Handbuch Cybersecurity für die öffentliche Verwaltung E-Book

Handbuch Cybersecurityfür dieöffentliche Verwaltung

Herausgegeben von

Prof. Dr. Gina Rosa Wollinger

Hochschule für Polizei und öffentliche VerwaltungNordrhein-Westfalen

und

Prof. Dr. Anna Schulze

Hochschule des Bundes für öffentliche Verwaltung

© 2020 Kommunal- und Schul-Verlag GmbH & Co. KG • Wiesbaden

Alle Rechte vorbehalten • Printed in Germany

Satz: Kumpernatz + Bromann • Schenefeld b. Hamburg

ISBN: 978-3-8293-1606-4eISBN 978-3-8293-1633-0

Inhalt

Autorenverzeichnis

Vorwort

Einführung: Cybersecurity für die öffentliche VerwaltungGina Rosa Wollinger, Anna Schulze

Teil 1Phänomen Cyberkriminalität

1.Formen der Bedrohung von CyberkriminalitätGina Rosa Wollinger, Arne Dreißigacker, Bennet Simon von Skarczinski

2.Cybercrime – Die Täter im NetzEdith Huber, Noella Edelmann, Bettina Pospisil, Heike Strumpen

3.Verbreitung von Cyberkriminalität gegen Unternehmen in DeutschlandArne Dreißigacker, Gina Rosa Wollinger

4.Bekämpfung von Cybercrime durch die PolizeiWilfried Honekamp, Roman Povalej, Heiko Rittelmeier, Dirk Labudde

Teil 2Digitalisierung und Kommunen

5.Bedeutung der Digitalisierung für die kommunale Verwaltung. Bisherige Ansätze, zentrale Entwicklungen und Anforderungen an die VerwaltungTorsten Fischer und Katrin Möltgen-Sicking

6.Die Organisation und Struktur der Digitalisierung der KommunenGötz Fellrath

7.Wege zur breiten IT-Kompetenz in KommunenSusanne Schulte

8.Vorgehensvorschlag zur Entwicklung von kommunalen Funktionalstrategien am Beispiel der Rolle einer CybersicherheitsstrategieThomas Deelmann

Teil 3Informationssicherheit für Kommunen

9.Grundzüge des Informationssicherheits- und Datenschutzrechts für KommunenLorenz Franck

10.BSI-Grundschutz und ISO/IEC 27001Marie Bergmann, Anna Schulze

11.Technische SicherheitsmaßnahmenAnna Schulze, Fabian Weber

12.Mitarbeitersensibilisierung in der öffentlichen KommunalverwaltungIvona Matas

13.Einführung eines Informationssicherheitsmanagements in der kommunalen PraxisUdo Zaudig

Teil 4Ausblick: Innovationen zur Begegnung von Cyberangriffen

14.Cyber-VersicherungenLutz Martin Keppeler

15.BlockchainAnna Schulze, Fabian Weber

Stichwortregister

Autorenverzeichnis

Dr. Marie Bergmannist Informatikerin. Nach mehrjähriger Tätigkeit in der Prozess- und Strategieberatung mit Schwerpunkt IT-Governance war sie über drei Jahre als IT-Auditorin beim Bundesrechnungshof. Seit 2019 lehrt sie an der Hochschule des Bundes für öffentliche Verwaltung in Brühl.

Prof. Dr. Thomas Deelmannlehrt Management, Organisation und Strategie an der Hochschule für Polizei und öffentliche Verwaltung NRW in Köln. Vorher war er von 2012 bis 2016 Professor an der BiTS – Business and Information Technology School, Iserlohn.

Arne Dreißigackerist Soziologe und seit 2015 als wissenschaftlicher Mitarbeiter am Kriminologischen Forschungsinstitut Niedersachsen e.V. (KFN) tätig. Zu seinen Forschungsschwerpunkten gehören das Kriminalitätsdunkelfeld, Wohnungseinbruchdiebstahl, Vorurteilskriminalität und Cyberkriminalität. Seit Oktober 2018 leitet er das Forschungsprojekt Cyberangriffe gegen Unternehmen am KFN.

Dr. Noella Edelmannpromovierte in öffentlicher Verwaltung an der Ragnar Nurkse School, Technische Universität Tallinn, Estland, und ist leitende Wissenschaftlerin an der Abteilung für E-Governance und Verwaltung an der Donau-Universität, Österreich. Ihre Hauptforschungsinteressen sind digitale Transformation in der öffentlichen Verwaltung, e-Government und e-Partizipation, Open Access und qualitative Forschungsmethoden. Sie ist Redakteurin des OA eJournal for E-Democracy and Open Government (www.jedem.org), Track Chair bei der IFIP EGOV-Konferenz und derzeit an Projekten zur Digitalisierung des Landes Niederösterreich und der Entwicklung von E-Partizipationsrichtlinien für den österreichischen öffentlichen Sektor beteiligt.

Prof. Dr. Götz Fellrathist Wirtschaftsingenieur und Ökonom und war 17 Jahre selbstständig in der Beratung für den öffentlichen Sektor tätig. Seit 2018 hat er eine Professur für Verwaltungsmanagement, Organisation, e-Government, Personal und ÖBWL an der Hochschule für Polizei und öffentliche Verwaltung NRW am Studienort Köln.

RD Dr. Torsten Fischerist Mathematiker und Betriebswirt und war als Managementberater bei der BAYER Technologie Service GmbH sowie als IT-Referent beim Bundesministerium für Bildung und Forschung tätig. Seine Forschungsschwerpunkte liegen in den Bereichen IT-gestütztes Prozessmanagement und E-Government. Seit 2014 ist er hauptamtlicher Dozent an der Hochschule für Polizei und öffentliche Verwaltung NRW am Studienort Köln und ist verantwortlich für den Studiengang Verwaltungsinformatik.

Prof. Dr. Lorenz Franckist Jurist und war u. a. mehrere Jahre für einen Datenschutzverband tätig. Seit 2014 ist er Lehrbeauftragter für Datenschutzrecht an der TH Köln und seit 2019 hat er eine Professur für IT-Recht an der Hochschule des Bundes für öffentliche Verwaltung in Brühl inne. Er engagiert sich dort insbesondere in den Studiengängen Verwaltungsinformatik (VIT) und Digital Administration & Cyber Security (DACS).

Prof. Dr. Wilfried Honekampist Informatiker und lehrte ab 2010 an der Hochschule Zittau/Görlitz als Professor für Softwaretechnik und Programmierung. Seit November 2014 ist er Professor für Angewandte Informatik am Fachhochschulbereich der Akademie der Polizei Hamburg. Er forscht u. a. zur Cybersicherheit von Schiffen und Hafenanlagen und zu illegalen Marktplätzen im Darknet. Seit 2016 organisiert er die jährliche Tagung Polizei-Informatik.

Mag. Dr. Edith Huberist Kriminalsoziologin, Kriminologin und Sicherheitsforscherin. Sie forscht seit rund 15 Jahren zu den Themen Cybercrime, Cyberstalking, Cybersicherheit und Informationssicherheit an der Donau-Universität Krems. Sie kann auf zahlreiche nationale und internationale Forschungsprojekte und Publikationen zurückblicken. Darüber hinaus ist sie an zahlreichen Studiengängen (Strafrecht, Wirtschaftsstrafrecht und Kriminologie, Security and Safety Management u. v. m.) als Dozentin tätig.

Dr. Lutz Martin Keppelerist Fachanwalt für Informationstechnologierecht und Partner der Kanzlei Heuking Kühn Lüer Wojtek. Er berät nationale und internationale Mandanten zu allen Fragen des IT- und Datenschutzrechts und ist in diesen Bereichen sowohl außergerichtlich als auch forensisch tätig. Für die öffentliche Hand hat er eine Vielzahl von IT-Vergaben und IT-Infrastrukturprojekte begleitet. Herr Dr. Keppeler arbeitet besonders intensiv an der Schnittstelle zwischen Technik und Recht, woraus sich Spezialgebiete wie das IT-Sicherheitsrecht, das Open Source Lizenzrecht, das Datenschutzrecht und das Cyber-Versicherungsrecht ergeben. Zu allen genannten Bereichen hält Herr Dr. Keppeler regelmäßig Vorträge und publiziert hierzu. Seit 2018 hält er eine Vorlesung zum Datenschutzrecht an der TH Köln.

Prof. Dr. Dirk Labuddeist Forensiker und studierter Physiker. Seit 2009 hat er eine Professur für Bioinformatik und seit 2014 ebenso für den von ihm gegründeten ersten Bachelorstudiengang für Allgemeine und Digitale Forensik an der Hochschule Mittweida. Darüber hinaus ist er als Berater für die Polizei und die Staatsanwaltschaft tätig und seit Anfang 2017 Teil des Fraunhofer Instituts für Sicherheit und Informationstechnologie (SIT) sowie seit 2019 Berater und Dozent an der Hochschule Fresenius.

Dipl.- Psychologin Ivona Matasarbeitet als (Trauma-)Therapeutin, Trainerin und psychologische Sachverständige in eigener Praxis in Köln. Neben der ‚analogen’ Sicherheit befasst sie sich seit 2007 mit Themen der digitalen Sicherheit und ist u. a. verantwortlich für die Durchführung von tiefenpsychologischen Security-Wirkungsanalysen, der Begleitung von Kampagnen mithilfe qualitativer Wirkungsforschung und der Entwicklung neuer Sensibilisierungstools. Sie tritt als Rednerin auf Konferenzen auf, führt Präsenztrainings und Sensibilisierungsmaßnahmen durch und schafft Awareness für die menschlichen Aspekte von Cybersecurity.

Prof. Dr. Katrin Möltgen-Sickingist seit 2003 Professorin für Politikwissenschaft und Soziologie an der Hochschule für Polizei und öffentliche Verwaltung NRW (HSPV NRW) sowie seit 2006 Lehrbeauftragte für Projektmanagement im MPA-Studiengang der Universität Kassel. Sie ist Mitglied der Forschungsgruppe Politische Partizipation der HSPV NRW. Zuvor war sie als Beraterin für Kommunal- und Landesverwaltungen tätig, u. a. bei der KGSt consult GmbH Kommunalberatung, PricewaterhouseCoopers und der Deutschen Gesellschaft für Mittelstandsberatung mbH.

Bettina Pospisil, MAIst Soziologin und war in den letzten sechs Jahren an verschiedenen Universitäten, wie der Wirtschaftsuniversität Wien und der Alpen Adria Universität Klagenfurt, tätig. Seit 2016 arbeitet sie als wissenschaftliche Mitarbeiterin an der Donau-Universität Krems und ist in dieser Position an verschiedenen drittmittel-finanzierten Forschungsprojekten zu den Themen Cybersicherheit und Technikforschung beteiligt.

