsstrategie.