Wie schützen Sie Ihr Unternehmen vor Cybercrime?

Mit drastischen Worten beschrieb am 11. Oktober 2012 der US-Verteidigungsminister Leon Panetta die aktuelle Cyber Security-Situation: Man befinde sich derzeit in einer "Pre-9/11-Phase" und warnte vor einem "Cyber-Pearl Harbor".

Vor dem Hintergrund jüngster Attacken auf Websites von US-Großbanken richtet sich der Blick vor allem auf Maßnahmen, die die Sicherheit vor Cyber-Angriffen auf IT-Systeme erhöhen können. Aber nicht nur in den USA, sondern auch in Deutschland gewinnt das Thema immer mehr an Bedeutung. Die renommierte Münchner Sicherheitskonferenz veranstaltete vor kurzem gemeinsam mit einem großen Telekommunikationsanbieter eine nichtöffentliche Diskussion mit Unternehmen zur Frage des Schutzes vor Angriffen auf IT-Systeme.

Auch der immer wiederkehrende Ruf nach einem Zusammenschluss deutscher Unternehmen bei der Bekämpfung von Cybercrime und die verschiedenen, zum Teil erst jüngst eingerichteten staatlichen Institutionen wie das CERT-Bund (CERT-Bund Computer Emergency Response Team für Bundesbehörden), das IT-Lagezentrum mit dem IT-Krisenreaktionszentrum sowie die Allianz für Cyber-Sicherheit als Kooperation zwischen Staat und Privatwirtschaft lassen erkennen, wie sehr die Bedrohung aus dem Netz steigt - für Staaten, für Unternehmen und für die Bürger.

Ein Blick auf aktuelle Zahlen macht die abstrakte Bedrohungslage konkreter: Ausweislich der Studie "2012 Cost of Cyber Crime Study: Germany" des Ponemon Institute im Auftrag von HP¹ unter 43 repräsentativ ausgewählten Unternehmen kostet eine Cybercrime Attacke im Durchschnitt 4,8 Millionen Euro.

Eines ist klar: Cybercrime betrifft alle Unternehmen. Mit diesem Newsletter wollen wir Sie über die aktuellen Herausforderungen informieren und aufzeigen, wie Sie Ihr Unternehmen schützen und wie die Experten von KPMG Sie dabei unterstützen können. Denn trotz aller nationaler und internationaler Bemühungen zur Bekämpfung von Cybercrime ist der eigene proaktive Schutz das wirksamste Mittel zum Schutz des eigenen Unternehmens.

Was ist Cybercrime?
Cybercrime ist eine Facette von unter dem Sammelbegriff E-Crime zusammenzufassenden Sachverhalten. Hierbei geht es um die Ausführung von wirtschaftskriminellen Handlungen unter Einsatz von Informations- und Kommunikationstechnologien zum Schaden einer Einzelperson, eines Unternehmens oder einer Behörde.

Dienstleistungen

Fraud Prevention und Forensic Investigations

Themen

Dies kann sowohl zu einer Schädigung von Sachwerten, zum Beispiel durch Sabotage an Computersystemen, als auch zur Verletzung von Verfügungsrechten an immateriellen Gütern, zum Beispiel durch den Diebstahl eines Quellcodes oder von Verschlüsselungsalgorithmen, führen. Außerdem können die auf den Systemen basierenden Geschäftsprozesse eines Unternehmens empfindlich beeinträchtigt werden. Informations- und Kommunikationssysteme können hierbei Ziel der Tathandlung, aber auch Tatwerkzeug an sich sein. E-Crime umfasst damit nicht nur Angriffe von "außen" unter Nutzung von Schadsoftware oder Systemlücken über das Internet (landläufig gern auch als Cyberraum bezeichnet), sondern auch den internen Täter sowie das breite Spektrum weiterer Möglichkeiten der Informations- und Kommunikationstechnologie als Werkzeug von Straftaten. Besonders zu beachten sind auch klassische wirtschaftskriminelle Handlungen, die durch den Einsatz von Informations- und Kommunikationstechnologien erst möglich beziehungsweise erleichtert werden oder bei denen IT-Werkzeuge zur Verschleierung dienen.

