Sie haben in einer Versammlung des Fachverbandes Garten-, Landschafts- und Sportplatzbau Berlin und Brandenburg über Cybercrime informiert – wie kam der Kontakt zustande?

Denny Speckhahn: Die Zentrale Ansprechstelle Cybercrime, kurz ZAC, der Polizei Brandenburg hat unter anderem die Aufgabe der Spezialprävention im Bereich Cybercrime bei Unternehmen, Behörden und Institutionen. In diesem Zusammenhang erreichen uns auch immer wieder Anfragen für etwaige Vorträge bei Veranstaltungen. So kontaktierte uns auch der Geschäftsführer des Fachverbands Garten-, Landschafts- und Sportplatzbau Berlin-Brandenburg, als dieser einen Referenten zum Thema Cybercrime für die Mitgliederversammlung suchte.

Sie befassen sich mit Cybercrime – was versteht man darunter und welche Formen gibt es?

Speckhahn: Cybercrime umfasst ganz allgemein alle Straftaten, die sich gegen das Internet, Datennetze, IT-Systeme oder deren Daten richten oder unter Verwendung dieser begangen werden. Dies bedeutet, dass es einerseits Straftaten gibt, die sich explizit gegen IT-Systeme richten, wie das Ausspähen von Daten oder die Datenveränderung. Auf der anderen Seite gibt es auch Straftaten, die mithilfe von IT-Systemen begangen werden, wie zum Beispiel Betrugsstraftaten im Internet oder Urheberrechtsverletzungen.

Wie verbreitet ist Cybercrime?

Speckhahn: Im Grunde gibt es kaum noch eine Straftat, die nur noch im analogen Raum stattfindet. Insofern ist der Begriff Cybercrime sehr weitreichend definiert. Hinzu kommt, dass die Veränderungen und Entwicklungen im Bereich von Cybercrime im Vergleich zu anderen Deliktsbereichen deutlich rasanter und flexibler voranschreiten.

Welche Betrugsmaschen beobachten Sie besonders oft bei kleinen und mittelständischen Betrieben – speziell im Garten- und Landschaftsbau?

Speckhahn: Eine speziell auf den Garten- und Landschaftsbau ausgelegte Betrugsmasche konnten wir bislang nicht feststellen. Davon unberührt bleibt aber das allgemeine Risiko für kleine und mittelständische Unternehmen. Diese haben in der Regel nicht die finanziellen Mittel wie Großunternehmen, sich vollumfänglich gegen Cybercrime-Delikte oder Straftaten über das Internet zu schützen.

Ein Fall aus München sorgte für Schlagzeilen: Bei einem Cyber-Angriff erbeuteten Hacker 100.000 Euro durch falsche Baurechnungen. Können Sie uns Beispiele für Betrügereien nennen?

Speckhahn: Seit einiger Zeit tritt vor allem das Phänomen des so genannten „Payment Diversion Fraud“ bei Unternehmen jeglicher Größe und Branche auf. Dabei gelingt es den Tätern, in bestehende Handelsgeschäfte einzugreifen und in diesem Zusammenhang ausgestellte Rechnungen zu verändern. Dies schaffen die Täter auf unterschiedliche Art und Weise. So werden öffentliche Ausschreibungen verwendet, um Kenntnis von Geschäftsbeziehungen zwischen Unternehmen, Behörden etc. zu erlangen. Bei einem anderen Modus Operandi wird im Namen eines Geschäftspartners eine E-Mail an das Unternehmen geschrieben und um die Übermittlung offener Rechnungen gebeten. Diese Rechnungen werden dann verändert und dann im Namen des Rechnung ausstellenden Unternehmens an den eigentlichen Rechnungs-Empfänger gesandt. Da das Unternehmen in der Regel tatsächlich eine Rechnung erwartet, ist bei solchen Fällen das Gefahrenpotenzial groß.

Welche Fallen gibt es noch?

