Interview mit Markus Ruchti, Dezernatschef Digitale Kriminalität, Kantonspolizei Bern
Von Fernanda Gurzeler, Wissenschaftliche Mitarbeiterin bei der Kantonspolizei Bern
Können Sie uns die aktuelle Lage im Bereich der Internetkriminalität schildern?
Seit 2020 haben sich die in der schweizerischen polizeilichen Kriminalstatistik erhobenen Fälle der digitalen Kriminalität fast verdoppelt. Im Bereich der Unternehmen beschäftigen uns dabei regelmässig Ransomware-Angriffe – sprich Fälle von Datendiebstahl und Erpressung. Oft stecken organisierte kriminelle Banden oder nachrichtendienstliche Gruppen hinter den Angriffen. Das Motiv der Täterschaft ist einerseits finanzieller Natur, andererseits sind die gestohlenen Daten auch politisch interessant. Deshalb werden aktuell auch viele Cloudanbietende angegriffen, weil sich hier auf einen Schlag sehr viele Daten stehlen lassen.
Weshalb sind auch KMU für die Kriminellen interessant?
KMU verfügen häufig über geringere finanzielle oder personelle Ressourcen als Grossunternehmen. Einige entscheiden sich deshalb, weniger in Cybersicherheit zu investieren. Damit bieten sie den Kriminellen Angriffsfläche. Einerseits können sie Opfer von «Gelegenheitskriminellen» werden, die lediglich profitorientiert sind. Andererseits können die Kriminellen es auf Kundendaten abgesehen haben, um damit neue noch interessantere Opfer zu finden. Es kann beispielsweise sein, dass ein Sanitärunternehmen Baupläne eines Bundesgebäudes hat. Oder ein Coiffeur besitzt die private Mailadresse einer Politikerin. Mit diesen Daten können wiederum zielgerichtete Attacken verübt werden, die mitunter Auswirkungen auf politische oder sicherheitsrelevante Kreise haben.
Worauf sollen Unternehmen bei den Schutzmassnahmen achten?
Cybersicherheit ist mittlerweile für jedes Unternehmen von existentieller Bedeutung. Hier wäre am falschen Ort Geld gespart. Denn ein Angriff kann entweder hohe Kosten oder im Extremfall gar den Konkurs zur Folge haben. Heute gibt es sehr gute technologische Möglichkeiten. Um ein gesamtheitlich funktionierendes Schutzsystem aufzubauen, braucht es aber professionelles Wissen. Ich empfehle deshalb dringend, sich mit Systemarchitektinnen und Systemarchitekten in Verbindung zu setzen.
Ist das Outsourcen meiner Informations- und Kommunikationstechnologie (IKT) eine bessere Lösung?
Ob intern oder extern – ein Unternehmen braucht heute Fachpersonen, die für die IKT verantwortlich sind. Die Unternehmensleitung muss sich aber bewusst sein, dass zwar die IKT, nicht aber die Verantwortung ausgelagert oder delegiert werden kann. Bei einem Vorfall steht die Unternehmensleitung selbst am Ende der Haftungskette.
Was gilt es bei der Auslagerung der IKT zu beachten?
Ich muss zunächst einmal wissen, was ich eigentlich will. Sprich, welche Systeme und Daten sind aus betrieblichen oder datenschutzrechtlichen Gründen besonders schützenswert und was bin ich bereit für deren Schutz zu investieren. Hier lohnt sich eine detaillierte Risikoanalyse im Vorfeld. Bevor ich ein IKT-Unternehmen engagiere, muss dieses mir aufzeigen können, dass es meinen gestellten Anforderungen entspricht, sowie die geforderte Verfügbarkeit und Sicherheit meines Unternehmens gewährleisten kann. Zertifizierungen nach anerkannten Datenschutz- und Informationssicherheitsstandards sowie Kontrollberichte oder Referenzen von unabhängigen Dritten können bei der Auswahl eines IKT-Dienstleistungsanbieters behilflich sein. Gleiches gilt übrigens auch für Cloudlösungen. Nicht zuletzt braucht es eine vertrauenswürdige Geschäftsbeziehung.
Worauf kommt es an, wenn man erstmal angegriffen wird?
Schnelles Handeln. Das kann man nur erreichen, wenn man sich vorgängig mit einem Angriff auseinandergesetzt hat. Wir hatten Beispiele, wo die Angegriffenen dank eines funktionierenden Backup-Konzepts und einem exzellenten Krisenmanagement Schlimmeres abwenden konnten. Viele Unternehmen haben aber oft nur ein Konzept für Einbruch- oder Brandschutz, aber keines für Cybersicherheit. Im Angriffsfall empfehlen wir zudem zeitnah die Polizei beizuziehen.
Ist die Lösegeldzahlung da nicht einfacher?
Bei der Lösegeldzahlung muss man einiges beachten. Erstens besteht keine Garantie, dass die Daten nach der Zahlung komplett wiederhergestellt oder gestohlene Daten nicht an Dritte verkauft oder weitergegeben werden. Eine Lösegeldzahlung ist auch ein Zeichen, dass das betreffende Unternehmen mit Kriminellen kooperiert, was weitere Angriffe begünstigen kann. Möglicherweise hat die Täterschaft auch eine «Backdoor» installiert, die sie später für weitere Angriffe ausnutzen kann.
Warum sollten betroffene Unternehmen zur Polizei?
In den vergangenen Jahren haben wir viel Know-how aufgebaut. Wir stehen den Unternehmen auch in der ersten Phase der Bewältigung beratend zur Seite, um weiteren Schaden zu verhindern und damit möglichst rasch zum Normalbetrieb zurückgekehrt werden kann. Im Rahmen der Ermittlungen erfahren Betroffene zudem, welche Sicherheitslücken ausgenutzt wurden und können diese entsprechend schliessen.
Letzen Endes besteht ein öffentliches Interesse an der Zusammenarbeit mit der Polizei. Gewonnene Informationen dienen dem Schutz anderer Unternehmen: Tätergruppierungen können ermittelt und aus dem Verkehr gezogen werden und die Erkenntnisse aus Strafverfahren helfen bei der Optimierung der Präventions- und Bekämpfungsstrategien.
Dein Schlusswort?
Demut vor der Stärke der Gegner. Cyberkriminelle können ein Unternehmen zerstören. Heute ist nicht mehr die Frage, ob ich Opfer eines Cyberangriffs werde, sondern wann. Die gute Nachricht: Ich kann meinen Umgang mit einer solchen Situation kontrollieren, indem ich vorbereitet bin. Wer sich präventiv und umfassend mit dieser Thematik auseinandersetzt, hat auch eine Chance gegen Cyberkriminelle.
Bildlegende: Markus Ruchti, Dezernatschef Digitale Kriminalität, Kantonspolizei Bern