Dr. Roman Povalejist seit Juli 2015 an der Polizeiakademie Niedersachsen als Professor für Informations- und Kommunikationstechnik und Cybercrime tätig. Seit 2004 betreut er Studierende und hält seit 2006 regelmäßig Informatik-Vorlesungen mit starkem Praxisbezug an diversen Hochschulen und Weiterbildungsinstituten. Er engagiert sich in mehreren Gremien und Arbeitsgruppen bei den Polizeien. Sein besonderes Anliegen ist das Voranbringen der Polizei-Informatik. Die jährliche Fachtagungsreihe Polizei-Informatik wurde 2016 als die erste Fachtagung für Lehrende und/oder Forschende in der Informatik an Hochschulen und Akademien der Polizeien ins Leben gerufen.

Heiko Rittelmeierist „gelernter“ Polizeibeamter und erwarb sich nebenberuflich einen Master of Science in Digitaler Forensik. Er ist als Leiter einer Cybercrime-Organisationseinheit im Bereich der Strafverfolgung tätig. Zusätzlich führt er Schulungen für Ermittler und Forensiker für diverse Behörden durch und arbeitet als freiberuflicher Sachverständiger für Digitale Forensik für Unternehmen und Behörden.

Prof. Dr. Susanne Schulteist Professorin für Wirtschaftspsychologie, insbesondere für Arbeits-, Personal- und Organisationspsychologie an der Hochschule Fresenius in Düsseldorf und leitet dort den Masterstudiengang Human Resources Management. Seit 2020 ist sie zudem hauptamtlich für die Hochschule für Polizei und öffentliche Verwaltung tätig und unterrichtet dort Personalmanagement sowie Verwaltungsmanagement und Organisation. Zuvor hat sie hier nebenamtlich das Fach Psychologie unterrichtet. Bis 2020 arbeitete sie über 20 Jahre im Personalbereich der Stadtverwaltung Köln, langjährig im dortigen Institut für Personalentwicklung und Eignungsprüfung sowie als Stabsstelle vorwiegend für die Themenbereiche im Arbeitsfeld der Personalauswahl, Personalentwicklung und Ausbildung.

Prof. Dr. Anna Schulzeist Mathematikerin und Informatikerin und war sechseinhalb Jahre beim Bundesverwaltungsamt als Referentin und Referatsleiterin im Bereich Softwareentwicklung und Projektmanagement tätig. Seit 2015 hat sie eine Professur für Mathematik und Informatik an der Hochschule des Bundes für öffentliche Verwaltung in Brühl und ist verantwortlich für die Studiengänge Verwaltungsinformatik und „Digital Administration and Cyber Security (DACS)“.

Mag. Heike Strumpenist seit 2004 wissenschaftliche Mitarbeiterin an der Donau-Universität Krems mit den Schwerpunkten Programmkoordination und -entwicklung für Information Security, IT in Healthcare und LifeScience und IT Consulting sowie Qualitätsmanagement. Darüber hinaus ist sie Lehrbeauftragte im Masterprogramm „Professional MSc Management und IT“ und hat an zahlreichen Artikeln zum Thema Informationssicherheit mitgearbeitet.

Fabian Weberhat neben seinem Master-Abschluss in Technischer Informatik auch die Laufbahnausbildung für den gehobenen technischen Dienst der Verwaltungsinformatik in Bayern absolviert. Kommunale Erfahrung sammelte er in der Stadtverwaltung Regensburg im Amt für Informations- und Kommunikationstechnik bevor er in den Bundesdienst zum Bundesamt für Sicherheit in der Informationstechnik wechselte. Dort war er sieben Jahre im Bereich der Zertifizierung von Software-Produkten tätig. Nach einer Abordnung zum Bundesministerium des Innern wechselte er 2018 an die Hochschule des Bundes, wo er in allen Bereichen der Informationstechnik lehrend tätig ist.

Bennet von Skarczinskiist Betriebswirt und seit 2015 bei der Unternehmensberatung Pricewaterhouse-Coopers (PwC) im Bereich Cyber Security & Privacy tätig. Seit 2017 promoviert er an der Universität Osnabrück am Fachbereich für Wirtschaftsinformatik und Unternehmensrechnung. Seine Schwerpunkte sind das betriebliche Management von Informationssicherheit und Cyber-Economics.

Prof. Dr. Gina Rosa Wollingerist Soziologin und Kriminologin und war sechs Jahre als wissenschaftliche Mitarbeiterin beim Kriminologischen Forschungsinstitut Niedersachsen e.V. tätig, wo sie u. a. zu den Themengebieten Wohnungseinbruch und Cyberkriminalität geforscht hat. Seit 2018 hat sie eine Professur für Soziologie und Kriminologie an der Hochschule für Polizei und öffentliche Verwaltung NRW am Studienort Köln.

Udo Zaudigbaute 1994 die Abteilung Informationssicherheit des Amtes für Informationsverarbeitung der Stadt Köln auf und ist seit 2003 Informationssicherheitsverantwortlicher/CISO der Stadtverwaltung Köln und der Stadtentwässerungsbetriebe Köln AöR. Daneben leitet er die Arbeitskreise der „Informationssicherheitsbeauftragten des KDN“ und der Arbeitsgruppe „Kritische Infrastrukturen im Kölner Raum“.

Vorwort

Prozesse der Digitalisierung in der Gesellschaft sind weder neu noch auf spezifische Kontexte beschränkt. Vielmehr scheinen nahezu alle Bereiche des alltäglichen Lebens, der Öffentlichkeit und nicht zuletzt der Arbeitswelt durch einen digitalen Wandel geprägt zu sein. Neben den vielen Vorteilen, wie beispielsweise erweiterte Partizipationsmöglichkeiten, Effizienz und sozialer Austausch, sind digitale Entwicklungstendenzen jedoch auch mit unerwünschten Dynamiken verbunden. So schaffen das Arbeiten und Leben mit Informationstechnik und Internet auch neue Möglichkeiten zur Begehung von Straftaten. Der Begriff „Cyberkriminalität“ mag dabei einerseits Assoziationen mit großen IT-Rechenzentren oder spezialisierten und erfolgreichen Unternehmen als Opfer und zurückgezogenen Hackern als Täter andererseits hervorrufen. Das Anliegen des vorliegenden Praxishandbuchs ist es, dies zu ändern. Denn die Komplexität der Digitalisierung spiegelt sich in der Vielfältigkeit von Angriffszielen und -arten sowie Opfern und Tätern im Bereich der Cyberkriminalität wider, was die Relevanz des Themas der Cybersecurity auch für die öffentliche Verwaltung begründet. Dabei sind wir als IT-Nutzer alle gefragt, denn die Aufgabe der Herstellung von Cybersecurity kann nicht an eine IT-Abteilung allein übertragen werden, sondern muss, wie des Weiteren zu zeigen sein wird, gesamtbehördlich geleistet werden.

Die Vielschichtigkeit des Phänomens der Cyberkriminalität und der Herstellung von Cybersecurity in der öffentlichen Verwaltung zeigte sich auch in unserer konzeptionellen Arbeit an dem vorliegenden Praxishandbuch. Denn schnell wurde deutlich, dass es nicht Informatiker allein sind, die hier das Thema allumfassend beleuchten und Hilfestellungen bieten können. Umso mehr freuen wir uns, dass es uns gelungen ist, eine interdisziplinäre Autorenschaft aus den Bereichen der Kriminologie, Mathematik, Informatik, Psychologie, Soziologie, Politikwissenschaft, Verwaltungswissenschaft, Wirtschaftswissenschaft, Rechtswissenschaft und Digitaler Forensik für das Praxishandbuch zu gewinnen. Diese verschiedenen Disziplinen nehmen jedoch nicht nur verschiedene Blickwinkel auf das Phänomen ein, sondern verfolgen teilweise auch ein unterschiedliches Erkenntnisinteresse und bedienen sich verschiedener Fachsprachen. Umso wichtiger zeigte sich der persönliche Austausch im Rahmen eines Autorenworkshops Anfang des Jahres, um einen Konsens in Bezug auf das Problem zu finden, verschiedene Kompetenzen und Sichtweisen abzustecken sowie Berührungspunkte und Überschneidungen zu erkennen. Im Anschluss wurden Beiträge neu ausgerichtet, einige Autoren haben sich intensiver miteinander abgestimmt und weitere thematische Aspekte wurden in den Band mit aufgenommen. Der persönliche Austausch und die Offenheit für andere Disziplinen ermöglichten uns, die Beiträge aufeinander abzustimmen sowie einen roten Faden im Praxishandbuch zu verankern und sichtbar zu machen.

Mit der vorliegenden ersten Ausgabe des Praxishandbuchs „Cybersecurity für die öffentliche Verwaltung“ wollen wir einen Beitrag dazu liefern, die Bedeutung von Cybersecurity, auch über die Mitarbeiter der IT-Abteilung hinaus, verständlich transportieren zu können sowie Handlungsmöglichkeiten für die öffentliche Verwaltung aufzuzeigen. Damit ist explizit der Anspruch verbunden, Personen mit verschiedenen beruflichen Hintergründen und Positionen innerhalb der Behörde zu erreichen. Darüber hinaus versteht sich das vorliegende Praxishandbuch jedoch ebenso als Einladung, sich auch zukünftig stärker interdisziplinär mit den Themen der Digitalisierung sowie Cyberkriminalität und Cybersecurity auseinanderzusetzen.