Als Cybercrime werden nach der Convention on Cybercrime des Europarats (Explanatory Report Nr. 11)² illegale computervermittelte Aktivitäten verstanden, die in Verbindung mit elektronischen Netzwerken verübt werden. Darunter fallen sowohl der klassische Betrug zum Beispiel über eBay als auch das Kapern fremder Bank-Accounts durch Ausspähen von Zugangsdaten. In der Regel geht es den dahinterstehenden Tätern um die Erzielung illegaler Gewinne.

In diesem Zusammenhang sei zudem der Begriff Cybersecurity erwähnt, der sich nicht nur auf den Schutz vor Cybercrime, sondern auf den Schutz von Computernetzwerken als Ganzes bezieht, die für sich allein oder im Verbund mit anderen Systemen zur Aufrechterhaltung des gesellschaftlichen Lebens notwendig sind.

Regulatorischer Rahmen
Cybercrime ist ein internationales Phänomen, das sich mit nationalem Strafrecht nur begrenzt bekämpfen lässt, da die Angriffe nicht an Ländergrenzen Halt machen.
Das einzige, verschiedene Staaten bindende völkerrechtliche Übereinkommen ist die Convention on Cybercrime des Europarats, die das Ziel der Harmonisierung der Strafverfolgung von Cybercrime verfolgt. Deutschland hat die europäischen Bestrebungen unter anderem durch die Einführung verschiedener cybercrime- und computerkriminalitätsspezifischer Straftatbestände in das StGB umgesetzt, nämlich durch die §§ 202a - 202 c StGB (Ausspähen, Abfangen von Daten sowie die Vorbereitung dazu). Außerdem wurden die Vorschriften zur Datenveränderung (§ 303a StGB) und zur Computersabotage (§ 303b StGB) aktualisiert. Daneben ist die Verpflichtung zur Veröffentlichung von nichtautorisierten Datenzugriffen beziehungsweise Datenverlusten zu erwähnen. Diese - zwar nicht nur auf Cybercrime abstellende - Verpflichtung trägt wegen der im Einzelfall möglichen dramatischen Auswirkung erheblich dazu bei, dass Unternehmen die Herausforderung Datenschutz sowie den Schutz von Unternehmensinformationen ernst nehmen sollten. In Deutschland findet sich diese Verpflichtung in § 42a BDSG und § 15a TMG. Ein Verstoß wird nach §§ 43 Abs. 2 Nr. 7, 44 Abs. 1 BDSG mit einem empfindlichen Bußgeld von bis zu 300.000 Euro im Einzelfall, gegebenenfalls sogar mit Geldstrafe oder Freiheitsstrafe von bis zu zwei Jahren sanktioniert.

Was können Sie tun?
Unabhängig von ihrer Größe sind Unternehmen und Behörden gleichermaßen über das Internet miteinander verbunden und somit der Gefahr von Cybercrime ausgesetzt. Interne als auch externe Angriffe auf die eigenen IT-Systeme, der damit verbundene Verlust sensibler Daten und unternehmensinterner Informationen, die entstehenden Kosten sowie der mögliche Reputationsverlust sind Schreckensszenarien. Das derzeit akut steigende Risiko ist ein überzeugendes wirtschaftliches Argument für die Investition in wirksame Präventions-, Detektions- und Reaktionsmaßnahmen.

Zu diesem Zweck sollen Sie sich im ersten Schritt folgende Fragen stellen:

Gibt es in meiner Organisation Insider, die ihre Position und Zugriffsberechtigungen für bösartige Zwecke missbrauchen können?
Gibt es Personen mit mehr Berechtigungen als für die täglichen Aufgaben notwendig?
Habe ich den "Leaver"-Prozess, also die zeitnahe und vollständige Wegnahme von Systemberechtigungen für die das Unternehmen verlassenden Mitarbeiter, im Griff?
Wie kann ich feststellen, ob mein Unternehmen Opfer von Angriffen geworden ist?
Bin ich darauf eingerichtet, in angemessener Zeit auf Vorfälle zu reagieren und die richtigen Maßnahmen zu ergreifen?
Ist es möglich, schadhafte Software, die meine Rechner und Systeme befallen hat, wieder vollständig loszuwerden?

