7 min
Lesezeit
![Auf dem Symbolbild ist eine digitaler Baum mit vielen geschlossenen Schlössern an den Astenden dargestellt]( "Cyber-Security-Tipps")
Künstliche Intelligenz trifft kriminelle Energie
Wie bedrohlich ist die weiter zunehmende Internetkriminalität für Unternehmen? Darüber diskutierten im Vorfeld des 2. Cybercrime-Kongresses Nord-Westfalen (12. März in Gelsenkirchen) IT-Sicherheitsexperten aus der Region. Die Fachleute warnen: Cyberkriminelle setzen immer öfter Künstliche Intelligenz ein, um ihre Ziele zu erreichen. | Text: Dominik Dopheide
Maßarbeit statt Massenmails: Kriminelle gehen immer raffinierter vor, um sich in die Unternehmensnetzwerke einzuschleichen und Mitarbeitende zu manipulieren. Diese Entwicklung beobachten alle Mitglieder des Expertennetzwerks „InfoSec“, zu dem sich IT-Sicherheitsprofis aus Wirtschaft und Wissenschaft unter Federführung der IHK Nord Westfalen und des IT-Forum Nord Westfalen zusammengeschlossen haben. Ein Top-Thema bei dem Online-Austausch war die wachsende Bedrohung durch neue Arten von CEO-Fraud-Attacken, eine Betrugsmasche, die auch als „Chef-Trick“ bekannt ist.
„Früher kamen nur E-Mails, jetzt melden sich die Angreifer mit der KI-generierten, perfekt imitierten Stimme der Chefin oder des Chefs per Messaging-Dienst oder Telefon“, erklärt Carsten Bieker, Mitglied der Expertenrunde und Geschäftsführer eines in Recklinghausen ansässigen IT-Unternehmens (zuBIT). Nach Biekers Erfahrungen sehen sich auch in der Emscher-Lippe-Region immer mehr Unternehmen solchen Attacken ausgesetzt. Die Kriminellen hätten zuvor in Social Media oder gehackten Mails die passenden Ansprechpartner recherchiert. Kommt zur Sprachnachricht noch eine E-Mail, ist diese mit Hilfe von KI akribisch vorbereitet worden. „Wenn überhaupt noch ein Rechtschreibfehler zu sehen ist, dann genau der, den der Chef auch machen würde“, sagt Bieker und fügt an: „Die Angreifer haben meist zudem die E-Mail-Adresse gefälscht oder die echte Adresse der Geschäftsführung gekapert“. Die vermeintliche Anweisung aus der Chefetage dreht sich fast immer um eine Finanztransaktion: Die Mitarbeiter werden unter Druck gesetzt, eine Überweisung an eine angeblich legitime Empfängerfirma auf den Weg zu bringen. Höchste Aufmerksamkeit für das Thema lohnt sich: Bieker kennt drei Beispiele aus seiner Arbeit, bei denen der „Chef-Trick“ ins Leere gelaufen ist.
Achtung Fake-Firmen!
Die Experten, die regelmäßig ihre Erfahrungen im Kampf gegen Internetkriminelle austauschen, sehen noch einen weiteren Trend: „Bei unseren Kunden nehmen die Betrugsversuche durch Scheinfirmen zu“, berichtet Bieker. Solche Attacken seien nur schwer zu entlarven, weil sie über Jahre hinweg mit einem Geflecht an Fälschungen vorbereitet werden. Somit verfügt die Fake-Firma scheinbar über Kontaktdaten, Website, Referenzen, Handelsregistereinträge, Umsatzsteuer-ID und Bonitätsnachweise.
Sie kontaktiert seriöse Lieferanten, gibt sich als neuer Geschäftspartner aus und reicht eine große Bestellung ein. „Die Waren werden an einem kurzfristig angemieteten Umschlagplatz entgegengenommen und sofort abtransportiert, die Fake-Firma verschwindet, Rechnungen bleiben unbezahlt, und die Spur der Täter verliert sich“, beschreibt Bieker den Ablauf eines sogenannten Fake-Supplier-Frauds. Keinen Zweifel hat er daran, wer in der Regel hinter den aufwendigen Fraud-Betrugsmaschen steckt: die organisierte Kriminalität.