Köln, im September 2020

Die Herausgeberinnen

Einführung:Cybersecurity für die öffentliche Verwaltung

Gina Rosa Wollinger, Anna Schulze

Inhaltsübersicht

Einleitung

Zum Präfix „Cyber“

Cyberkriminalität

Ziel und Zielgruppe des Praxishandbuchs

Aufbau des Praxishandbuchs

Literatur

Einleitung

Die umfangreichen und vielfältigen Nutzungsmöglichkeiten des Internets sind keine neuen Phänomene und dennoch zeigte sich das Potenzial des Digitalen während der Corona-Krise in einer neuen Dimension. Noch nie wurden in Deutschland zu einer Zeit so viele Daten ausgetauscht, meldet der größte deutsche Internet-Knotenpunkt DE-Cix in Frankfurt1 und Netflix und YouTube reduzierten die Übertragungsraten, um dazu beizutragen, dass das Netz nicht völlig überlastet2. Doch neben der Quantität ist ein Blick auf das, was da qualitativ passiert, interessanter, denn plötzlich geht und passiert (fast) alles online: Sportkurse, Unterricht und sogar Feiern mit dem kleinen Club um die Ecke, sozialer Austausch und Netzwerke zur Unterstützung älterer Menschen und auch politische Abstimmungen und Entscheidungen können nun sowohl national als auch international in Videokonferenzen erfolgen. Die Corona-Krise bedeutete für etliche Personen aber auch viel freie Zeit zuhause. Gegen die Langeweile bot das Netz Live-Konzerte von Musikern in leeren Hallen, Online-Nähkurse, Einblicke in die kreativen und zum Teil auch skurrilen Beschäftigungen anderer Personen im eigenen Zuhause sowie jede Menge so genannter Corona-Songs. Der digitale Raum, oftmals abgegrenzt vom „realen“ Leben, wurde plötzlich zum Marktplatz der Gesellschaft und schuf soziale Nähe. Daneben ermöglichten das Internet, ein breites Softwareangebot und der eigene Computer aber auch, dass viele Menschen ihre Arbeit von Zuhause aus fortsetzen konnten.

Arbeiten außerhalb des Büros stellt selbstverständlich keine Neuerung durch die Corona-Krise dar. Vielmehr handelt es sich um einen, je nach Branche und Arbeitgeber mehr oder weniger, fest etablierten Bestandteil gegenwärtiger Arbeitsformen, welcher einst als Homeoffice bezeichnet wurde, der Möglichkeit, von Zuhause aus zu arbeiten, dann aber von den Begriffen der mobilen Arbeit und Telearbeit abgelöst wurde. Denn Arbeit findet mittlerweile nicht nur zuhause, sondern „überall“ – wie z. B. im Zug, am Flughafen oder im Café – statt. Die Arbeitswelt befindet sich in einem Prozess der Digitalisierung. Jedoch findet diese nicht allein durch die Entkoppelung von Arbeitsort und räumlicher Arbeitsstelle statt, sondern auch durch die Digitalisierung vieler Arbeitsabläufe, der Speicherung und Nutzung von Informationen, also Daten, und der Kommunikation. Kommunikationsverhältnisse haben sich in den letzten Jahrzehnten dadurch in einer noch die da gewesenen Geschwindigkeit elementar gewandelt.

Zum Präfix „Cyber“

Letztendlich ist diese sich digitalisierende Arbeitswelt jedoch auch mit Gefahren und Risiken verbunden, vor welcher eine neue Form von Sicherheit schützen soll: Informationssicherheit oder auch Cybersecurity genannt. Diese neue Säule in der komplexen Sicherheitsarchitektur moderner Gesellschaften führte auch zum Titel des vorliegenden Praxishandbuchs: „Cybersecurity für die öffentliche Verwaltung“. Noch ein Buch also mit dem Präfix „Cyber“, welchem Thomas Rid „unverwüstliche Attraktivität“ (2016, S. 423) bescheinigt. Dabei korrespondiert die wahrgenommene Allgegenwärtigkeit von „Cyber“, man denke nur an Begriffe wie Cyberspace, Cybermobbing, Cybersex, Cyberkrieg, jedoch nicht mit einem einheitlichen Begriffsverständnis oder gar Kenntnis dessen, was „Cyber“ eigentlich bedeutet. Vielmehr dürfte es den meisten Nutzern der genannten Worte sogar schwer fallen, genau zu benennen, was „Cyber“ darin eigentlich meint.

Was heißt „Cyber“? Thomas Rid (2016) hat diese Frage, mit der er wiederholt von seinen Studierenden konfrontiert wurde, zu dem Verfassen einer fünfhundertseitigen, sehr empfehlenswerten Abhandlung der Geschichte der Kybernetik, veranlasst. Die Historie der Kybernetik, d. h. einer Theorie der Maschine, kreist um die Fragen nach technischer Steuerung, Kommunikation und Automatisierung. Allerdings geht es dabei „nicht um Mechanik, sondern um Verhalten“ (Rid, 2016, S. 87). Die Mathematikerin Alice Mary Hilton beschrieb diese Differenzen in Form von zwei Revolutionen (siehe Rid, 2016, S. 133 f.): Während die landwirtschaftliche Revolutionen in Form von Werkzeugen die körperlichen Fähigkeiten der Menschen auf Geräte übertrug und perfektionierte bzw. erweiterte, sieht sie die zweite in der Erweiterung der geistigen Fähigkeiten in Form einer „Automatisierung der Industrieproduktion“ (ebd.). Die Kybernetik versucht in dem Sinn nicht die Körperkraft, sondern die geistige Kraft des Menschen nachzubilden bzw. zu erweitern und zu verbessern. So wie ein mechanisches Gerät nicht ermüdet und Verschleißerscheinungen größtenteils leichter und einfach behoben werden können als beim menschlichen Körper, so schafft die Kybernetik eine Ausführung geistiger Tätigkeiten wie das Ausführen von Rechenoperationen und das Erinnern bzw. Speichern von Informationen und Daten, nur besser, schneller, komplexer, ohne Flüchtigkeitsfehler und Phänomene wie das des Vergessens und der Ermüdung. Zwei zentrale Revolutionen quasi, in der der Mensch sich selbst, oder man könnte auch sagen, seine Kernkompetenzen neu erschafft in einer überarbeiteten und perfektionierten Version seiner selbst.

Dabei kommt dem Verständnis der geistigen Abläufe des Menschen zentrale Bedeutung zu: „Das Gehirn ist keine denkende Maschine, es ist eine handelnde Maschine“ wird Ross Ashby, der die Idee der Kybernetik mit vorantrieb 1948 zitiert (in Rid, 2016, S. 87). Und weiter: „Es erhält Informationen und unternimmt dann etwas aufgrund dieser Informationen“ (ebd.). Das Gehirn also als geistiger automatisierter Prozess auf Grundlage äußerer Reize und Eindrücke. Nicht die Vorstellung einer von freiem Willen, Spontanität und Kreativität geprägter, denkender Entität ist die Grundlage – ein solches Nachzubilden dürfte auch mit enormen Herausforderungen verbunden sein. Den Bezugspunkt bildet vielmehr das Verständnis von einem Gehirn, welches in einer Art und Weise programmiert ist, das automatisierte Prozesse ausführt, je nach Input. Dies bildet die zentrale Idee der Kybernetik: Anders als eine mechanische Maschine, die eine „Bewegung“ ausführt in der Art und Weise, wie sie gebaut ist, reagiert die kybernetische Maschine auf Informationen aus dem jeweiligen außen und verhält sich dementsprechend zu seiner Umwelt. Dabei verlaufen Entscheidungsprozesse in dem Sinn, dass in Situation A anders entschieden und reagiert wird als in Situation B, wobei die kybernetische Maschine erkennen können, welche Situation vorliegt und „auf Veränderungen in seiner Umwelt reagieren“ (Rid, 2016, S. 81) muss. Die Grenze zwischen System und Umwelt wird hierbei fraglich, sind doch beide miteinander quasi im Austausch bzw. beziehen sich aufeinander.3 Im weiteren Sinn beflügelte diese Vorstellung auch Autoren der Belletristik, insofern eine Vielzahl von Werken aufkam, in denen die Verschmelzung von Mensch und Maschine, z. B. in Form von so genannten Cyborgs, das zentrale Narrativ bildet und Science Fiction- und Cyberpunk-Genres prägten (Rid, 2016, S. 7 f.; 197 ff.).

Geprägt wurde der Begriff Kybernetik ferner auch von Norbert Wiener und seinem Buch „Kybernetik. Regelung und Nachrichtenübertragung im Lebewesen und in der Maschine“ von 1948 (Rid, 2016, S. 19). Wiener beschäftigte sich im Zusammenhang mit dem Zweiten Weltkrieg mit der Frage, wie der Luftraum kontrolliert werden kann bzw. wie die Luftangriffe der Deutschen abgewehrt werden können (Rid, 2016, S. 25-64). Dazu brauchte es Möglichkeiten, Flug- und Abwurfbahnen zu berechnen. Nach intensiver, durch die USA finanzierter wissenschaftlicher Forschung, zu der auch Ingenieure maßgeblich beitrugen, wurde u. a. das Radar entwickelt.

Das Präfix „Cyber“ ist entlehnt aus dem englischen Wort cybernetics, auf Deutsch Kybernetik. Kybernetik wiederum stammt von dem griechischem Verb kyvernó, was „steuern, lotsen oder herrschen“ (Rid, 2016, S. 19) bedeutet, wobei Thiedeke auf das griechische Wort kybernetike verweist, was er als „Kunst des Steuermanns“ übersetzt (2004a, S. 124). Der semantische Bezug zum Steuern und zu Kontrolle ist in mehrfacher Hinsicht interessant. Zum einen beschreibt er das, was kybernetische Maschinen vollziehen sollen, nämlich etwas automatisch steuern, etwas kontrollieren. Zum anderen wird jedoch in der öffentlichen Debatte über informationstechnische Systeme oftmals auch die Gefahr des eigenen oder menschlichen Kontrollverlusts im Zusammenhang mit informationstechnischen Systemen oder der so genannten künstlichen Intelligenz diskutiert. Verbunden damit sind Ängste, die Eigenständigkeit von quasi selbst denkenden Maschinen könnte zu der Übernahme der Macht und der Beherrschung der Menschen führen, welche sich auch wiederum in gegenwärtigen Erzählungen und Filmen wiederfindet.4 Oder, etwas weniger radikal formuliert, aber in seinen Auswirkungen nicht schwächer, die Befürchtung einer totalen Verlagerung des („realen“) Lebens ins Digitale. Das ist im Übrigen nicht eingetreten. Dafür, „dass die Gesellschaft selbst zum Cyberspace wird, gibt es keine Anhaltspunkte“ (Thiedeke, 2004b, S. 22). Persönlicher Austausch von Angesicht zu Angesicht findet weiter statt, selbst während der Corona-Krise mussten vielerorts Personen durch das Verhängen von Bußgeldern dazu gebracht werden, sich nicht zu treffen, Menschen reisen, sogar mehr denn je, Regierungschefs begegnen sich bei politischen Gipfeltreffen, Massenansammlungen, -veranstaltungen und -proteste geschehen analog. Hinzufügen könnte man ein „auch“, denn die genannten Austauschprozesse passieren auch digital. Insofern stellt der Cyberspace vielmehr eine Erweiterung der Kommunikationsmöglichkeiten und -formen (ebd.) als deren Ersatz oder gar vollständige Auflösung dar. Neben den genannten Befürchtungen sind ebenso viele der überhöhten Hoffnungen, die mit dem Cyberraum verbunden waren, nicht eingetreten. Die Welt ist nicht zu einem globalen Dorf mutiert, Partizipation und politische Bewegungen werden teilweise durch das Internet unterstützt und mancherorts sicherlich auch überhaupt erst ermöglicht, dennoch kann keine Rede von der Auflösung von etablierten Machtasymmetrien und Verteilungsstrukturen sein.