Da sich Angriffe durch Cyberkriminelle leider nicht mit 100-prozentiger Sicherheit verhindern lassen, müssen sich Unternehmen der Bedrohungslage bewusst sein, ihre Schwachstellen erkennen und sich entsprechend vorbereiten. Dazu zählen:

Bestimmung eines Verantwortlichen für die Reaktion auf Cybercrime-Vorfälle
Entwicklung und Schulung proaktiver Schutzmaßnahmen
Implementierung von Maßnahmen für die Entdeckung von Cybercrime
Gegenmaßnahmen zur Eindämmung der Auswirkungen von Cybercrime-Vorfällen
Notfallpläne, um kritische Geschäftsprozesse im Falle von Cybercrime aufrecht zu erhalten
Kommunikations- und Krisenpläne, um den Schaden nach einem Vorfall durch unangemessenes Handeln nicht noch zu vergrößern

Der Ernstfall
Ist Ihr Unternehmen Opfer von Cybercrime geworden, ist schnelles Handeln unerlässlich. Zunächst muss der unberechtigte Zugriff eindeutig identifiziert und unterbunden werden. Anschließend sind digitale Einbruchsspuren beweissicher zu identifizieren, zu sichern und auszuwerten sowie alle notwendigen Schritte für die Rückkehr zum Normalbetrieb zu ergreifen. Während des gesamten Prozesses ist eine geordnete Kommunikation mit allen beteiligten Stellen intern und extern zu gewährleisten. Abschließend sind geeignete Maßnahmen zu ergreifen, die eine Wiederholung des Einbruchs unterbinden.

Was können wir für Sie tun?
Effektive Cybercrime-Bekämpfung erfordert einen multidisziplinären Ansatz sowie eine funktionierende Koordinierung der zur Verfügung stehenden Ressourcen. Unsere KPMG-Cybercrime-Response-Teams bestehen aus technischen Sicherheitsexperten, erfahrenen Krisenmanagern, forensischen Spezialisten und Rechtsexperten für die gerichtsverwertbare Aufbereitung des Sachverhaltes. Wir bieten Ihnen individuelles technisches Fachwissen in Verbindung mit dem Verständnis für Ihr Geschäft und der Reichweite eines globalen Beratungsunternehmens. Dies sind ideale Voraussetzungen. KPMG hat auf dieser Basis eine umfassende Methodik entwickelt, die alle Phasen der Erkennung und Reaktion auf Cybercrime-Vorfälle abdeckt:

Prävention: Schulung und Training
Detektion: Vorfall erkennen
Reaktion: Ausbreitung eindämmen und Ermittlung startenReporting und Nachverfolgung: Aus Fehlern lernen und für die Prävention verwenden

Basierend auf diesem Ansatz umfasst Cybercrime Response & Investigation unter anderem:

Management der Reaktion auf Cyberangriffe mit praktischer Hilfestellung und Beratung zur Abwehr des Angriffe, Eindämmung des Schadens, Sicherung der digitalen Spuren und der Wiederaufnahme des Geschäftsbetriebs
Eine unabhängige Sicht auf die bei Ihnen vorhandenen organisatorischen und technischen Maßnahmen zur Erkennung, Reaktion und Eindämmung von Cybercrime-Vorfällen durch Incident Readiness Checks
Beratung zu aktuellen Cybercrime Detections- und Response-Verfahren und die zugrunde liegenden Technologien
Weltweite Cybercrime Response & Investigation-Kapazitäten - das KPMG-Netzwerk mit Büros in 140 Ländern ermöglicht eine globale Cybercrime-Reaktionsfähigkeit, so dass wir Ihnen schnell und weltweit bei der Untersuchung der Vorfälle helfen können.

Haben Sie weitere Fragen zu diesem Thema? Unsere Spezialisten stehen Ihnen gerne für ein Gespräch zur Verfügung oder besuchen Sie unsere Webseite zum Thema: http://www.kpmg.de/cyber mit unserer 24-Stunden-Hotline für die schnelle Hilfe bei Fällen von Wirtschaftskriminalität und Cybercrime.

^{1 http://www.all-about-security.de/fileadmin/micropages/Studien/2012_DE_Cost_of_Cyber_Crime_Study_FINAL_4.pdf}

^{2 http://conventions.coe.int/treaty/ger/treaties/html/185.htm}

Alexander Geschonneck

Partner

T +49 30 2068 1520

ageschonneck@kpmg.com

Barbara Scheben

Director

T +49 69 9587-3737

bscheben@kpmg.com

Weitere Informationen

Studie über Wirtschaftskriminalität 2012: Verzerrte Risikowahrnehmung bei Wirtschaftskriminalität