Cybercrime: „Der Mensch ist die Schwachstelle“

„Wenn Sie heute eine Serverattacke starten wollen, ist Google Ihr Freund“, sagt Cybercrime-Experte Philipp Amann.
„Wenn Sie heute eine Serverattacke starten wollen, ist Google Ihr Freund“, sagt Cybercrime-Experte Philipp Amann.Katharina Roßboth
  • Drucken

Digital. Philipp Amann kennt die Muster der Hacker. Der Strategiechef des Cyber Crime Centres von Europol sieht, wie Kriminelle im Netz immer professioneller agieren. Firmen sollten ihre IT nachrüsten und vor allem die Mitarbeiter schulen.

Die Presse: Wie gut sind Firmen für Cyberangriffe gerüstet?

Philipp Amann: Wenn man sich die Entwicklungen ansieht, hat man den Eindruck, dass viele Firmen nicht so vorbereitet sind, wie sie es sein sollten. Was wir auch sehen, ist eine Industrialisierung der Cyberkriminalität. Die Idee, dass jemand mit Kapuzenpullover im Keller sitzt und eine Schadsoftware entwickelt, stimmt nicht mehr. Es sind professionelle Gruppen mit eigenem CEO und Kundenservice, die ihre Dienste und Werkzeuge im Internet anbieten.


Im gut verborgenen Darknet?

Ja, aber auch im frei zugänglichen Teil des Internets. Wenn Sie heute eine Serverattacke starten wollen, ist Google ihr Freund. Es ist relativ einfach, die Werkzeuge zu mieten oder zu kaufen. Das organisierte Verbrechen hat das Internet als Raum für seine Machenschaften entdeckt. Die Cyberkriminalität ist per Definition grenzenlos. Ich kann mit einem Angriff anders als beim klassischen Bankraub, wo ich vor Ort sein muss, viele potenzielle Opfer treffen. Die steigende Zahl an vernetzten Geräten bietet den Kriminellen immer mehr Angriffspunkte. Das schafft eine Situation, wo die Firmen, die Industrie und die Banken noch stärker gefordert sind. Unternehmen müssen ihre Angriffsflächen und Schwachstellen kennen.


Die Server stehen in bestimmten Ländern. Aber kann ich die Angreifer geografisch festmachen?

Das ist die Hauptherausforderung: Wie stelle ich fest, wer hinter einem Angriff steckt? Vor allem wenn Verbrechergruppen Anonymisierungsnetzwerke missbrauchen? Die Kooperation bei den Guten – den Firmen und Behörden – funktioniert oft nicht so gut wie bei der Gegenseite. Kriminelle Netzwerke haben keine Einschränkungen, global zu kooperieren, vor allem keine rechtlichen. Cyberkriminalität ist ein Bereich, wo kein Land, keine Firma oder Polizei alleine kämpfen kann. Es braucht Kooperation, weil jeder einen Puzzleteil sieht.


Auf welche Angriffe müssen sich Firmen vorbereiten? Aktuell ist der „CEO Fraud“ beliebt, wo sich die Betrüger als Chefs ausgeben.

Man sieht hier stark, dass der Mensch eine große Schwachstelle in der Cybersicherheit ist. Man kann durch Produkte und Strategien vieles schützen. Aber der Mensch bleibt als Angriffsvektor anfällig und ist unter Umständen das schwächste Glied in der Kette. Der CEO Fraud ist ein schlimmes aber gutes Beispiel, wie man Menschen manipulieren und bestehende Kontrollen umgehen kann.


Aber Sie würden diesen Fall nicht als Cyberkriminalität im engeren Sinn sehen?

Nein, hier ist der Anfang ein Telefonat mit verstellter Stimme, dann vielleicht ein E-Mail. Das ist ein klassischer Betrugsfall, nur eben im Internet. Es gibt den Zusammenhang mit der Cyberkriminalität, wenn Schadsoftware im Einsatz ist oder das Unternehmen online ausgeforscht wird.


Inwiefern sollte den Firmen so ein Betrugsfall zu denken geben?

Für viele hoch entwickelte Cyberkriminalitätsformen ist ein Betrug der Ausgangspunkt. Für die Firmen heißt das: Bewusstseinsbildung der Mitarbeiter bis hinauf zum CEO. Oft wird das höhere Management als Ziel ausgesucht, weil es mehr Möglichkeiten hat. Idealerweise muss man selbst aktiv werden, den professionellen Feind und sein Denken kennen und die Verteidigung anpassen. Cybersecurity ist keinesfalls nur ein IT-Thema, sondern muss alle Unternehmensbereiche umfassen.


Und was bedeutet das für den Staat? Wie weit darf die Überwachung im Internet gehen?

Auf der einen Seite braucht man starke Möglichkeiten, um den Cyberraum zu schützen. Andererseits werden dieselben Mittel möglicherweise von Kriminellen missbraucht. Ich habe ein absolutes Grundrecht auf Datenschutz. Ich habe aber auch eine gewisse Erwartung an den Staat und die Ermittlungsbehörden, dass sie Schritte setzen, die wiederum meine Grundrechte schützen. Es ist eine hochkomplexe Thematik, wo es keine einfachen Antworten gibt.

Lesen Sie mehr zu diesen Themen:


Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.