Und dennoch ergibt sich bezüglich der Frage der Macht der dritte Anknüpfungspunkt an den begrifflichen Bezug zur Kontrolle, denn der Cyberspace ist ein Raum, der von denen kontrolliert wird, die „seine technische Bedingungen kennen, die verstehen, es zu bedienen“ (Thiedeke, 2004a, S. 125). Sicherlich ist es angesichts der Wirkmacht von Facebook, Amazon und Co. nicht ganz unumstritten, wenn Udo Thiedeke ausführt, dass durch den Cyberraum Kontrolle „nicht mehr in den großen institutionalisierten Medienorganisationen der Funkhäuser, Verlage und Sendeanstalten konzentriert sind“ (ebd.). Aber die Kontrolle ist eben nicht nur bei den großen Konzernen, sondern auch bei all denen, die über Wissen verfügen, den Cyberraum für sich zu nutzen. Kennzeichnend dabei ist, dass nicht allein die Hersteller und Anbieter der Maschinen, Webseiten, E-Mail-Programme, digitalen Verwaltungssystemen und dergleichen über diese verfügen können: „Heute aber können die Maschinen zu Fall gebracht werden. Die Artefakte können gehackt werden. Die Kontrolle kann den Maschinen und natürlich auch den Menschen, die Maschinen als Werkzeuge gebrauchen, entrissen werden“ (Rid, 2016, S. 413). Mit anderen Worten, die Datenabläufe und -speicherungen, digitale Kommunikation und Verwaltung kann manipuliert, ausspioniert, zerstört und für vielfältige, schädigende Zwecke genutzt werden. Der Cyberraum ermöglicht auch die Cyberkriminalität.

Cyberkriminalität

Cyberkriminalität ist ein vielfältiger, nicht klar umgrenzter Deliktsbereich. Hierzu gehören sowohl Taten, bei denen das Internet oder informationstechnische Systeme nur das Tatmittel sind, wie beispielsweise Cybermobbing, Cyberstalking oder Warenbetrug bei Online-Händlern, als auch solche Fälle, bei denen die Hard- oder Software, informationstechnische Systeme, Webseiten usw. selbst manipuliert oder zerstört wurden. Die Bedrohungsformen und Angriffsarten sind demnach sehr vielfältig und unterschiedlich, aber sie sind nicht wirklich neu. Die Grundarten von strafbaren Handlungen, die hinter Delikten aus dem Bereich Cyberkriminalität liegen, sind keine neue Erscheinung, die erst mit technischer Veränderung ermöglicht wurden. Es handelt sich dabei um Diebstahls-, Betrugs- und zum Teil sogar Körperverletzungsdelikte sowie Vandalismus. Dies sind bekannte Straftaten, die wohl in jeder Gesellschaft und zu jeder Zeit, wenn auch in unterschiedlichem Ausmaß, passieren. Und hinsichtlich der Eigentumsdelikte sind sie auch der größte Anteil dessen, was die polizeilich registrierten Straftaten in Deutschland ausmacht (Bundeskriminalamt, 2020). Die Taten, die zum Kontext Cyberkriminalität zu fassen sind, sind keine neuartigen Erscheinungen; die Objekte, auf die sich die Taten beziehen bzw. die Tatmittel, stellen die wesentlichen Neuerungen dar.

Hieraus können zwei Schlussfolgerungen getroffen werden. Wenn davon ausgegangen wird, dass die Taten an sich nicht neu sind, bedeutet dies, dass die Motivation, solche Straftaten zu begehen, es auch nicht ist. Täter5 aus dem Bereich Cyberkriminalität sind demnach keine Personen, die sich durch sehr spezifische Motive oder Bezüge zur IT stark von anderen Personen, die straffällig auffallen, unterscheiden. Mit Blick auf den oben erwähnten großen Anteil der Straftaten aus dem Bereich der Eigentumsdelikte ist ferner davon auszugehen, dass es viele potenzielle Täter der Cyberkriminalität geben dürfte bzw. in Zukunft auch eine stärkere Verlagerung von vormals „analogen Straftaten“ in den digitalen Raum geben wird. Diese Überlegung wird durch die Tatsache bestärkt, dass zur Ausführung von Straftaten im bzw. mittels des Internets oder informationstechnischer Systeme nicht notwendigerweise auch IT-Kenntnisse vorliegen müssen. Das Internet ermöglicht es dabei, Straftaten bzw. das Ausführen zu kaufen, was auch, dem Dienstleistungsgedanken aufnehmend, crimeas-a-service genannt wird.

Zum anderen ist jedoch nicht nur von einer großen Anzahl (potenzieller) Täter auszugehen, sondern auch von vielen (potenziellen) Opfern. Wenn es Tätern aus dem Bereich Cyberkriminalität nicht ausschließlich um sehr spezielle Interessen geht, sondern auch um Schädigungen der Schädigungen willen und das Erlangen von Geld bzw. von Informationen, aus denen mittelbar Geld gewonnen werden kann, ist die Anzahl der (möglichen) Betroffenen hoch. Ferner richten sich viele Angriffe auch nicht an eine bestimmte Person, sondern werden beispielsweise über Mails massenhaft verbreitet, unabhängig davon, ob der Empfänger ein aus Tätersicht vielversprechendes Opfer ist oder nicht. Es kann demnach sogar berechtigterweise die Frage aufgeworfen werden, wer eigentlich nicht betroffen sein kann. Selbst kleine Handwerksbetriebe speichern ihre Kundendaten auf einem Computer und erstellen hiermit Rechnungen. Ebenso kann auch eine normale Arztpraxis in ihrer Existenz bedroht sein, wenn plötzlich alle Patientendaten verschlüsselt sind und nur durch die Zahlung eines Lösegelds (eventuell) wiedererlangt werden können. Um von einem Cyberangriff betroffen zu werden, ist es keine Voraussetzung, über besonders wertvolle Informationen und Daten zu verfügen, sondern schlichtweg nur eines: einen Computer zu besitzen.

So wurden bislang nicht nur Privatnutzer Opfer von Straftaten aus dem Bereich der Cyberkriminalität (Bundeskriminalamt, 2019), sondern auch Unternehmen (Dreißigacker et al., 2020). Ebenso erlebten auch schon etliche kommunale Verwaltungsbehörden Cyberangriffe mit zum Teil starken Auswirkungen auf die Aufrechterhaltung der behördlichen Arbeit.

Dies kann auch personelle Konsequenzen nach sich ziehen, wie folgendes Beispiel des Kammergerichts Berlin verdeutlicht.

Cyberangriffe auf die öffentliche Verwaltung sind nicht nur eine Unannehmlichkeit, bei welcher der Bürger gegebenenfalls ein wenig länger warten muss, bis sein Anliegen bearbeitet wird. Die Verwaltung verfügt einerseits über hochsensible Daten der Bürger. Andererseits sind das Funktionieren der Verwaltung sowie das Vertrauen des Bürgers darin ein elementarer Bestandteil des Rechtsstaates. Die Bedeutung von Cybersecurity für die öffentliche Verwaltung ist demnach immens, insbesondere in Anbetracht dessen, dass die Digitalisierung in diesem Bereich noch längst nicht abgeschlossen ist und spätestens durch das Onlinezugangsgesetz noch einmal eine neue Dynamik erfahren wird. Der Schutz der öffentlichen Verwaltung vor Cyberangriffen stellt demnach einen zentralen Schutz des Staates und der Gesellschaft dar.

Ziel und Zielgruppe des Praxishandbuchs

Das vorliegende Praxishandbuch will dabei einen Beitrag zur Cybersecurity der öffentlichen Verwaltung in Deutschland geben. Es richtet sich dabei vorwiegend an Mitarbeiter in Leitungspositionen von Behörden, die das Phänomen der Cyberkriminalität verstehen und die Bedrohungslage in Bezug zur behördlichen IT-Struktur einschätzen wollen, um in einem darauf folgenden Schritt die eigene Sicherheitsarchitektur zu überprüfen bzw. die angemessenen Schritte für eine Erhöhung der Cybersecurity einleiten zu können. Sicherlich kann nicht mittels des vorliegenden Praxishandbuchs eins zu eins die eigene Informationssicherheit hergestellt oder verbessert werden, insofern es sich nicht um einen Umsetzungsplan handelt, den man wie eine Checkliste abarbeiten kann, handelt. Aufgrund der vielfältigen Konstellationen und Unterschiede im Bereich von behördlicher Arbeit und Aufgaben bzw. von Kommunen ist es wohl auch mehr als fraglich, ob hierzu überhaupt ein Buch im Sinne einer Anleitung geschrieben werden kann. Dennoch erhebt das Praxishandbuch den Anspruch, zu Handlungskompetenz zu verhelfen. Um ein IT-Sicherheitskonzept in der eigenen Behörde umzusetzen, bedarf es jedoch zunächst Wissen darüber, welche Gefahren es abzuwehren gilt, welche (auch zukünftigen) Herausforderungen mit einer sich digitalisierenden Kommune verbunden sind, welche Anforderungen, insbesondere rechtlicher Art, an die Behörde gestellt werden und welche Rolle dabei auch die eigenen Mitarbeiter spielen. Erst auf der Grundlage dieses Wissens, bestehend aus Grundlagenwissen und Best-Practice-Beispielen, können die eigenen „Baustellen“ erkannt und weitere Maßnahmen sinnvoll angegangen werden.

Daneben richtet sich das Praxishandbuch aber auch allgemein an Mitarbeiter von kommunalen Behörden, denn wie in mehreren Kapiteln dieses Buchs deutlich wird, ist es für die Cybersecurity unerlässlich, dass jeder Anwender einer Behörde über ein Verständnis von Cyberkriminalität verfügt und ihm die Gefahren im Berufsalltag bewusst sind. Letztendlich richtet sich das Praxishandbuch aber auch an all jene, die sich für Cyberkriminalität und Möglichkeiten seiner Verhinderung mit Bezug zu institutionellen Strukturen, wie sie in Form von Behörden und Unternehmen gegeben sind, interessieren. Es richtet sich explizit nicht an IT-Experten, wobei sicherlich auch der eine oder andere interessante Aspekt für Mitarbeiter von IT-Abteilungen vorzufinden ist. Vorwiegend soll es jedoch gerade durch die Vermeidung der Verwendung einer IT-Fachsprache das weitläufige Phänomen der Cyberkriminalität und die Möglichkeiten von Sicherheit in dem Bereich einer breiten interessierten Leserschaft zugänglich machen. Denn die Herausforderung im Umgang mit Cyberkriminalität wird nicht allein durch IT-Experten gelöst werden, vielmehr geht sie uns alle an.

