Koblenz. Computerviren, Spyware, „Trojaner“ und andere Infektionen aus den Weiten des Internets verursachen jährlich immens hohe wirtschaftliche Schäden (in Deutschland etwa sechzig Milliarden Euro), oftmals begleitet von einem ruinösen Imageverlust für die Betroffenen. Fast jeder zweite Computer weltweit wurde schon einmal mit Hilfe von Schadsoftware angegriffen.

Cyberkriminalität ist zu einem echten Wirtschaftszweig geworden, in dem weltweit mehr Umsatz gemacht wird als auf dem Drogenmarkt.

Ein Beispiel ist der spektakuläre Cyber-Angriff mit dem Schadprogramm „WannaCry“, bei dem im Mai 2017 über 230.000 Computer in 150 Ländern infiziert wurden, um Lösegeld zu fordern – und zu kassieren. Dass diese Attacke so „erfolgreich“ verlief, war vor allem extrem fahrlässigem Handeln geschuldet. Denn die „Opfer“ hatten ein Sicherheits-Patch der Firma Microsoft nicht eingespielt, so dass die Angriffe ungehindert durch die bestehenden Schwachstellen eindringen konnten. Neben der Anzahl der Attacken steigt auch die Zahl der bekannten Varianten von Schadsoftware (Malware). Laut Bundesamt für Sicherheit und Informationstechnik existierten im August 2016 mehr als 560 Millionen Schadprogramme. Das stellt ein riesiges Problem sowohl für private Anwender als auch für die Informationstechnik (IT) in Unternehmen dar.

Vielfach nur unzureichender Schutz

Wegen hoher Kosten und hohem Zeitaufwand, oder weil schlichtweg zu wenig Personal zur Verfügung steht, nehmen viele Unternehmen das Risiko eines Angriffs in Kauf und schützen sich nur unzureichend. Ein Aufrüsten erfolgt erst, wenn das Unternehmen selber von einem Hackerangriff betroffen war oder nach Bekanntwerden von großflächigen Cyber-Attacken.

Bei einem Interviewtermin raten Tim Schughart und Immanuel Bär, zwei IT-Spezialisten und legale Hacker aus Koblenz, zu proaktivem Handeln, um immense Schäden durch Betriebsausfälle oder Datenverlust zu vermeiden.

Doch was motiviert einen Hacker, in Systeme von Unternehmen einzudringen?

Mal sei es die sportliche Herausforderung, mal die Befriedigung von Rachegelüsten, aber in der Mehrzahl werde es schlichtweg als leichte Einnahmequelle betrachtet. Hacken ist allerdings kein Freizeitsport. Gemäß Strafgesetzbuch ist seit 1986 Computersabotage und die unbefugte Manipulation von Daten als spezielle Form der Sachbeschädigung zu ahnden. Schughart und Bär hab sich als sogenannte „White-Hats“ Ethik und Verantwortung auf die Fahne geschrieben. Als leidenschaftlicher „Gray-Hat-Hacker“, wie sich Schughart bezeichnet, strebt er an, Sicherheitslücken aufzuspüren – allein um die Aufmerksamkeit auf die Lücken zu lenken und den Handlungsbedarf aufzuzeigen. Leider, so Schughart, werden diese Hinweise oft genug ignoriert. Im Unterschied dazu sind die „Black-Hats“ mit krimineller Energie unterwegs, um Zielsysteme zu beschädigen oder Daten zu stehlen.

Entwicklung eines Studiengangs: „Hacken“ zum Beruf machen

Schughart und Bär bedauern, dass es nur wenige Studiengänge zum „Hacken“ gibt. An der Ruhr-Universität in Bochum ist dies jedoch bereits der Fall. Deshalb arbeiten sie jetzt an der Entwicklung eines solchen Studiengangs mit Hacker-Praktikum. Das Engagement in Sachen Ausbildung richtet sich nicht nur an leidenschaftliche Hacker, sondern auch an die Manager von morgen. Ein erster Schritt auf dem Weg ist eine Kooperation mit dem IHK-Lehrstuhl für kleine und mittlere Unternehmen an der „WHU – Otto Beisheim School of Management“. Im Rahmen von Gastvorträgen soll hier den Managern von morgen das Thema IT-Sicherheit als Teil der Unternehmensstrategie „unter das Lehrfutter gemischt“ werden.

Das Wissen müsse allerdings reflektiert genutzt werden. Es gelte, die Gewichtung der Risiken auszuloten und Risikoakzeptanzen zu schaffen, denn eine hundertprozentige Sicherheit gibt es nicht, sagt Bär, der mehr den Faktor Mensch im Visier hat, wenn es um IT-Sicherheit geht. „Social Engineering“ ist sein Thema. Die Wissenschaft beschäftigt sich mit den vielfältigen Techniken und Methoden, die der Täuschung und Manipulation durch Kommunikation dienen.

Wie man sich am besten schützt vor Cyber-Kriminalität, hänge letztlich von den Anwendern ab. Es müsse ein Sicherheitskonzept gefunden werden, das optimal auf ihren Umgang mit der Informationstechnik abgestimmt ist. Das gelte gleichermaßen für Unternehmen wie für private Anwender. Die Kombination aus einer guten Sicherheitssoftware, einer intelligenten Firewall und der regelmäßigen Installation von Software-Updates ist angeraten. Man müsse sich bewusst machen, dass letztlich jede Schnittstelle als Angriffsvektor von Hackern genutzt werden kann, sagt Schughart. Das kann das Mobilfunknetz genau so betreffen wie Funkverbindungen, zum Beispiel zur Autotür.

BSB