Speckhahn: Auch stellt der so genannte CEO-Fraud, bei dem sich die Täter als Vorgesetzter (engl.: CEO) ausgeben, seit Jahren ein immer wieder auftretendes Phänomen dar. Hierbei werden Mitarbeitende von vorgeblichen Vorgesetzten unter einem Vorwand kontaktiert und um eine zeitnahe Übermittlung von Gutscheincodes für Geschenkkarten oder Überweisungen im Namen des Unternehmens gebeten. Weiterhin nehmen wir auch immer wieder Anzeigen auf, bei denen Unternehmen im Rahmen eines Insolvenzverfahrens ein vermeintliches Angebot annehmen und im Voraus eine entsprechende Zahlung leisten. In der Regel existiert weder das Insolvenzverfahren noch der Insolvenzverwalter. Bei diesen Phänomenen haben die Täter tatsächlich Zugriff auf die echten E-Mail-Adressen des Versenders oder registrieren Domains, die der korrekten Domain täuschend ähnlich sehen und bei denen zum Beispiel lediglich zwei Buchstaben vertauscht sind. Aber auch die simple Verwendung der korrekten E-Mail-Signatur führt nach unseren Erfahrungen bereits zum Taterfolg, wenn auch die E-Mail von einer ganz anderen E-Mail-Adresse versandt wurde.

Schließlich werden uns auch immer wieder Sachverhalte bekannt, bei denen Personalabteilungen vorgeblich von Mitarbeitenden kontaktiert werden mit der Bitte, das Gehaltskonto kurzfristig ändern zu wollen. Manchmal reichen wenige E-Mails aus, bis die Kontoverbindung geändert wird. Und der tatsächliche Mitarbeitende bemerkt dies erst, wenn das Geld bei diesem nicht wie gewohnt eingeht.

Gibt es typische Muster oder Schwachstellen, die Täter verstärkt ausnutzen?

Sichere Passwörter sind vermutlich auch ein Thema, oder?

Speckhahn: Natürlich, das Thema ist ein entscheidender Part. Ein Passwort sollte nicht nur den gängigen Sicherheitsstandards zum Beispiel des Bundesamtes für Sicherheit in der Informationstechnik entsprechen, sondern auch möglichst mit einem zusätzlichen Faktor abgesichert sein. Damit Täter nicht sofort Zugang zum System erhalten, wenn sie das Passwort erraten oder ausspähen.

Inwiefern sind die Gefahren durch die Künstliche Intelligenz (KI) gestiegen?

Speckhahn: Im Prinzip lässt sich alles, was zuvor durch Täter manuell gemacht wurde, nunmehr auch mithilfe Künstlicher Intelligenz umsetzen – nur schneller, individueller oder mit noch weniger Vorwissen durch den Verwender. Auf der anderen Seite nutzen auch die Akteure der Cybersicherheit diese Technologien, um sich vor Angriffen zu schützen.

Wie verändert die Digitalisierung in GaLaBau-Betrieben das Risiko für Cyberangriffe?

Speckhahn: Das verhält sich ähnlich wie mit der KI. Die Digitalisierung bietet Gefahren, aber auch Chancen für die Wirtschaft und öffentliche Einrichtungen. Inwiefern dadurch das Risiko für Cyberangriffe bei GaLaBau-Betrieben beeinflusst wird, kann hier nicht beurteilt werden. Es bleibt jedoch das allgemeine Risiko bei der Digitalisierung. Dies bedeutet, dass Hard- und Software ausfallen kann, egal ob durch böswillige Angriffe, aufgrund eines technischen Defekts oder durch (unbeabsichtigte) fehlerhafte Handhabung. Auch sollte bereits bei der Installation berücksichtigt werden, dass solche Komponenten regelmäßig gewartet werden müssen.

Wie gravierend können die wirtschaftlichen Schäden für Betriebe sein, wenn sie auf Kriminelle reinfallen?

Speckhahn: Das ist individuell verschieden und hängt stark vom konkreten Einzelfall ab. Die Folgen einer Verschlüsselung sämtlicher Daten ohne funktionierendes Backup kann genauso fatal sein, wie die Überweisung einer Summe an eine falsche Bankverbindung. Dies hängt immer von der Größe des Betriebs und der konkreten Schadenssumme ab, aber im Grunde erstrecken sich die Folgen von einem Ärgernis mit geringem oder gar keinem finanziellen Schaden bis zu einem Schaden, den ein Unternehmen nicht mehr stemmen kann. Außer einem möglichen direkten wirtschaftlichen Schaden kommen möglicherweise auch Reputations-Verluste hinzu, die langfristig zu Umsatzeinbußen führen können.

Woran erkennen GaLaBau-Betriebe Betrugsmaschen?