Aufbau des Praxishandbuchs

Dem skizzierten Ziel und der anvisierten inhaltlichen Ausrichtung folgt der Aufbau des Praxishandbuchs. Dieses gliedert sich in vier Teile: Phänomen Cyberkriminalität, Digitalisierung und Kommunen, Informationssicherheit für Kommunen und abschließend ein Ausblick auf Innovationen zur Begegnung von Cyberangriffen.

Im ersten Teil „Phänomen Cyberkriminalität“ wird Grundlagen- und Hintergrundwissen zu Cyberkriminalität vermittelt. Dabei geht es um das Phänomen als solches, was es ist, wie verbreitet es in Deutschland ist und wer die zentralen Akteure in diesem Zusammenhang sind. Hierzu erläutern Gina Rosa Wollinger, Arne Dreißigacker und Bennet von Skarczinski in Kapitel 1 grundlegende Begriffe aus den Bereichen Sicherheit und Cyber. Dabei werden verschiedene Bedrohungsformen beschrieben und beispielhaft dargestellt. In Kapitel 2 führen Edith Huber, Noella Edelmann, Bettina Pospisil und Heike Strumpen aus, was über die Täter im Bereich Cyberkriminalität bekannt ist und zu welchen Ergebnissen sie in ihrer Forschung gekommen sind. In Kapitel 3 beschreiben Arne Dreißigacker und Gina Rosa Wollinger das Ausmaß von Cyberangriffen in Deutschland. Welche Rolle im Zusammenhang mit Cyberkriminalität die Polizei spielt, wie diese vorgeht und welche Angebote sie zur Prävention und Aufklärung bietet, beschreiben Wilfried Honekamp, Roman Povalej, Heiko Ritelmeier und Dirk Labudde in Kapitel 4.

Im zweiten Teil „Digitalisierung und Kommunen“ wird der Bezug der Kommunen zum Gegenstandsbereich der Digitalisierung herausgearbeitet. Torsten Fischer und Katrin Möltgen-Sicking beschreiben in Kapitel 5, durch welche Digitalisierungstendenzen die öffentliche Verwaltung geprägt ist und welche Herausforderungen damit einhergehen. Götz Fellrath beschreibt in Kapitel 6, wie die Kommunen in Bezug auf die Digitalisierung organisiert sowie strukturiert sind und erläutert hier verschiedene Umsetzungsszenarien. In Kapitel 7 bezieht Susanne Schulte das Phänomen der Digitalisierung in der öffentlichen Verwaltung auf die damit verbundenen Anforderungen an das Personal und geht der Frage nach, was IT-Kompetenz eigentlich bedeutet und wie diese unter den Mitarbeitern erhöht werden kann. Bezüglich der Anforderungen an die öffentliche Verwaltung in Bezug zur Digitalisierung erläutert Thomas Deelmann in Kapitel 8 den Hintergrund einer IT-Sicherheitsstrategie und inwiefern diese in die Gesamtstrategie der Behörde eingebettet werden muss.

Im dritten Teil „Informationssicherheit für Kommunen“ führt Lorenz Franck in Kapitel 9 in die gesetzlichen Vorschriften und Rahmenbedingungen für Informationssicherheit ein. Er behandelt hierbei das Informationssicherheits- und Datenschutzrecht aus der kommunalen Perspektive. In Kapitel 10 stellen Marie Bergmann und Anna Schulze den BSI-Grundschutz sowie die Norm ISO 27001 vor. Diese bilden eine fundamentale Grundlage, um Informationssicherheit in Behörden umzusetzen und sicherzustellen. In den technischen Hintergrund für maßgebliche Sicherheitsmaßnahmen wird in Kapitel 11 von Anna Schulze und Fabian Weber eingeführt. Hierbei werden Grundlagen kryptografischer Verfahren erläutert, um dann elektronische Vertrauensdienste darzustellen, wie sie in Kommunen genutzt werden. In Kapitel 12 geht Ivona Matas vertieft auf die nötige Mitarbeitersensibilisierung für den Bereich Cybersecurity ein. Udo Zaudig stellt in Kapitel 13 die Einführung eines Informationssicherheitsmanagements in der kommunalen Praxis vor.

Im vierten Teil „Ausblick: Innovationen zur Begegnung von Cyberangriffen“ erläutert Lutz Martin Keppeler, inwiefern es mittlerweile möglich ist, sich die Folgen von Cyberkriminalität zu versichern und inwiefern eine Cyberversicherung eine Option für Kommunen sein bzw. werden könnte. Abschließend stellt Fabian Weber in Kapitel 15 die Blockchain-Technologie vor und geht auf die prominenteste Anwendung, die Kryptowährungen, ein, um abschließend weitere Anwendungsmöglichkeiten der Blockchain zu beleuchten.

In den skizzierten vier Teilen des vorliegenden Praxishandbuchs sollen somit die verschiedenen Dimensionen von Cybersecurity für die öffentliche Verwaltung aufgezeigt werden. An dieser Stelle möchten wir uns recht herzlich bei Andrea Lentz vom Kommunal- und Schul-Verlag für die Idee, zu dem Themengebiet Cyberkriminalität und Kommunen ein Praxishandbuch zu schreiben und für die fortlaufende Unterstützung bei der Umsetzung bedanken. Ein großer Dank gilt auch den Autorinnen und Autoren, die neben ihren Beiträgen das Praxishandbuch auch durch die vielen anregenden Diskussionen und inhaltlichen Abstimmungen untereinander erst ermöglichten.

Literatur

Bundeskriminalamt, Der Deutsche Viktimisierungssurvey 2017, Wiesbaden 2019.

Bundeskriminalamt, Polizeiliche Kriminalstatistik 2019, Wiesbaden 2020.

Dreißigacker, Arne/von Skarczinski, Bennet/Wollinger, Gina R., Cyberangriffe gegen Unternehmen in Deutschland. Ergebnisse einer repräsentativen Unternehmensbefragung 2018/2019, Forschungsbericht Nr. 152, Kriminologisches Forschungsinstitut Niedersachsen e.V., Hannover 2020.

Rid, Thomas, Maschinendämmerung. Eine kurze Geschichte der Kybernetik, Berlin 2016.

Thiedeke, Udo, Cyberspace: Die Matrix der Erwartungen, in Thiedeke, Udo (Hrsg.), Soziologie des Cyberspace. Medien, Strukturen und Semantiken, Wiesbaden 2004a, S. 121-143.

Thiedeke, Udo, Wir Kosmopoliten: Einführung in eine Soziologie des Cyberspace, in Thiedeke, Udo (Hrsg.), Soziologie des Cyberspace. Medien, Strukturen und Semantiken, Wiesbaden 2004b, S. 16-47.

1https://www.sueddeutsche.de/digital/coronavirus-internet-chance-digitalisierung-1.4846552 (abgerufen am 24.3.2020).

2https://www.tagesschau.de/wirtschaft/youtube-corona-netflix-101.html (abgerufen am 24.3.2020).

3Eine frühe Ausformulierung dieser Vorstellung findet sich bei Ross Ashby (siehe dazu Rid, 2016, S. 76 ff.). Ashby war kein Mathematiker, sondern Major der Sanitätstruppe der Royal Army und arbeitete in einer psychiatrischen Klinik. Nach Ashby ist ein Organismus dadurch gekennzeichnet, dass er sich im ständigen Austausch mit seiner Umwelt selbstständig regulieren muss, um zu überleben. Körpertemperatur, Hormonausschüttung, Blutzuckerspiegel – ein Organismus durchläuft permanent automatisierte Prozesse, die sich im Austausch mit der Umwelt befinden bzw. auf Reize und Informationen reagieren. Insofern ist nach Ashbyein Organismus letztendlich ein Mechanismus und dieser Ausgangspunkt für eine Theorie der Maschine, der Kybernetik.

4Verwiesen sei hier beispielhaft auf den Film Matrix, unzählige Folgen der Krimi-Serie Tatort, bei welchen beispielsweise ein technischer Militärhelm Soldaten beeinflusst oder die IT im Auto zum Täter wird sowie auf den ebenfalls sehr empfehlenswerten, Roman „Maschinen wie ich“ von Ian McEwanaus dem Jahr 2019 (erschienen bei Diogenes).

5Im Folgenden wird nur die männliche Form verwendet, wobei stets Personen sowohl des weiblichen als auch des männlichen Geschlechts gemeint sind.

6https://www.hessenschau.de/panorama/nach-schadsoftware-attacke-frankfurt-wieder-online,it-system-stadt-frankfurt-100.html (abgerufen am 4.4.2020).

7Ebd.

8https://www.tagesspiegel.de/berlin/virus-befall-am-berliner-kammergericht-warnung-vor-emotet-wurde-tagelang-ignoriert/25539068.html (abgerufen am 24.3.2020).

9https://www.tagesspiegel.de/berlin/virus-attacke-auf-berliner-kammergericht-it-chef-des-obersten-landesgerichts-muss-gehen/25559304.html (abgerufen am 24.3.2020).

