Offensichtlich sind Zeiten wie diese – mit Corona bedingten Lockdowns – auch günstig für die sogenannte Cyber-Kriminalität, insbesondere Hacker-Angriffe im Netz. Zum einen bieten Home-Office Arbeitsplätze nicht automatisch den umfassenden Schutz, der in geschlossenen Systemen/Unternehmen durch IT-Fachleute gewährleistet werden kann. Zum anderen ist selbst in gestandenen Unternehmen oftmals das Problembewußtsein immer noch unterentwickelt, so dass sich Angriffsflächen zuhauf bieten. Und für den privaten Bereich gilt das erst recht.
Zugleich etabliert sich – ebenfalls begünstigt durch Corona – bei uns ein neuer Gefahrenmoment. Wir werden diese Gefahr für die Gesundheit am Ende des Beitrags erneut kurz thematisieren.
Cyber-Kriminalität und IT-Sicherheit/Security
Hacker-Angriffe auf einzelne Behörden und Einrichtungen
Früher gab es mal so etwas wie das Steuergeheimnis, ein in der Abgabenordnung gesetzlich verankertes Grundprinzip des deutschen Steuerrechts. Es gebietet laut Wikipedia „… den Finanzbehörden, Erkenntnisse, die sie im Besteuerungsverfahren gewinnen, nicht an Dritte weiterzugeben bzw. in der Steuerverwaltungssphäre gespeicherte Daten nur befugt abzurufen bzw. zu verwerten.“
Früher, bevor Steuerdaten im weltweiten Netz gezielt ausgespäht wurden. Die Antwort des Bundesfinanzministeriums (BMF) vom 12. Oktober d.J. auf eine Kleine Anfrage der FDP-Bundestagsfraktion beschreibt die Ausmaße eines solchen Hackerangriffs: „2016 waren etwa 7500 Personen betroffen, 2017 sogar schon 15.800; die allermeisten Angreifer dürften Bulgaren sein.“ Nach Bekanntwerden des Angriffs im Sommer 2019 wurde der automatische Informationsaustausch in Steuersachen mit Bulgarien aus-, mit 94 anderen Ländern aber offensichtlich unbeeindruckt weiter fortgesetzt. Die FDP kritisierte unter anderem, dass die betroffenen Unternehmen und Privatpersonen bis heute nicht informiert wurden. So zu lesen in faz-net vom 2.11.2020 (hinter Bezahlschranke).
Im Nachsatz des oben genannten Schreibens des BMF erfährt man zudem über die Arbeit russischer und chinesischer Hackerbanden in Deutschland, deren Ziele der Deutsche Bundestag selbst, aber auch die Konrad-Adenauer- und die Friedrich-Ebert-Stiftung waren. Eine Aufzählung, die sich locker und lange fortsetzten ließe. Erwähnt seien nur noch die Cyber-Attacken unterschiedlicher Provenienz auf die Sicherheitskonferenz in München – faz-net vom 26.10.2020 -, das durch Corona berühmt gewordene Robert Koch-Institut (RKI) in Berlin und Wernigerode sowie die Universität Düsseldorf (hier von uns beschrieben).
Offensichtlich erfreuen sich, wie DerStandard am 28.10.2020 berichtet, insbesondere Angriffe auf stationäre medinzinische Einrichtungen einer gewissen Beliebtheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn beobachte eine gestiegene Anzahl von Phishing-Mails im Zusammenhang mit der Corona-Krise. Dies seien sehr oft unspezifische Angriffe, verstärkt aber auch zielgerichtete Attacken. Angriffe auf Kliniken, die entweder auf den Diebstahl von Patientendaten oder eine Erpressung der Krankenhäuser abzielten. Für sich genommen eher harmlose Gefährdungen.
Hacker-Angriffe auf kritische Infrastrukturen – KRITIS
Bei einem gezielten Angriff auf sogenannte kritische Infrastrukturen wären die Folgen weitaus gravierender, wie in faz-net vom 20.10.2020 festgehalten. Weniger Cyber-Kriminalität, eher Cyber-Krieg. Prof. Matthias Hollick von der Technischen Universität Darmstadt bringt es auf den Punkt:
„Was wären die Konsequenzen einer solchen Attacke? Wenn es zu einem großflächigen Stromausfall kommt, wird sehr schnell auch die übrige Infrastruktur zusammenbrechen. Die Wasserpumpen stehen still, die Kühlung im Supermarkt fällt aus, empfindliche Lebensmittel verderben in kürzester Zeit.
Wie lange dauert es, bis alles still steht? Das kann sehr schnell gehen, innerhalb weniger Stunden. Tankstellen haben – anders als Krankenhäuser – meist keine Notstromaggregate, da ist sofort Schluss. Die Kommunikationsnetze haben keine einheitliche Notstromversorgung, aber nach einem Tag würden wahrscheinlich nur noch das Behördennetz und einige lokale Inseln funktionieren.
Wer kann solche Attacken ausführen? Erpresser, Terroristen, ausländische Staaten? All diese Akteure haben die Möglichkeiten dazu. Staaten haben die technischen Möglichkeiten für großflächige Cyberangriffe. Kriminelle können eher Nadelstiche setzen, indem sie etwa einen Erpressungstrojaner ins Computersystem einer Stadt oder einer Klinik einschleusen.“
Dies deckt sich weitgehend mit den auf dem Preppo-Blog zum Blackout hier und hier festgehaltenen Überlegungen, wie auch mit den Handlungsempfehlungen unseres Workbooks Krisenvorsorge.