Diese Größenordnung der Gefahr aber werde noch in vielen kleineren und mittelständischen Unternehmen unterschätzt, weiß Marian Corbe, Geschäftsführender Gesellschafter eines Unternehmens für Informationssicherheit aus dem Ruhrgebiet (RST Informationssicherheit GmbH, Essen). „Es gibt eine große Lücke zwischen der tatsächlichen Großwetterlage der Cyberkriminalität und der subjektiven Wahrnehmung in diesen Firmen“, betont er. Staatliche orchestrierte hybride Angriffe, organisierte Kriminalität, 200 Milliarden Euro Cyberschaden am Standort Deutschland: Dieses Bedrohungsszenario sei für viele Unternehmen zu abstrakt, um erforderliche Schutzkonzepte aufzubauen.
Oft fehle zudem das Budget, um Top-IT-Fachkräfte zu beschäftigen. Auch reichten technische Kenntnisse in der aktuellen Bedrohungslage längst nicht mehr aus. „Es geht um strukturiertes Risikomanagement, das vielfältige organisatorische, personelle und technische Maßnahmen beinhaltet“, erklärt Corbe. Carsten Bieker zählt die wichtigsten auf: „Technische Elemente sind beispielsweise ein geprüftes Backup, Monitoring, Systemupdates, regelmäßige Schwachstellentests, E-Mail-Sicherheit und Schutz vor Malware, und organisatorisch muss ich mich um Awareness, Schulungen und Sensibilisierung kümmern“. Wer das alles in ein ganzheitliches Managementsystem integriere, und zum Beispiel ein vorhandenes QM-System um das Thema IT-Sicherheit erweitere, mache Sicherheit messbar und könne sie kontinuierlich verbessern. Aber insbesondere kleinere und mittlere Unternehmen benötigen hier in der Regel externe Unterstützung.“ Diese Leistungen müssten kleinere und mittlere Unternehmen in der Regel zugkaufen. „Doch halten sich immer noch viele KMU mit Ausgaben für die Vorsorge zurück“, hat Marian Corbe festgestellt.
Anders sei die Lage in großen Unternehmen, zumal künftig in vielen die EU-Richtlinie NIS2 erfüllt werden muss. Dass sich die Umsetzung dieses Regulariums in deutsches Recht verzögert, schaffe allerdings Unsicherheit und führe somit zum Aufschub von Investitionsentscheidungen in den Firmen, bedauert Corbe. Die NIS2-Richtline, die auf EU-Ebene 2022 beschlossen worden ist, hätte spätestens im Oktober 2024 eins zu eins in deutsches Recht umgesetzt werden müssen, so die einhellige Meinung in der Expertenrunde. Das Regularium stellt Sicherheitsanforderungen für Unternehmen der kritischen Infrastruktur, aber auch für Firmen, die als „wichtige Einrichtungen“ klassifiziert werden und in Branchen wie beispielsweise Chemie, Transport und Verkehr, Maschinenbau sowie Abfallwirtschaft tätig sind. Schätzungen zufolge sind in Deutschland etwa 30.000 Unternehmen betroffen, sagt Carsten Bieker, um dann die Kriterien der Klassifizierung zu nennen „Besonders wichtige Einrichtungen" sind Unternehmen mit mindestens 250 Mitarbeitern oder einem Jahresumsatz von mehr als 50 Millionen Euro und einer Bilanzsumme von über 43 Millionen Euro. „Wichtige Einrichtungen" sind Unternehmen mit mindestens 50 Mitarbeitenden oder einem Jahresumsatz von mehr als zehn Millionen Euro und einer Bilanzsumme von mehr als zehn Millionen Euro. „Unternehmen, die in diese Kategorien fallen, müssen jetzt Maßnahmen wie Cybersicherheitsrichtlinien, Risikomanagement, Vorfallmanagement und die Sicherstellung der Geschäftskontinuität umsetzen“, erklärt Bieker. Für ihn ein entscheidender Punkt: „Die Geschäftsführung haftet, was dazu führt, dass sie sich mit IT-Sicherheit beschäftigen müssen“, begrüßt er die Richtlinie.