Teil 1

Phänomen Cyberkriminalität

1. Formen der Bedrohung von Cyberkriminalität

Gina Rosa Wollinger, Arne Dreißigacker, Bennet Simon von Skarczinski

Inhaltsübersicht

1.1 Einleitung

1.2 Begriffsklärung: Cyber und Sicherheit

1.3 Perspektiven auf Cyberkriminalität

1.3.1 Kausale Perspektive

1.3.2 Forensische bzw. technische Perspektive

1.3.3 Betriebswirtschaftliche Perspektive

1.3.4 Kriminologische Perspektive

1.3.5 Perspektive der Strafverfolgung

1.4 Formen der Bedrohung von Cyberkriminalität

1.4.1 Schadsoftware-Angriff

1.4.2 Botnetz

1.4.3 Ransomware

1.4.4 (Distributed) Denial-of-Service

1.4.5 Spyware

1.4.6 Social Engineering

1.4.7 Phishing

1.4.8 Weitere Angriffsarten

1.5 Fazit

1.6 Literatur

1.1Einleitung

Fast täglich berichten Medien über Vorfälle im Bereich Cyberkriminalität. Neben großen Unternehmen sind dabei auch kleine Firmen und Privatnutzer betroffen, ebenso wie kommunale Behörden. So musste die Stadtverwaltung von Neustadt am Rübenberge, eine Stadt mit rund 46000 Einwohnern in der Region Hannover, im September 2019 alle IT-Systeme abschalten.1 Eine Schadsoftware hatte die Systeme angegriffen. Für die Bürger von Neustadt war die Stadtverwaltung daraufhin zunächst nur noch telefonisch oder vor Ort erreichbar. Selbst eineinhalb Wochen später konnten weder Autos angemeldet noch viele weitere Dienstleistungen der Stadtverwaltung genutzt werden.2

Im Fall von Neustadt war es ein Trojaner, der den Schaden ausgelöst hatte. Das Phänomen Cyberkriminalität weist jedoch noch viele weitere Bedrohungsformen und Angriffsarten auf. Ziel des vorliegenden Kapitels ist es, diese näher darzustellen und damit zu skizzieren, was mit Cyberkriminalität gemeint ist. Dabei sind die Eingrenzung und Definition von Cyberkriminalität mit einigen Schwierigkeiten und Besonderheiten verbunden. Ein Grund hierfür ist, dass das Beschäftigungsfeld Cyberkriminalität durch eine Vielfalt an Akteuren gekennzeichnet ist. Neben unterschiedlichsten Gruppen von Betroffenen (Privatpersonen, Unternehmen, Staat usw.), sind auch die Täterstrukturen sehr heterogen (siehe dazu auch Kapitel 2 im vorliegenden Band). Ferner nehmen sich unterschiedliche Institutionen dem Thema an: Polizei-, Ermittlungsbehörden und Nachrichtendienste sind von staatlicher Stelle zu nennen, IT-Sicherheitsdienstleister bieten Beratungsangebote und Produkte an, um ihre Kunden vor Cyberkriminalität zu schützen. Zahlreiche Vereine und Verbände bilden Initiativen, um aufzuklären und für das Thema zu sensibilisieren. Wissenschaftler untersuchen Motivationen, so genannte Kill-Chains und Auswirkungen von Cyberangriffen und auch die Politik sieht Handlungsbedarf. Letzteres führte zu veränderten gesetzlichen Rahmenbedingungen, wie beispielsweise in Form des 2015 erlassenen Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (so genanntes IT-Sicherheitsgesetz), und anderen politischen Initiativen wie die Initiative IT-Sicherheit in der Wirtschaft. Gefahren im Bereich der Informationssicherheit werden somit schon seit langer Zeit nicht nur in einem wissenschaftlichen Kontext, sondern verstärkt auch in der Fachpraxis, der Politik sowie der Öffentlichkeit diskutiert. So positiv es einerseits ist, dass das Thema der Gefahren im Zusammenhang mit dem Internet, der Digitalisierung und informationstechnischer Systeme breit aufgegriffen wird, so birgt dies andererseits jedoch auch spezifische Schwierigkeiten.

Zum einen führt das breite Spektrum des Phänomens Cyberkriminalität in Verbindung mit der Vielzahl unterschiedlicher Akteure zu einem Wildwuchs an Definitionen und Systematisierungen. Zahllose Versuche in der Literatur wurden unternommen, um Cybercrime in Taxonomien, Typologien, Klassifizierungen und Kategoriensystemen zu erfassen, aber wenige haben sich in der Praxis durchgesetzt (siehe McGuire/Dowling, 2013; Paoli et al., 2018). Beispielsweise werden die Begriffe Informationssicherheit, IT-Sicherheit, Cyber-, Computer- bzw. Datensicherheit, Datenschutz und viele weitere synonym verwandt. Trotz aller Bemühungen fehlt es bislang an einer allgemeingültigen und konsensfähigen Definition und Systematisierung von Cyberkriminalität. Die uneinheitlichen Begriffsverwendungen und Begriffsverständnisweisen hemmen dabei die Transparenz und Vergleichbarkeit, beispielsweise in der statistischen Erfassung von Cyberkriminalität oder der Ausgestaltung von Richtlinien und Standards.

Zum anderen wird jedoch auch durch die mitunter unbegründete Uneinheitlichkeit interessierten Personen der Einstieg in das Thema erschwert. Die Schwierigkeit, einen Zugang zu dem Phänomenbereich Cyberkriminalität zu erlangen sowie Grundkenntnisse zu einem sicheren Umgang mit IT-Systemen zu erwerben, erscheint insbesondere aufgrund der Tatsache problematisch, dass digitale Programme und computerbasierte Prozesse stark in den Alltag und der Arbeitswelt des überwiegenden Teils der Bevölkerung integriert sind. Vor dem Hintergrund, dass die fortschreitende Digitalisierung und damit verbundene Sicherheitsrisiken eine gesellschaftliche Herausforderung darstellen, kann und darf das Thema Cyberkriminalität bzw. die daraus resultierende Notwendigkeit für Informationssicherheit kein Expertenthema bleiben.

Ziel des vorliegenden Beitrags ist es, die verschiedenen Sichtweisen auf Cyberkriminalität sowie die Formen der Bedrohung auf informationstechnische Systeme undogmatisch zusammenzufassen, um dem Leser die Einordnung des Themas zu ermöglichen. Durch diese Orientierung ist es möglich, Unterschiede und Gemeinsamkeiten in weiterführender Literatur zu erkennen und kritisch zu würdigen. Dieser Beitrag stellt keine abschließende und nach wissenschaftlichen Kriterien erarbeitete Taxonomie3 dar, sondern hat als Ziel, die Vielfalt von Cyberkriminalität punktuell aufzuzeigen und zu erläutern. Im Folgenden wird dazu zunächst eine Erläuterung verschiedener Begriffe im Zusammenhang mit „Cyber“ und „Sicherheit“ gegeben. Darauf aufbauend, werden die verschiedenen Perspektiven auf das Thema dargestellt. Abschließend werden die zentralen Formen der Bedrohung von Cyberkriminalität für Kommunen erklärt. Hierbei wird insbesondere auf Unterschiede und Überschneidungen eingegangen.

1.2Begriffsklärung: Cyber und Sicherheit

Der Begriff „Cyber“ hat mittlerweile breite Verwendung sowohl in der Wissenschaft, der Fachpraxis wie auch in der allgemeinen Bevölkerung und öffentlichen Diskussionen gefunden. Dennoch ist der Gegenstandsbereich, der mit Cyber gemeint ist, nicht eindeutig und v. a. nicht einheitlich definiert. Der Begriffsursprung ist abgeleitet aus dem Wort Kybernetic, welches wiederum auf dem griechischen Verb kyvernó beruht, was „steuern, lotsen oder herrschen“ (Rid, 2016, S. 19) bedeutet, wobei Thiedeke auf das griechische Wort kybernetike verweist, was er mit „Kunst des Steuermanns“ übersetzt (2004, S. 124). Geprägt wurde der Begriff von dem Mathematiker Norbert Wiener und seinem wirkmächtigen Buch „Kybernetik. Regelung und Nachrichtenübertragung im Lebewesen und in der Maschine“ von 1948 (Rid, 2016, S. 19). Die Kybernetik versteht sich darin als Theorie der Maschinen, welche sich mit der Frage nach der Möglichkeit beschäftigt, dass Maschinen lernen, sich verhalten und denken können.

Dabei stellte eine wesentliche Entwicklungsdynamik der Zweite Weltkrieg dar, in welchem durch die massiven Luftangriffe der Deutschen, insbesondere auf England, die Kontrolle des Luftraums und die Möglichkeit der Luftabwehr zu einer zentralen Herausforderung wurden (Rid, 2016, S. 25-64). Das hauptsächliche Problem im Zusammenhang der Luftabwehr bestand darin, dass Flug- und Abwurfbahnen schlecht berechnet werden konnten. Die USA investierten viel Geld in wissenschaftliche Forschung in dem Bereich und auch Ingenieure trugen zu zentralen Entwicklungen bei, wodurch u. a. das Radar erfunden wurde. Einen weiterer Meilenstein der Kybernetik stellen die Arbeiten von Ross Ashby dar (Rid, 2016, S. 76 ff.), welche das Time-Magazin als die Erfindung der ersten „denkenden Maschine“ (zitiert in ebd., S. 77.) bezeichnete. Kurz zusammengefasst bestand das Besondere an dem von Ashby entwickelten Gerät darin, dass die Maschine auf Außeneinwirkungen reagierte und selbstständig eine Lösung fand, mit diesen umzugehen. Dies war für Ashby die zentrale Parallele zu dem menschlichen Gehirn, welches weniger dadurch gekennzeichnet sei, dass es denkt, als dass es handelt: „Es erhält Informationen und unternimmt dann etwas aufgrund dieser Informationen“ (zitiert in Rid, 2016, S. 87). Dies beschreibt das Wesen der Kybernetik: Während es mechanische Maschinen bereits gab, beschäftigt sich die Kybernetik mit Maschinen, die sich verhalten und sich somit an menschlichen Denkprozessen orientieren, nur – so die Vorstellung, Hoffnung oder auch Befürchtung– besser und ohne menschliche Schwächen. 1963 bezeichnete die Mathematikerin Alice Mary Hilton die Neuerung der kybernetischen Idee als den Eintritt in ein Zeitalter der „Cyberkultur“ (Rid, 2016, S. 133 ff.). Während die industrielle Revolution die körperlichen Fähigkeiten des Menschen erweiterten, welche von Maschinen effektiver ausgeführt werden konnten, erweiterten automatisierte, kybernetische Systeme die geistigen Fähigkeiten.

Heute fungiert die Entlehnung Cyber als Präfix zahlreicher Begriffe wie Cyber-Raum, Cyber-Krieg, Cyber-Sicherheit, Cyber-Sex und viele mehr. Wenn auch keine einheitliche Definition des Wortes auszumachen ist, so scheint dennoch die Voranstellung Cyber an einen Begriff dazu zu dienen, einen Bezug zu informationstechnischen Systemen, dem Internet und der Datenverarbeitung herzustellen. Ebenso trägt das vorliegende Handbuch den Begriff „Cyber“ im Titel, verbunden mit dem Ziel, bei dem Leser eine Assoziation zu den vorgenannten Bereichen herzustellen.

