0
Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

Schutz vor Risiken durch Cyberangriffen bleibt für mittelständische Unternehmen aktuell

Der Schutz vor Cyberangriffen und Datenschutz-Lecks erfährt für mittelständische Unternehmen und Finanzinstitute eine zunehmende Bedeutung. Gerade zu Lasten von Banken mutiert das Abgreifen von Zugangsdaten beim Online-Banking und das Leerräumen eines Bankkontos zum Bankraub des 21. Jahrhunderts. Während in der rechtlichen Auseinandersetzung zwischen Zahler und Zahlungsdienstleister oftmals nur der Einzelfall eines Angriffs auf ein Konto mit einem oder mehreren Buchungsvorgängen behandelt wird, steht dieser Einzelfall oft im Zusammenhang mit weiteren Schadensfällen. Und damit sind wir mitten im Thema: Der Schutz der Unternehmen und Banken vor Cyberangriffen.

 

Überblick

Welche Beispiele für Cyber-Attacken mit internationalem Bezug gab es schon?

Von welchen Angriffsszenarien ist der Mittelstand betroffen?

Schutz vor Cyberangriffe gehört zu den notwendigen Präventionsmaßnahmen

Was veranlasste die BaFin bzw. die Europäische Zentralbank?

Was kann der Unternehmer konkret tun?

 

Welche Beispiele für Cyber-Attacken mit internationalem Bezug gab es schon?

Die Täter, die Zugangsdaten zum Online-Banking abgreifen und mit Hilfe von Schadsoftware Echtzeitangriffe vornehmen, begnügen sich oftmals nicht damit, nur ein einzelnes Konto anzugreifen, sondern sie bezwecken zur Ertragssteigerung die Schadensserie. Diese Schadensserien sind längst Realität. Aus der Pressberichterstattung seien nur exemplarisch wenige Einzelfälle der vergangenen Jahre herausgegriffen: Im Februar 2015 berichtete u. a. DIE ZEIT von einem ungewöhnlich breiten Angriff von international agierenden Kriminellen, durch den rund 100 Zahlungsdienstleister in circa 30 Ländern betroffen waren (darunter auch Deutschland) und bei denen Schäden von bis US $ 1 Mrd. entstanden sind. Die Kriminellen, die unter dem Namen „Carbanak“ bekanntgeworden sind, seien fast zwei Jahre lang aktiv gewesen und hätten sich in Computernetzwerke von Zahlungsdienstleistern gehackt, Informationen gesammelt und seien dadurch in die Lage versetzt worden, sich Geld zu überweisen oder bar auszahlen zu lassen (ZEIT ONLINE v. 15.02.2015).

Damals brachten die Täter eine eigens angefertigte Schadsoftware in die IT-Systeme der Bank ein, die es ihnen ermöglichte, die Systeme fernzusteuern. Sie nutzten dazu Sicherheitslücken, die bis dahin unbekannt waren, sog. Zero Day Vulnerabilities. Laut Pressberichten wurde der Angriff erst zwei Monate später entdeckt. Dabei sollen Daten von über 76 Mio. Privat- und 7 Mio. Firmenkunden abgegriffen worden sein (Handelsblatt vom 03.10.2014). Soweit bekannt, sollen die bis heute unbekannten Angreifer die damals abgegriffenen Daten nicht sofort für Erpressungen oder für Betrugszwecke genutzt haben, was darauf hindeutet, dass das Ziel des Angriffs vorerst nur die Ausspähung der Daten an sich war (M. Held, „Cyber-Angriffe: Risiken für Banken und Aktivitäten der Aufsicht“, 02.02.2015, abgerufen auf der Webseite der BaFin www.bafin.de.).

Laut einem Medienbericht gelang es Tätern aus St. Petersburg bereits im Jahre 2008, etwa 430 Internet-Knotenrechner in Deutschland zu scannen, dort die Kontozugangsdaten abzufangen und durch nicht-autorisierte Überweisungen insgesamt knapp € 25 Mio. zu erbeuten. Da die Daten per „Secure Sockets Layer“ (SSL) verschlüsselt waren, konnten die Täter sie nicht direkt auslesen. Sie erfuhren jedoch, von welchem Anschluss die Daten an einen bestimmten Bankrechner gesendet werden sollten. Die Täter leiteten die Daten auf eine nachgeahmte und vertrauenserweckende Internetseite um, die derjenigen der eigenen Bank täuschend echt ähnlich sah. Mit den erbeuteten Daten meldeten die Täter sich dann unter der Identität des Bankkunden beim Rechner der kontoführenden Bank an und überwiesen Geld auf ein Konto in Südafrika (P. Welchering, FAZ Nr. 196 v. 25.08.2009, „Motor und Technik“, S. T1.).