Osten klopft an
IT-Sicherheit zur Chefsache machen: Dafür ist es höchste Zeit, wie ein Blick auf den Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt. Demnach ist die Zahl der Cyberangriffe weltweit und insbesondere in Deutschland deutlich angestiegen. So wurden im Zeitraum von Mitte 2023 bis Mitte 2024 täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt – ein Anstieg von 26 Prozent im Vergleich zum Vorjahr. Stephan Kulbatzki kann die Entwicklung bestätigen. Der Geschäftsführer der in Gelsenkirchen ansässigen Stölting Service Group – ein Anbieter von Leistungen in den Bereichen Sicherheit, Personal und Reinigung mit mehr als 14.000 Mitarbeitenden – ist unter anderem für die Unternehmens-IT verantwortlich. Bis zum Beginn des Krieges in der Ukraine habe rund 200-mal pro Minuten eine IP-Adresse an der Stölting-Firewall angeklopft, sagt Kulbatzki. Danach sei die Frequenz sprunghaft auf ca. 5000 angestiegen. „Das hat definitiv einen Zusammenhang mit der weltpolitischen Lage. Wir können analysieren, dass diese Angriffsversuche überwiegend aus Ländern kommen, die östlich von Deutschland liegen“, sagt Kulbatzki. Über die Abwehrstrategie seines Unternehmens berichtet der Manager ausführlich auf dem 2. Cybercrime-Kongress Nord-Westfalen am 12. März im Hans-Sachs-Haus in Gelsenkirchen.
Auch Carsten Bieker weiß: „Staatliche Akteure greifen im Zuge der Konflikte und Kriege die westliche Welt und deren Wohlstand an“. Sein Fazit: Die Angriffswellen werden immer zahlreicher und werden automatisiert, mit hoher krimineller Energie vorgetragen. Viele Unternehmen der Region hätten das erkannt, andere aber betrieben ihre IT leider noch fahrlässig. Er empfiehlt KMU, bis zu zehn Prozent des Gesamt-IT-Budget für die Sicherheit einzuplanen, dabei Fördermöglichkeiten zu nutzen und, als ersten Schritt, ein externes Audit oder einen Cyber-Risiko-Check nach DIN SPEC 27076 machen zu lassen.
Für den Einstieg in das Thema weist die IHK Nord Westfalen auf ihrer Website auf eine Reihe von kostenlosen Angeboten für kleine und mittlere Unternehmen (KMU) hin. Für KMU mit Sitz in Nordrhein-Westfalen etwa ist das „Kompetenzzentrum für Cybersicherheit in der Wirtschaft DIGITAL.SICHER.NRW.“ Anlaufstelle in allen Belangen der digitalen Sicherheit. Das Kompetenzzentrum bietet Webinare, Veranstaltungen und Sprechstunden und stellt Informationsmaterialien zur Verfügung. Der CYBERsicher Check der bundesweiten „Transferstelle Cybersicherheit im Mittelstand“ ermöglicht laut IHK eine fundierte Bestandsaufnahme der aktuellen Sicherheitslage im Unternehmen: Durch die Beantwortung gezielter Fragen zu den Themen Datenschutz, Datensicherung, Informationssicherheit, IT-Systeme, Schulungen und Verantwortlichkeiten ermittelt das Tool automatisch Optimierungspotenziale und konkrete Maßnahmen für mehr Sicherheit im Unternehmen. Und natürlich erläutert auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seinen Internetseiten die Basiselemente der Cyber-Sicherheit für KMU.
Kontakt
Redaktion Wirtschaftsspiegel