Speckhahn: Dies kommt auf das konkrete Phänomen, den konkreten Sachverhalt an und unterliegt einem ständigen Wandel. Es gibt daher keine Methode, mit der sich immer alle Betrugsmaschen erkennen lassen. Grundsätzlich hilft es schon, wenn die Verwender die unterschiedlichen Phänomene kennen und daher ein gewisses Bewusstsein für solche Taten haben. Ganz allgemein sollte bei jeder (Rechnungs-) E-Mail geprüft werden, ob der Inhalt, Versandzeitpunkt, Absender etc. plausibel sind. So kann eine ungewöhnliche oder unbekannte E-Mail-Adresse genauso einen Hinweis liefern wie die Uhrzeit, wann eine E-Mail übersandt wurde.Auch sollte bei jeder Änderung von Bankdaten bei bekannten Kunden eine gewisse Skepsis herrschen und in solchen Fällen die Änderung geprüft werden. Selbst wenn die Täter regelmäßig durch geschickte Kommunikation vermeintliche Eile suggerieren, sollten sich E-Mail-Empfänger zu keinen vorschnellen Aktionen bewegen lassen.

Wie schützt man sich gegen solche Angriffe?

Speckhahn: Einen hundertprozentigen Schutz wird es nicht geben! Man kann nur versuchen, eine Vielzahl an unterschiedlichen Maßnahmen zu treffen. Dazu gehören technische Absicherung und Wartung der Hard- und Software ebenso wie eine kontinuierliche Schulung der Mitarbeitenden. Außerdem sollten IT-Sicherheitskonzepte entwickelt und stetig angepasst werden. Dazu zählen banale Dinge wie die Länge und Komplexität der Passwörter oder in welchen Zyklen diese geändert werden müssen. Hier kann der Einsatz von Passwortmanagern zur Vermeidung von Mehrfachnutzungen des gleichen Passwortes beitragen. Einen größeren Zugewinn an Passwortsicherheit, bei korrekter Implantierung, bringt der Einsatz einer Zwei- oder Mehr-Faktor-Authentifizierung. Weiter gibt es auch technische Mittel, E-Mail-Kommunikation zu schützen. Hierzu zählen neben der eigentlich seit Jahren verfügbaren E-Mail-Verschlüsselung auch Funktionen wie DKIM oder DMARC.

Was sollten Firmen beachten, wenn sie Rechnungen begleichen?

Speckhahn: Bei der Bezahlung von Rechnungen sollten Unternehmen klare Regeln aufstellen, ab welcher Summe zum Beispiel eine weitere Person die Zahlung begleiten oder autorisieren muss. Weiter sollten vor allem auch bei Änderungen von bekannten Bankdaten, etwa bei wiederkehrenden Kunden, klare Mechanismen aufgestellt werden – also wie in solchen Fällen vorgegangen wird. Die Richtigkeit neuer Daten lässt sich zum Beispiel durch einen Anruf prüfen.

Sie sprachen bereits die Schulung von Mitarbeitern an – wie wichtig ist das?

Speckhahn: Prävention ist immer besser als die Beseitigung von Schäden – diese zu vermeiden gelingt nur zusammen mit den Mitarbeitenden eines Unternehmens. Denn sie sind es, die den USB-Stick verwenden oder die E-Mail öffnen und sich dabei der Gefahren bewusst sein sollten. Deshalb empfiehlt es sich, immer wieder präventive Schulungen durchzuführen. Sei es anlassbezogen oder mit Blick auf neue Erscheinungsformen. Cyberangriffe gelingen nicht immer, weil die Technik versagt, sondern weil im Alltag schnell eine falsche Entscheidung getroffen wird. Der Anhang einer E-Mail wird kurz geöffnet, eine Rechnung schnell bezahlt oder ein Anruf nicht hinterfragt. Darum sind geschulte Mitarbeitende der beste Schutz. Wer weiß, worauf geachtet werden muss, erkennt einen Betrugsversuch früher und verhindert einen Schaden.

Wie lässt sich das umsetzen?

