Geld her oder Daten weg - diese Masche von organisierten Kriminellen nimmt seit Jahren stark zu. Sie schleusen in Netzwerke und auf Computer ihre Schadsoftware ein. Die verschlüsselt dann wichtige Daten und entsperrt sie erst, wenn die Opfer ein Lösegeld bezahlen - so wie im jüngsten Fall, dem Angriff auf den IT-Dienstleister Kaseya. Schon weil die Lösegeld-Zahlung in einer Kryptowährung geleistet werden muss, ist es schwer, die Täter zu ermitteln. Oft sitzen sie auch im Ausland, und die jeweiligen Regierungen haben kein großes Interesse daran, gegen die Kriminellen vorzugehen, solange die nicht im eigenen Land aktiv werden. So weit, so bekannt. Was aber tun? Die wichtigsten fünf Maßnahmen:
1. Die beste und nachhaltigste Möglichkeit wäre natürlich, der kriminellen Energie den Boden zu entziehen. In Russland beispielsweise, woher viele der Attacken kommen, gibt es viele sehr gut ausgebildete IT-Kräfte. Nur finden sie keine adäquate Beschäftigung, weshalb ihnen die Bandenkriminalität umso verlockender erscheint. Die wirtschaftlichen Rahmenbedingungen zu verbessern, könnte da schon einiges bewirken.
Reichtum komme heute vor allem über Erbschaften und nicht durch Einkommen zustande, sagt Allianz-Konzernchef Oliver Bäte. Sein Fazit: "Es geht nicht mehr gerecht zu." Ein Gespräch über sinnvolle Steuern, große Häuser, schwere Autos und seinen Ärger mit Gastronomen, die wegen Corona schließen mussten.
2. Um die Daten etwa auch vor staatlichen Hackern zu schützen, sollte Software so wenige Sicherheitslücken wie möglich enthalten. Darauf muss schon in der Ausbildung von Software-Entwicklern, aber auch in der Praxis viel mehr als bisher geachtet werden. Werkzeuge dazu gibt es durchaus, man muss sie nur auch einsetzen. Vor allem diese Lücken machen es möglich, dass Kriminelle über das Internet in Computer-Netzwerke eindringen und sich dort breitmachen können.
3. Bis sich von Anfang an eingewobene Sicherheitskonzepte durchsetzen, wird es noch dauern. Es braucht deshalb Abwehrmaßnahmen. Die erste davon ist die technische Gefahrenabwehr. Hier geht es nicht bloß um Firewalls, die nur bestimmten Verkehr durchlassen, und um Virenscanner, die Daten daraufhin prüfen, ob sie potenziell schädlichen Code enthalten. Es geht auch um interne Systeme, die überwachen, welche Daten wohin wandern und mit deren Hilfe fein justiert werden kann, wer überhaupt auf welche Daten Zugriff haben soll. Wenn etwa ein Mitarbeiter das geheime Cola-Rezept auf einen USB-Stick laden will, sollte in jedem Fall Alarm ausgelöst werden.
4. Die beste Technik hilft allerdings nichts, wenn Menschen Sicherheitsvorkehrungen und Vorschriften umgehen. Das kann aus Unwissen und Neugier sein. Tests zeigen, dass absichtlich auf Firmengeländen fallengelassene USB-Sticks immer wieder von Mitarbeitern in ihre Arbeitsrechner gesteckt werden. Dabei sollte eigentlich bekannt sein, dass das sehr gefährlich sein kann. Es kann aber auch Erpressung dahinter stecken, wenn Mitarbeiter wichtige Daten herausgeben, und Geldgier oder Hass auf den Arbeitgeber. Auch wenn es mitunter unbequem ist, sollte also der Zugriff auf Daten streng geregelt sein. Und regelmäßige Schulungen sollten Pflicht sein.
5. Trotzdem: Passieren kann immer etwas. Eine Attacke verliert allerdings viel von ihrem Schrecken, wenn es regelmäßige Back-ups gibt. Auch um die muss man sich kümmern. Es kam schon oft vor, dass das vermeintlich automatisch angelegte Back-up entweder gar nichts aufgezeichnet hat oder dass es Probleme beim Zurückspielen der Daten auf die Produktionssysteme gab. Die Sicherungskopien müssen also regelmäßig geprüft werden, und es muss auch hin und wieder getestet werden, ob die Wiederherstellung auch wirklich klappt.
Der Staat muss bei der IT-Sicherheit die Wirtschaft unterstützen, dazu gehört auch die Gestaltung von Lehrplänen an den Unis. Auch bei den staatlichen Systemen, die ja sehr persönliche Daten speichern, sollten höchste Sicherheitsmaßstäbe gelten. Da ist allerdings noch viel Luft nach oben, wie etwa der Fall des Berliner Kammergerichts zeigt, das nach einer Hackerattacke wochenlang außer Gefecht gesetzt war. Was der Staat nicht tun sollte: Sicherheitslücken bewusst verschweigen oder Hintertüren einbauen lassen. Die verheerende Attacke auf den Software-Anbieter Kaseya hat wieder einmal gezeigt, was sich damit anstellen lässt. Wer aber glaubt, dass solche Lücken auf Dauer unbemerkt bleiben, der ist halt im Neuland noch immer nicht angekommen.