In Bezug auf Kriminalität setzte sich der Begriff erst allmählich durch und löste damit u. a. die Begriffe „virtual criminology“ oder Informations- und Kommunikationstechnik-Kriminalität, so genannte IuK-Kriminalität, ab, wobei letzteres teilweise immer noch innerhalb von Strafverfolgungsbehörden Anwendung findet (Jaishankar, 2007, S. 1; Wernert, 2014, S. 25 f.). Der Europarat erließ im Jahr 2009 die „Convention on Cybercrime“, welche von Deutschland ratifziert wurde (Wernert, 2014, S. 25). Demnach gehören zu Cyberkriminalität Straftaten, die sich gegen Computerdaten und -systeme richten sowie solche, die mittels Computer, und somit auch u. a. mittels des Internets, begangen werden (ebd.). Hieraus folgt die Einteilung von Cyberkriminalität im weiteren sowie im engeren Sinn (siehe dazu weiter unten). Dem schloss sich auch ein Arbeitskreis der Innenministerkonferenz an und schlug vor, den bisherigen Begriff der IuK-Kriminalität durch Cybercrime, im folgenden Cyberkriminalität genannt, zu ersetzen (ebd., S. 26). Hierzu sollen Straftaten gehören, die sich gegen das „Internet, weitere Datennetze, informationstechnische Systeme oder deren Daten richten“ (ebd.) bzw. auch strafrechtliche Handlungen, die durch Informationstechnik begangen werden, wie beispielsweise Cybermobbing. Insofern ist Cyberkriminalität nicht nur auf internetbezogene Straftaten fokussiert, indem auch Angriffe auf Daten und informationstechnische Systeme, unabhängig von einer Einbindung ins Internet, umfasst werden.4

Im Kontext von Cyberkriminalität ist ferner auch der Begriff „Sicherheit“ von einer breiten und vielfältigen Verwendung geprägt. Im Allgemeinen beschreibt der Begriff „Sicherheit“ einen Zustand, der frei von Gefahr ist. Sicherheit wird im englischsprachigen Raum hingegen gleich durch vier Begriffe beschrieben: safety, security, protection und privacy (siehe u. a. Klipper, 2015). „Safety“ entspricht der Betriebs- oder Funktionssicherheit, was bedeutet, dass das Objekt so funktioniert, wie es auch konstruiert wurde.

„Security“ meint hingegen die Sicherung eines Systems gegen unerlaubten Zugriff, z. B. Veränderung oder Informationsgewinnung durch unautorisierte Dritte.

„Protection“ beschreibt die Datensicherheit oder auch Datensicherung5, also den Schutz bestimmter Daten vor Verlust oder Zerstörung und nimmt dabei den technischen oder physischen Schutz des Datums selbst in den Vordergrund.

„Privacy“, auch als „Data Protection“ im Sinne der Europäischen General Data Protection Regulation (GDPR) bezeichnet, hingegen beschreibt den Schutz personenbezogener Daten, d. h. den Datenschutz, und somit das Recht jeder natürlichen Person auf informationelle Selbstbestimmung. Damit verlässt der Fokus beim Datenschutz vordergründig erst einmal die Technik und den Blick auf eine Organisation und ihre Systeme und wendet sich dem Menschen als Individuum zu. Es geht hier vorrangig um Verarbeitungen, also Prozesse und Systeme, die personenbezogene Daten, wie Kontaktdaten, Positionsdaten, Gesundheitsdaten, Informationen zu politischen Meinungen und sexueller Orientierung usw., speichern und nutzen sowie um die Frage, wie die natürliche Person diese Datennutzung überblicken und mitbestimmen kann. Die seit Mai 2018 wirksame Datenschutzgrundverordnung (DSGVO) regelt den Datenschutz europaweit und stellt darin auch gewisse Anforderungen an die Ausgestaltung von IT-Systemen und Prozessen und deren Sicherheit, was näher in den Kapitel 9 und 10 im vorliegenden Band dargestellt ist. Dadurch sind Datenschutz und Daten- bzw. Informationssicherheit eng miteinander verbunden, aber in ihrer Bedeutung keinesfalls gleichzusetzen.

Der in diesem Sinne verwandte Begriff der Sicherheit wird häufig um einen der Präfixe Informations-, IT- oder Cyber- ergänzt. In Fachkreisen des deutschsprachigen Raums wurde der Begriff IT-Sicherheit immer stärker durch den weiter gespannten Begriff der Informationssicherheit verdrängt, während in der öffentlichen Diskussion der Begriff Cybersicherheit stärker aus dem anglo-amerikanischen Raum übernommen wurde (siehe auch Klipper, 2015; Bundesamt für Sicherheit in der Informationstechnik, 2017). Auch wenn die Nutzung der Begriffe nicht immer einheitlich erfolgt, soll für diesen Beitrag die Begriffseinordnung gemäß der Abbildung 1 gelten.

Unabhängig davon, welcher Begriff dem jeweiligen Nutzer näher liegt, verfolgen Informationssicherheit, Cybersicherheit und IT-Sicherheit ein gemeinsames Interesse: die Beschreibung der Schaffung von Resilienz gegen Gefahren aus dem Cyberraum. Gemeinhin wird diese Absicht durch die so genannten Ziele der Informationssicherheit Vertraulichkeit, Integrität und Verfügbarkeit dargestellt (siehe Abbildung 2). Informationssicherheit ist gegeben, wenn für ein bestimmtes System, einen Prozess oder eine Information die drei Schutzziele gewährleistet sind. Wenn die Vertraulichkeit eines Systems vorhanden ist, werden geschützte Informationen nicht unbefugt an Dritte preisgegeben. Nur berechtigte Personen können in zulässiger Weise auf die Informationen zugreifen (Bundesamt für Sicherheit in der Informationstechnik, 2017). Beispielsweise würde ein an einen Computer per USB angeschlossener Keylogger Benutzerzugänge und Passwörter, die über die Tastatur eingegeben werden, aufzeichnen und damit die Vertraulichkeit dieser Daten schädigen. Der Computer wäre aber weiterhin nutzbar und die Passwörter wären weiterhin korrekt und funktionsfähig. Das Schutzziel Integrität beschreibt die Einhaltung der Unversehrtheit bzw. Korrektheit, Vollständigkeit und Unverändertheit von Informationen sowie der Funktionsweise von Systemen (ebd.). Wenn beispielsweise ein Hacker durch einen Fernzugriff Einträge in einer Datenbank auf einem Computer verändert oder diese löscht, wäre die Integrität dieser Daten bzw. des Systems verletzt. Die Verfügbarkeit von Systemen, Netzen und Informationen hingegen ist gewährleistet, wenn die Anwender diese wie vorgesehen nutzen können (ebd.). Ein Beispiel für die Verletzung des Schutzziels Verfügbarkeit ist eine Überlastung eines E-Mail-Servers durch massenhaft eingehende E-Mails (so genannter Denial-of-Service-Angriff, siehe unten). Durch die Überlastung der eingehenden E-Mails ist es dem Anwender nicht mehr möglich, selbst E-Mails zu lesen oder zu verschicken, da diese nicht mehr geladen werden können.

Da der bereits genannte Sicherheitsbegriff „frei von Gefahr“ in einer Welt mit beschränkten Ressourcen in der Realität nie erreicht werden kann, muss eine Organisation gezielte Maßnahmen und Strategien anwenden, um sich ausgehend von den eigenen Schutzzielen vor Gefahren zu schützen. Im Sinne eines bestmöglichen Schutzes vor dem Hintergrund von Wirtschaftlichkeits- und Praktikabilitätsaspekten sollte der Begriff „Sicherheit“ als die Abwesenheit unvertretbarer Risiken verstanden werden. In diesem Satz stecken viele Fragen, die durch eine Organisation aufgenommen und angemessen beantwortet werden müssen. Was ist überhaupt ein Risiko? Welche Daten oder Prozesse sind der Organisation wichtig? Gegen was oder wen sollen sie geschützt werden? Wann ist ein Risiko vertretbar? Welche Schutzmaßnahmen sind wirkungsvoll? Welche Maßnahmen sind wirtschaftlich vertretbar?

Um diese Fragen zu beantworten, ist in einem ersten Schritt eine Analyse der eigenen Organisation nötig. Daran schließen sich in einem zweiten Schritt Überlegungen zu konkreten Schritten und Handlungen an, um die Informationssicherheit in der Organisation zu stärken, aber auch, auf welche Maßnahmen bewusst verzichtet wird und inwiefern dies vertretbar ist. Handlungen können beispielsweise in Form von Investitionen in technische Sicherheitsmaßnahmen – wie Antiviren-Software, Firewalls, Back-Up-Server oder Intrusion Detection Systeme – vorliegen. Oder eine Organisation entschließt sich, so genannte organisatorische Sicherheitsmaßnahmen – wie die Implementierung schriftlicher Sicherheitsrichtlinien, Freigabe- und Vertreterregelungen – oder die Erhöhung der Risikosensibilisierung von Mitarbeitern durch gezielte Schulungen und Trainings auszubauen (siehe hierzu auch Kapitel 12 im vorliegenden Band). Security by Design, also das Mitdenken von Sicherheit von vornherein und Security by Default, d. h. sicherheitsfreundliche Voreinstellungen von genutzten Verfahren und Systemen, sind weitere Prinzipien, die Informationssicherheit unterstützen.

Für alle Sicherheitsmaßnahmen muss die Organisation zwischen den Faktoren Sicherheit, Kosten, Funktionalität und Komfort bzw. Praktikabilität mit Blick auf die vorab identifizierten Schutzziele abwägen. Als weitere große Herausforderung neben der Umsetzung einzelner Sicherheitsmaßnahmen gilt jedoch der Wandel einer Organisation zu einer gesunden Sicherheitskultur, der beispielsweise durch gutes Changemanagement begleitet werden kann.

Nach der Analyse und daraus abgeleiteter Umsetzung von Maßnahmen ist die angemessene Informationssicherheit allerdings noch nicht erreicht. In einer sich stetig verändernden Welt müssen die Funktionsfähigkeit und wirtschaftliche Sinnhaftigkeit der getroffenen Maßnahmen regelmäßig überprüft und gegebenenfalls angepasst werden. Auch kann es bei größeren Änderungen in der Organisation nötig sein, der Frage „Was will ich wogegen schützen?“ erneut nachzugehen. All diese beschriebenen Schritte werden unter Fachleuten als Informationssicherheitsmanagement oder auch als Informationssicherheitsmanagementsysteme (ISMS) bezeichnet. Zur sachgerechten Umsetzung dieses Managements bestehen zahlreiche Hilfestellungen und Standards, von denen in Deutschland vor allem der BSI-Grundschutz und die ISO-27001 weit verbreitet sind (siehe hierzu auch Kapitel 10 im vorliegenden Band).