Prof. Hollick und Kollegen wollen die Resilienz heutiger und künftiger Informations- und Kommunikationstechnologie erhöhen und nachhaltig sicherstellen. Resilient bedeutet für sie, wenn trotz signifikanter Beeinträchtigungen eine akzeptable Mindest- bzw. Ersatzfunktionalität aufrechterhalten werden kann und eine zügige Rückkehr zum Normalverhalten gewährleistet ist (so die Aufgabenbeschreibung im neuen Strategiepapier der Technischen Universität Darmstadt – hier verlinkt).
Was man selbst vorbeugend gegen Cyber-Kriminalität tun kann
Der Jahresbericht 2020 des BSI – auf S. 36 sind plakativ einige horrende Zahlen zur Cyber-Sicherheitslage visualisert – wurde von Bastian Benrath in faz-net vom 20.10.2020 zum Anlaß genommen, kommentierend verschiedene Punkte aufzuzeigen, die man selbst vorbeugend tun kann.
Auch wenn nur eine kleine Zahl von Opfern die Schadsoftware aufruft und dadurch die Systeme verschlüsselt und Lösegeldforderungen angezeigt werden. „Einige der panischen Opfer – mittelständische Unternehmer, Verwaltungen von Krankenhäusern oder Banken – bezahlen die Forderung. … Jeder vierte Deutsche war schon Opfer von Kriminalität im Internet. Damit ist es deutlich wahrscheinlicher, von Cyberkriminellen ausgebeutet als auf der Straße überfallen zu werden.“
Ein Großteil unserer Bevölkerung hat sich noch nicht darauf eingestellt. Nur 57 Prozent geben an, ein Antivirusprogramm einzusetzen, weniger als die Hälfte verwendet „sichere“ Passwörter, was immer sie darunter verstehen. Eine Zwei-Faktor-Authentifizierung hat nur ein Drittel eingerichtet. Updates, wodurch neu entdeckte Sicherheitslücken geschlossen werden, lässt nur ein Viertel automatisch installieren.
„Natürlich muss dafür nicht jeder zum IT-Experten werden. Gerade Unternehmer oder Verantwortliche für Institutionen – Krankenhäuser, lokale Behörden, Universitäten – sind aber verpflichtet, sich für IT-Sicherheitsfragen gegebenenfalls Fachleute ins Haus zu holen. Denn sie tragen Verantwortung für zahlreiche Unbeteiligte: Kunden, Patienten, Klienten. … Analog muss jeder Einzelne sich die Grundregeln für sicheres Verhalten im Digitalen vergegenwärtigen.“ So Bastian Benrath.
Hilfestellungen des BSI gegen Cyber-Kriminalität
Das BSI läßt in Sachen Cyber-Kriminalität niemanden im Stich. Mit den jährlichen Berichten zur Lage der IT-Sicherheit in Deutschland (hier abzurufen, beginnend in 2005) legt das Amt „… einen umfassenden und fundierten Überblick über die Bedrohungen Deutschlands, seiner Bürgerinnen und Bürger und seiner Wirtschaft im Cyber-Raum vor. Zudem werden Gegenmaßnahmen des BSI und die gemeinsam mit Partnern gefundenen Lösungsansätze für die Akteure in Staat, Wirtschaft und Gesellschaft dargestellt.“
Mit dem Bürger-CERT werden Bürger und Bürgerinnen, sowie kleine Unternehmen schnell und kompetent vor Viren, Würmern und anderen Sicherheitslücken kostenfrei und neutral gewarnt. Speziell für kritische Infrastrukturen/KRITIS hält das BSI hier Informationen bereit.
Auch zur Datensicherheit lohnt der Hinweis auf unser entsprechendes Preppo-Handlungsfeld hier, wie auch auf die Handlungsempfehlungen des Workbooks.
Vapen statt rauchen – weder Hü noch Hott
Im Familienblog „schlaflos“ – faz-net vom 13.10.2020 – thematisiert Sonia Heldt den Konsum von E-Zigaretten bei Jugendlichen. Die besorgte Mutter zweier Töchter, selbst entwöhnte Tabak-Raucherin, lernte von ihrer 16-jährigen Tochter Lara einschlägige Begriffe wie Vapen, Juulen oder Dampfen. Das Ergebnis ihrer Recherche sowie die Gedanken dazu, stellt sie zur Diskussion.
Unter den 13 Lesermeinungen erfährt sie dabei hauptsächlich Widerspruch (acht Personen; nur zwei zustimmend, drei eher neutral). Dabei hat es den Anschein, als ob sich die acht „Verteidiger“ des Vapens aus dem Kreise von Ex-Rauchern rekrutieren. Sie dürften sich auch weniger die Mühe gemacht haben, die von der Stiftung Warentest hier zusammengetragenen Erkenntnisse (Stand 24.6.2020) vorurteilsfrei aufzunehmen. Ohne „böse“ Absicht funktioniert wohl auch der aus der Sozialpsychologie bekannte Abbau kognitiver Dissonanzen mit einer selektiven Wahrnehmung (hier im Gabler Wirtschaftslexikon beschrieben).
Wir hatten uns schon in 2019 mehrfach eindeutig – hier und hier – gegen das Dampfen/Vapen positioniert. Auch weiterhin gilt, Finger weg von Zigaretten, ob elektrisch oder althergebracht. Es schadet auf jeden Fall in hohem Maße der Gesundheit.
Und hier machen wir stoisch weiter
#PreppoKompakt
Es gilt eigenverantwortlich zu handeln. So bei der Nutzung des weltweiten Internets, heutzutage für die große Mehrheit der Menschen unumgänglich, ob beruflich oder in der Freizeit. Hacker-Angriffe gibt es in beiden Sphären. Aber auch was die Gesundheit anbelangt zählt Eigenverantwortung. Und auf das Dampfen/Vapen kann man definitiv verzichten.