Von welchen Angriffsszenarien ist der Mittelstand betroffen?

Cyberangriffe beschränken sich keineswegs auf Banken und große Konzerne. Inzwischen wissen viele Mittelständler, das kaum ein Tag vergeht, bei dem nicht irgendeine (meist Spam) Mail im Unternehmen eintrifft, in dessen Dateianhang eine Schadsoftware integriert ist. Insofern besteht schon deshalb die Notwendigkeit das Thema IT-Sicherheit im Unternehmen erst zu nehmen, präventive Maßnahmen zu ergreifen und auch die Mitarbeiterschaft entsprechend zu sensibilisieren.

Schutz vor Cyberangriffe gehört zu den notwendigen Präventionsmaßnahmen

Die Liste dieser und auch weniger prominenter Fälle, die typisch sind für professionelle Cyber-Angriffe und Gemeinsamkeiten aufweisen, lässt sich fortsetzen: die Täter agieren grenzüberschreitend und der Angriff erfolgt zielgerichtet in der Reihenfolge: Einschleusen von Schadsoftware, Abgreifen von zahlungsrelevanten Daten und der erst späten Entdeckung des Angriffs ggf. mit einer gesonderten Nutzung der abgegriffenen Daten zu einem späteren Zeitpunkt. Damit wird zugleich deutlich, dass der Schutz vor solchen Cyberangriffen zu den notwendigen Präventionsmaßnahmen in jedem Unternehmen gehört.

Was veranlasste die BaFin bzw. die Europäische Zentralbank?

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Europäische Zentralbank (EZB) nahmen u. a. einen erfolgreichen Hackerangriff im August 2014 auf die US-amerikanische Bank J.P. Morgan Chase & Co. zum Anlass, die Thematik „Risiken durch Cyber-Angriffe“ verstärkt zum Thema für bankaufsichtsrechtliche Präventionsmaßnahmen auch in Deutschland zu machen. Dazu gehört auf Seiten der EZB das Vorhaben der Installation des Frühwarnsystems „Single Supervisory Mechanism“ (Meldestelle für Cyber-Attacken), vgl. Handelsblatt Nr. 92 vom 13.-16.05.2016, S. 28 f.

Was kann der Unternehmer konkret tun?

Bei Banken und Finanzdienstleistern steht die Notwendigkeit zur Prävention vor Cyberangriffen schon deshalb seit Jahren auf der Tagesordnung, da Angriffsszenarien hier auch bereits seit Jahren existent sind. Insofern existiert eine entsprechende Sensibilisierung. Inzwischen ist die Thematik auch bei der Bankenaufsicht angekommen.

Immer noch vergleichsweise neu ist die Thematik jedoch für viele mittelständische Unternehmen, bei denen die bereits bekannten Angriffe nicht derart spektakulär verlaufen. Nicht jeder mittelständischer Unternehmer war bereits Gegenstand eines Cyberangriffes und ist aufgrund von Schadensfällen entsprechend sensibilisiert.

ilex Rechtsanwälte sieht die Notwendigkeit der präventiven Überprüfung der IT-Sicherheit in tatsächlicher (technischer) und rechtlicher Hinsicht. Wir bilden hierzu ein Adhoc-Team von IT-Technikern und Rechtsexperten im Bereich des Datenschutzrechtes, die präventiv den IST-Stand im Unternehmen überprüfen und im Rahmen eines Gutachtens Lösungs- und Verbesserungsvorschläge anbieten.

Autor

Dr. Ulrich Schulte am Hülse

Publikationen:

Veröffentlichungsliste Dr. Schulte am Hülse (PDF)

Auswahl (Sonderdrucke als PDF)

Das Abgreifen von Zugangsdaten zum Online-Banking, in: MMR 7/2016, S. 435-440.

Umfang des Auskunftsanspruches gegen die Schufa-Scorewerte, in: NJW 17/2014, S. 1235-1239

Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, in: NJW 18/2012, S. 1262-1266.

Das Abgreifen von Bankzugangsdaten im Online-Banking, in: MMR, 2010, S. 84-90.

Weitere Sonderdrucke auf Anfrage

ilex Rechtsanwälte – Berlin & Potsdam Yorckstraße 17, 14467 Potsdam Hohenzollerndamm 123, 14199 Berlin

Telefon +49 331 9793750
Telefax +49 331 97937520

E-Mail: schulte@ilex-recht.de
Internet: ilex-bankrecht.de

Verwandte Themen

Zurück

Sie haben Fragen? Gleich Kontakt aufnehmen!

Medienpräsenz

Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
ilex Rechtsanwälte hat 4,99 von 5 Sternen 84 Bewertungen auf ProvenExpert.com