Der Präsident des Bayerischen Landeskriminalamts ist ein Freund klarer Worte. „Wer heute noch einen Banküberfall begeht, ist selbst schuld“, sagte Peter Dathe vergangene Woche bei einem Besuch der Augsburger Polizei. „Es gibt weitaus einfachere Wege, illegal an Geld zu kommen.“ Die Sätze fielen, nachdem Dathe gut eine halbe Stunde lang über Diebstahl und Spionage referiert hatte – im Internet.
Wer den Sarkasmus nicht heraushört, könnte Dathes Worte für einen Offenbarungseid halten. Doch genau das Gegenteil ist der Fall. Die bayerischen Ermittlungsbehörden haben schon lange erkannt, wie groß der Handlungsbedarf beim Thema Online-Sicherheit ist. Das Problem: Genau dieses Bewusstsein für die unsichtbaren Gefahren im Netz fehlt nicht nur vielen Menschen, es ist auch bei kleinen und mittelständischen Firmen oft noch nicht vorhanden. Und das muss sich dringend ändern.
Wer von Hackerangriffen hört, denkt gerne an finstere Gestalten, die aus purer Lust an der Zerstörung fremde Rechner sabotieren. Die gibt es zweifellos auch, moderne Randalierer, die – bisweilen unter dem Deckmantel des politischen Protestes – Internetseiten blockieren, Server attackieren oder aus Geltungssucht geheime Daten stehlen und publik machen. Auch Cyber-Attacken mit militärischem Hintergrund werden uns in Zukunft sicher häufiger beschäftigen.
Das weitaus größere Risiko für Unternehmen geht heutzutage aber von organisierten Wirtschaftsspionen aus. Aktuelle Untersuchungen zeigen, dass längst nicht mehr nur Rüstungskonzerne und Weltmarktführer im Visier von Online-Kriminellen stehen. Knapp ein Drittel der Cyber-Spionage-Attacken richtete sich im vergangenen Jahr gegen Firmen mit weniger als 250 Beschäftigten. Weil sie oft weniger gut geschützt sind. Vor allem aber, weil sie Kriminellen als Einfallstor für Angriffe auf große Unternehmen dienen. Ein klassisches Beispiel dafür: Kriminelle kapern gerne mal den Mail-Versand kleinerer Zulieferfirmen. Ist das geschafft, können sie in deren Namen Mails verschicken – etwa mit einem Spionage-Programm im Anhang. Diese gehen dann an das eigentliche Ziel, einen Großkonzern.
Der Freistaat Bayern hat in den vergangenen Jahren kräftig aufgerüstet, um den Kampf gegen die Cyber-Kriminalität zu führen. Das Landeskriminalamt hat einen zusätzlichen Millionenetat und weitere Stellen für die Bekämpfung der Internetkriminalität bekommen. In wenigen Monaten wird beim Bayerischen Landesamt für Verfassungsschutz ein „Cyber-Allianz-Zentrum“ die Arbeit aufnehmen. Und auch am Ausbildungskonzept der bayerischen Polizei wurde geschraubt. Neuerdings werden IT-Fachleute über eine Sonderlaufbahn binnen eines Jahres zu Polizeibeamten ausgebildet, um den Bedarf an Fachleuten zu decken.
Das alles sind gute und richtige Schritte auf dem Weg zu einer besseren Strafverfolgung. Am Grundproblem selbst ändert das nichts. Stattdessen muss IT-Sicherheit ein Thema für uns alle werden. In Zeiten von Home Office, Mail und Smartphone sind Berufs- und Privatleben oft kaum noch zu trennen. Arbeitnehmer greifen vom heimischen Rechner auf das Firmennetzwerk zu, arbeiten in der Cloud, transportieren Daten auf DVDs und USB-Sticks. Wer dann immer noch glaubt, er könne ohne aktuellen Virenschutz durch Internet surfen, wer bei Facebook jeden Link klickt und bei jeder Mail ungeprüft den Anhang öffnet, der gefährdet nicht nur seine Datensicherheit und sein Konto – er wird auch zum Risiko für seinen Arbeitgeber.