1.3Perspektiven auf Cyberkriminalität

Wie eingangs beschrieben, ist der Bereich Cyberkriminalität dadurch gekennzeichnet, dass dieser aus sehr unterschiedlichen Perspektiven analysiert und diskutiert werden kann. Dies liegt u. a. an den zahlreichen verschiedenen Akteuren – wie Strafverfolgungsbehörden, IT-Dienstleister, Forscher, Täter, Opfer u. v. m. –, die das Phänomen aufgreifen. Die damit verbundenen unterschiedlichen Erkenntnisinteressen führen zu diversen Anknüpfungspunkten an das Thema, woraus sich unterschiedliche Begriffe und Begriffsverständnisse ergeben. Im Folgenden soll auf einige zentrale Perspektiven näher eingegangen werden. Dadurch soll dem Leser ein Einblick in die verschiedenen „Denkwelten“ gegeben werden, die das Thema Cyberkriminalität zum Inhalt haben.6

1.3.1Kausale Perspektive

Die kausale Perspektive stellt den logischen Ablauf eines Cyberangriffs dar. Dies geschieht zumeist auf höheren Aggregationsebenen, wobei die verschiedenen Elemente in vereinfachter Weise durch Ursache-Wirkungs-Beziehungen dargestellt werden. Es bestehen zahlreiche Klassifikations-Schemata, häufig Typologien, Taxonomien oder Frameworks genannt, die zum Ziel haben, Cyberangriffe zu systematisieren (Agrafiotis et al., 2018; European Union Agency For Network And Information Security, 2016; Howard/Longstaff, 1998; Jiang et al., 2013; Jouini et al., 2014; Simmons et al., 2014). Eine hochaggregierte Darstellung eines Cyberangriffs, die so genannte Informations-Risiko-Gleichung, liegt beispielsweise der Information Risk Assessment Methodology (IRAM) des ISF zugrunde (Information Security Forum, 2017). Darin beschrieben werden die Begriffe Bedrohung, Sicherheitsevent und Vorfall, die häufig im Rahmen von Cyberangriffen, teilweise auch synonym, verwendet werden. Mithilfe dieser Begriffe lässt sich das Grundgerüst bilden, das jedem Cyberangriff zugrunde liegt (siehe Abbildung 3).

Eine vorerst schwebende Bedrohung für eine Organisation kann von außen her bestehen oder durch sie selbst verursacht werden. Das Vorhandensein dieser Bedrohung kann entweder aus Versehen bzw. zufällig zustande gekommen oder von den Tätern beabsichtigt worden sein. Wenn sich die Bedrohung realisiert, führt sie zu einem Sicherheitsevent. Das Sicherheitsevent wird im Optimalfall durch Kontrollen und Sicherheitsmaßnahmen gestoppt und bleibt vorerst ein Ereignis ohne weitere negative Folgen. Wenn das Event allerdings auf eine Schwachstelle trifft, die z. B. technischer oder organisatorischer Natur sein kann, spricht man von einem Vorfall. Dieser Vorfall kann wiederum Auswirkungen, wie z. B. Systemausfälle, Meldepflichten, finanzielle Kosten u. ä., nach sich ziehen. Dieser logische Ablauf kann auch anhand eines Beispiels dargestellt werden.

Nun ist es möglich, einen Vorfall auch einen Aggregationsgrad tiefer zu beschreiben. Dies taten beispielsweise Howard und Longstaff bereits im Jahre 1998 (vgl. Abbildung 4). Ohne im Folgenden weiter auf die einzelnen Inhalte der Taxonomie einzugehen, stellen die Autoren einen Sicherheitsvorfall ebenfalls als Kausalkette dar, um einen Cyberangriff zu beschreiben.

Ein Angreifer nutzt mithilfe eines Werkzeugs eine Schwachstelle einer Organisation aus und führt dort eine Aktion gegen ein Ziel durch. Diese Aktion führt zu einem beabsichtigten oder nicht beabsichtigten Resultat, das der Angreifer mit einer bestimmten Absicht verfolgt hat. Zum Beispiel könnte ein Hacker ein Schadprogramm nutzen, um ein Firmennetzwerk mit schwach konfigurierter Firewall anzugreifen. Dort liest er beispielsweise Daten aus einem Computer aus und erhält dadurch Zugriff auf weitere Benutzerkennungen und Passwörter, deren digitale Identitäten der Hacker nun nutzen kann, um betrügerische Käufe durchzuführen.

1.3.2Forensische bzw. technische Perspektive

Forensische und technische Perspektiven auf Cyberangriffe stellen das tatsächliche und konkrete Vorgehen der Angreifer in den Fokus. Dabei geht es um detaillierte Handlungen und deren Auswirkungen auf Software, Hardware und Netze. In der Regel ist es das Ziel forensischer und technischer Analysen, den genauen Tathergang chronologisch bzw. phasenbasiert darzustellen, um zu verstehen, wie genau die Angreifer vorgegangen sind und welche Schwachstellen ausgenutzt wurden.

Cyberangriffe unterscheiden sich je nach Angreifer, deren Motivation und dem Ziel des Angriffs hinsichtlich ihrer Komplexität und dem Individualisierungsgrad (siehe auch Kapitel 2 im vorliegenden Band). Während einige Angreifer ungezielt versuchen, eine breite Masse an Opfern, z. B. durch Phishing-E-Mails und einfache Schadsoftware, zu erreichen, suchen sich andere Angreifer ihre Opfer etwas genauer (teilindividualisiert) oder dediziert sehr spezifisch aus (gezielter Angriff). Bei teilindividualisierten Angriffen investieren die Angreifer Vorbereitungszeit in einem gewissen Umfang, indem sie spezifische Opfergruppen, die bestimmte Merkmale aufweisen, anvisieren. Gezielte Angriffe sind nicht wahllos, sondern verfolgen ein konkretes Ziel gegenüber einem bestimmten Objekt. Die Angreifer verfügen über geeignete Ressourcen und bereiten den Angriff zum Teil sehr akribisch vor. Während die Angriffsphasen eines ungezielten Angriffs in der Regel relativ überschaubar sind, weisen gezielte Angriffe in idealisierter Form mehrere typische Angriffsphasen auf, die häufig auch als Cyber-Kill-Chains (Hutchins et al, 2010) bezeichnet werden (vgl. Abbildung 5 nach Steffens, 2018).

In der ersten Phase werden Informationen über das Opfer gesammelt und der Angriff vorbereitet. Dies kann beispielsweise durch technische Analysen wie Scans, durch das Auslesen öffentlicher Informationen (sog. Open Source Intelligence, kurz: OSINT) oder auch die Manipulation von Menschen (so genanntes Social Engineering, siehe unten) erfolgen. Anschließend wird der initiale Schadcode z. B. auf einem Computer im Zielnetzwerk installiert, wodurch er beispielsweise mittels einer versandten E-Mail oder durch ein eingeschleustes USB-Speichergerät gelangt. Das manuelle Ausführen des Schadcodes in der nächsten Phase ist nötig, da heutige Computer in der Regel keine unautorisierten Befehle entgegennehmen. So können beispielsweise die Benutzer durch gezielte Manipulation dazu gebracht werden, den Schadcode zu aktivieren. Nachdem der Schadcode ausgeführt wurde, können die Angreifer in der Regel auf den einen Computer im Zielnetzwerk zugreifen und diesen kontrollieren. Da sich beispielsweise die eigentlichen Zieldateien nicht auf diesem Computer befinden, wird das Lateral Movement (engl. für Seitwärtsbewegung) genutzt, um das Netzwerk auszukundschaften, sich dort auszubreiten und die Zieldateien zu identifizieren. Im Rahmen der Exfiltration müssen die Angreifer nun die Zieldateien in ihre eigene Hoheit überführen, z. B. per Upload oder E-Mail-Versand. Schließlich geht es in der letzten Phase darum, die Spuren des Angriffs beispielsweise durch das Löschen von Protokollierungsdateien und das Deinstallieren des verwendeten Schadcodes zu verwischen (nach Steffens, 2018).

1.3.3Betriebswirtschaftliche Perspektive

Betriebswirtschaft hat auf den ersten Blick nicht viel mit Cyberkriminalität gemeinsam. Die Betriebswirtschaft hat zum Ziel, Organisationen durch aktive Steuerung in ihrer Zielerreichung zu unterstützen. Ziele einer Organisation können beispielsweise die Gewinnmaximierung für die Anteilseigner oder die Bereitstellung eines wichtigen Dienstes, wie der Wasserversorgung, für die Bevölkerung sein. Diese Zielerreichung kann durch diverse Risiken beeinträchtigt werden. Spätestens seit der Digitalisierung wird in nahezu allen Bereichen der Gesellschaft Informationstechnik genutzt, um Produkte herzustellen oder Dienstleistungen anzubieten. Cyberkriminalität hat damit das Potenzial, diese Organisationsziele stark negativ zu beeinflussen und muss daher überwacht und gesteuert werden und wird so auch zu einem betriebswirtschaftlichen Themenfeld. Diese Tätigkeit nennt sich Risikomanagement. Aus betriebswirtschaftlicher Sicht ist Cyberkriminalität ein Risiko, das laufend identifiziert und analysiert, bewertet, behandelt und überwacht werden muss (vgl. Abbildung 6).

Dieser so genannte Risiko-Management-Regelkreis muss einerseits Cyberrisiken in den unterliegenden Dimensionen eines Unternehmens identifizieren und bewerten, als auch Maßnahmen zur Verbesserung der Informationssicherheit in diesen Bereichen umsetzen und überwachen. Im Rahmen der Identifikation werden die Systeme und Prozesse einer Organisation systematisch nach möglichen Cyberrisiken durchleuchtet. In der anschließenden Analyse werden mögliche Auswirkungen der Risiken vor dem Hintergrund der eigenen Schutzziele untersucht. Als nächster Schritt werden die Risiken bewertet, wenn möglich sogar quantifiziert. Ein Risiko ist das Produkt aus seiner Eintrittswahrscheinlichkeit multipliziert mit dem potenziellen Schadensausmaß. Die so bewerteten Risiken werden nach einer Kosten-Nutzen-Abwägung behandelt. Risiken können so beispielsweise vermieden, vermindert, transferiert oder akzeptiert und getragen werden. Anschließend werden die Risiken dokumentiert und in einem Berichtswesen in angemessenen Intervallen den verantwortlichen Personen zur Verfügung gestellt. Ein Beispiel kann dieses Vorgehen etwas konkreter beschreiben.

1.3.4Kriminologische Perspektive