Speckhahn: Es reicht oft, schon einmal im Monat oder im Quartal kurz über aktuelle Betrugsmaschen zu sprechen, zum Beispiel in der morgendlichen Teambesprechung. Zehn bis 15 Minuten genügen völlig, um allen ein besseres Gefühl für solche Situationen zu geben. Am besten nimmt man Beispiele aus dem eigenen Unternehmen: E-Mails, die verdächtig aussahen oder betrügerische Rechnungen. Das macht das Thema greifbar und sorgt dafür, dass alle aufmerksam bleiben. Regelmäßige Erinnerungen und Aufklärung sind oft der wirksamste Schutz gegen moderne Betrugsversuche, auch die, die mit künstlicher Intelligenz erstellt werden. Und, ganz wichtig: Jeder einzelne im Team ist Teil des Ganzen. Wenn einer einen falschen Klick macht, hat unter Umständen das ganze Unternehmen mit den Folgen zu tun.

Wann sollte ein Betrieb im Falle eines Cyberangriffs oder Verdachtsfalls die Polizei einschalten?

Speckhahn: Ein Unternehmen sollte die Polizei einschalten, wenn ein Angriff oder ein ernstzunehmender Verdacht auf eine Straftat vorliegt – und zwar möglichst früh, vor allem bei Erpressung, Datenabfluss oder erheblichen Beeinträchtigungen des Betriebes. Idealerweise kontaktieren Unternehmen dabei die Zentrale Ansprechstelle Cybercrime (ZAC). Das Team hier besteht aus fachkundigem Personal, das beratend tätig wird und gegebenenfalls Erstmaßnahmen empfehlen kann und durchführt. Auch können sich Verantwortliche an die ZAC wenden, wenn sie sich unsicher sind, wie sie ein Ereignis oder einen Sachverhalt einordnen sollen. Sollte das nicht möglich oder gewünscht sein, können Strafanzeigen auch über die Internetwache oder in der nächsten Polizeiwache erstattet werden. Wer keine Strafanzeige erstatten, aber der Polizei beispielsweise eine Phishing-E-Mail zukommen lassen möchte, kann diese an die von der Polizei Niedersachsen betriebene E-Mail-Adresse trojaner@polizeilabor.de weiterleiten. Durch die Übersendung der erhaltenen Phishing E-Mails erhalten wir einen Überblick über neue Betrugsmaschen. Das Wichtigste ist, sofort zu handeln, sobald man etwas Verdächtiges bemerkt – denn bei Cybercrime-Delikten sind oftmals zeitsensible Spuren vorhanden, die nur für kurze Zeit verfolgt werden können.

Wie unterstützt das LKA betroffene Unternehmen konkret?

Speckhahn: Das LKA beziehungsweise viel mehr die ZAC fungiert für Unternehmen als Single-Point-of-Contact. Im Falle des Verdachtes eines IT-Sicherheitsvorfalls. Hier wird die ZAC beratend tätig und unterstützt bei der Einordnung des Sachverhalts. Sollte sich dabei ein Anfangsverdacht einer Straftat herausstellen, werden von dort alle Erstmaßnahmen für die Strafverfolgung getroffen und die Unternehmen bei der Bewältigung der Lage unterstützt. Weiter hat die ZAC auch den Auftrag der Spezialprävention in Sachen Cybercrime und trägt so dazu bei, dass solche Vorfälle gar nicht erst eintreten.

Welche Entwicklungen im Bereich Cybercrime werden in den nächsten Jahren relevant für die grüne Branche?

Und international?

Speckhahn: Die Bekämpfung von Cybercrime muss sich ständig den internationalen Herausforderungen – Ländergrenzen, unterschiedliche Gesetze, Internationalität der Täter – stellen. Daher hat sich der Fokus im Landeskriminalamt Brandenburg ein wenig verschoben. Es ist mitunter viel effektiver, die Infrastruktur der Täterschaft nachhaltig abzuschalten als die aufgrund der oben genannten Gründe meist aussichtslose Verfolgung des einzelnen Täters im Ausland. Dies ist uns zum Beispiel in der letzten Woche erfolgreich gelungen. Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Landeskriminalamt Brandenburg haben die in Deutschland befindliche Serverinfrastruktur des Cybercrime-Dienstes „RedVDS“ beschlagnahmt und die Plattform abgeschaltet. Durch über 13.000 „RedVDS“-Nutzer wurden unter anderem professionell organisierte Betrugsstraftaten und Hackerangriffe mittels gefälschter oder kompromittierter E-Mail-Kommunikation durchgeführt, die sich auch gegen eine Vielzahl von Unternehmen und Behörden in Deutschland richteten.

Lesen Sie auch: