IT-Sicherheit für Kritische Infrastrukturen. Malware und seine Auswirkungen auf die deutsche Wirtschaft von 2015 bis 2021

Inhaltsverzeichnis

1. Einleitung

2. Malware
2.1 Definition
2.2 Geschichte
2.3 Arten
2.4 Ursachen und Auswirkungen

3. IT-Sicherheit für Kritische Infrastrukturen
3.1 Definition
3.2 Normen, Standards und Gesetze
3.3 Vergleich: Deutschland und die USA

4. Präventive Maßnahmen

5. Fazit

6. Literaturverzeichnis

1. Einleitung

Seit Anbeginn der Digitalisierung haben sich vielerlei Unternehmen auf die Vernetzung ihrer Informations- und Kommunikationskanäle mit dem Internet konzentriert. Heutzutage scheint eine funktionierende IT-Infrastruktur in Zeiten der modernen Technik banal zu sein, jedoch könnte ihr Ausfall weitreichende Schäden verursachen. Für die Schäden an Unternehmen sind häufig Schadstoffprogramme verantwortlich, die Störungen in den IT-Infrastrukturen auslösen. Binnen der letzten Jahre wurden IT-Infrastrukturen von Unternehmen und Kritischen Infrastrukturen in Deutschland zunehmend durch sogenannte „Malware“ angegriffen (KPMG 2015; Bitkom 2020&2021). Mit dem Begriff Malware wird im Allgemeinen Schadsoftware beschrieben, die von Menschen operiert werden, um Netzwerkstrukturen von Unternehmen lahmzulegen oder an massenhafte vertrauliche Daten zu gelangen (Huber 2019: 76f.). Infolge der hohen Belastung durch Malware für die deutsche Wirtschaft bedarf es an Aufklärung über die Thematik sowie IT-Sicherheitsmaßnahmen für Unternehmen und Betreiber kritischer Infrastrukturen. Grundlegend für die Suche nach einem Hausarbeitsthema im Rahmen des Seminars „IT-Sicherheit und Datenschutz“ mit dem Lehrenden Herr Prof. Dr. XY waren Überlegungen zu den Auswirkungen von Malware auf die deutsche Wirtschaft im Zeitraum von 2015 bis 2021. Durch die steigende Nutzung digitaler Medien der Unternehmen und Betreiber kritischer Infrastrukturen scheinen sie verwundbarer gegenüber „Malware-Attacken“ zu sein. Gründe dafür können zum einen die stetig wachsende Vernetzung mit dem Internet der Unternehmen sowie die Mangelware an technischen Präventionsmaßnahmen gegen Cyberkriminalität sein. Zum anderen könnte eine fehlende Sensibilisierung der Mitarbeiter hinsichtlich der Gefahren von Malware und ihre Auswirkungen auf die deutsche Wirtschaft herrschen. Aus diesem Grund wird sich die vorliegende Hausarbeit mit den Thematiken Malware, IT-Sicherheit für Kritische Infrastrukturen und Präventive Maßnahmen umfassend auseinandersetzen. Der Fokus soll dabei hauptsächlich auf deutsche Unternehmen liegen. Geleitet wird die Hausarbeit durch die Frage welche Auswirkungen Malware auf die deutsche Wirtschaft im Zeitraum von 2015 bis 2021 hatte. Ziel der Hausarbeit soll es sein, die gemeinsamen und unterschiedlichen Positionen der Experten bezüglich Malware und seine Auswirkungen auf die deutsche Wirtschaft im Zeitraum von 2015 bis 2021 argumentativ zu analysieren, um einen Erkenntnisgewinn darüber zu erzielen. Zur Darstellung der Themenbereiche wird sich die Hausarbeit zunächst auf die Thematik Malware konzentrieren, indem auf ihre Definition, Entstehung und Arten sowie auf die Ursachen und Auswirkungen eingegangen werden. Anschließend folgt die Durchleuchtung der IT-Sicherheit für Kritische Infrastrukturen. Hierbei sollen die Begriffe IT-Sicherheit und Kritische Infrastrukturen definiert sowie Normen, Standards und Gesetze für deutsche Unternehmen und Betreiber kritischer Infrastrukturen behandelt werden. Darüber hinaus soll ein Vergleich zwischen Deutschland und den USA hinsichtlich der IT-Sicherheit für Kritische Infrastrukturen stattfinden, indem die IT-Sicherheitsgesetze beider Länder verglichen werden. Letztlich werden auf Präventive IT-Sicherheitsmaßnahmen für Unternehmen und Betreiber kritischer Infrastrukturen zur Bekämpfung bzw. Reduktion von Malware-Attacken eingegangen. Am Ende der vorliegenden Hausarbeit werden die bedeutsamsten Erkenntnisse aus den Positionen der Experten zusammengefasst, um ein abschließendes Fazit bilden zu können. Hierbei soll die Leitfrage unter der Abwägung von Argumenten und Gründen beantwortet werden. Ferner soll Bezug auf mögliche Grenzen hinsichtlich des Forschungsstandes und der Ausarbeitung der Hausarbeit genommen werden. Nun folgt die Behandlung der Thematik Malware.

2. Malware

In Deutschland scheinen heutzutage zunehmend kleine sowie große Unternehmen im Visier von Cyberkriminalität zu sein. Seitens der Cyberkriminalität geht man häufig von der Nutzung sogenannter „Malware“ zur Schädigung der IT-Infrastruktur eines Unternehmens aus. Um Malware genauer zu verstehen, wird das vorliegende Kapitel den Begriff Malware zunächst definieren und auf ihre Entstehung eingegangen. Danach sollen ihre Funktionen anhand der verschiedenen Arten von Malware herausgearbeitet werden. Besondere Beachtung gilt bei der Thematik der Ursachen und Auswirkungen von Malware, insofern die Leitfrage der vorliegenden Hausarbeit sich dieser Thematik widmet. Die Hausarbeit wird sich im Folgenden mit diesen Fragen auseinandersetzen: Was ist Malware? Wie ist Malware entstanden? Welche Arten von Malware gibt es? Welche Ursachen hat die Nutzung von Malware? Und welche Auswirkungen hatte Malware auf die deutsche Wirtschaft von 2015 bis 2021?

2.1 Definition

Der Begriff Malware habe ihren Ursprung aus dem englischsprachigen Raum und setze sich aus den beiden Wörtern “[…] „malicious“ (Übersetzung: bösartig) und Software […]“ zusammen (Rehfeld 2017: 8). In der vorliegenden wissenschaftlichen Literatur werde Malware als ein Synonym für eine “[…] Schadsoftware definiert, die den Betrieb eines Computersystems stört […]“ und gesamthafte Netzwerkstrukturen stilllegen kann (Huber 2019: 76). Schadsoftware gelangt dabei meist über Anhänge oder Links in E-Mails in die Computersysteme, wenn NutzerInnen auf diesen Inhalt klicken und Schadsoftware im Hintergrund installiert wird (BSI 2020a: 9). Ferner dient Malware zur Besitzergreifung von massenhaften sensiblen personen- oder unternehmensbezogenen Daten, mithilfe dessen die Täter ihre Opfer erpressen können (BSI 2020a: 9). Im Kern ist demnach das Ziel der Täter mittels bösartiger Computerprogramme Schaden gegenüber Personen oder Institutionen anzurichten, ohne aber dabei von Anti-Viren-Programmen erkannt zu werden (Bliemeister 2005: 7). Da Malware begrifflich definiert wurde, folgt nun die geschichtliche Einordnung von Malware.

2.2 Geschichte

Die Geschichte der Malware hat bereits in den 1949er Jahren ihren Lauf gefunden, wobei John von Neumann (1903-1957) Theorien für Computerviren aus seinen Ansätzen zu reproduzierenden Automaten entwickelte (Rehfeld 2017: 9; vgl. G-DATA-URL). Innerhalb von zwei Jahrzehnten wurden diese Theorien in der Wirklichkeit umgesetzt, derweil in den 1970er Jahren sogenannte Core-Wars begannen, bei dem Programme in einem Spiel um Speicherplatz in einem simulierten Computer kämpften und infolgedessen willkürlich Adressen löschte (G-DATA o.J.). Aus dieser Willkür sind die Computerviren entstanden. Die heut bekannte Malware hingegen kam erst in den 1980er Jahren ins Geschäft (Huber 2019: 165). Mit den Apple II Rechnern waren nämlich erstmals Selbstverbreitende Viren im Umlauf, die zu Programmabstürzen bei den Nutzern führte (Huber 2019: 165; G-DATA-URL). Infolge der steigenden Anzahl an Schadsoftware begann das Unternehmen McAfee im Jahr 1987 sich mit der technischen Prävention von Malware auseinanderzusetzen (Huber 2019: 76). Zudem wurde zur Unterscheidung von verschiedenartiger Malware im Jahr 1993 die erste sogenannte „Wildlist“ erstellt, in der alle bekannten Arten von Malware aufgelistet wurden (Rehfeld 2017: 10). Mithilfe dessen konnten Unternehmen wie McAfee sowie die IT-Sicherheit diese Schadprogramme leichter identifizieren (Huber 2019: 76). In den 2000er Jahren wurde Malware zunehmend für kriminelle Zwecke genutzt, indes „Trojaner“ sensible Daten wie Passwörter und Kreditkartennummern ausspionierte und „DDoS-Attacken“ gegen einflussreiche Unternehmen ausgeführt wurden (G-DATA o.J.). Mit der Malware „Stuxnet“ wurde 2010 erstmals Cybercrime-Geschichte geschrieben, da mittels extrem kostenaufwendiger „Exploits“ die Steuerung von Industrieanlagen gestört wurde, derweil die Übertragung von Malware mittels USB-Sticks stattfand (Huber 2019: 76). Zuletzt bedrohte die Schadsoftware „Emotet“ im Jahr 2021 mittels vielfältiger Funktionen wie “[...] Software Module zum Ausspähen von Informationen, zum Spamversand sowie zum Nachladen weiterer Schadprogramme [...]“ die IT-Sicherheit unzähliger Institutionen, wodurch hohe Schäden entstanden sind (BSI 2020a: 11). Hiermit wurde ein konzeptioneller Einblick in die Geschichte der Malware gewährt. Nun sollen auf die Arten von Malware eingegangen werden. Laut dem BSI¹ gab es im Jahr 2020 circa 117,4 Millionen neue Schadprogramm-Varianten (BSI 2020a: 36). Infolge der beständigen Zunahme von neuartigen Malware-Arten und um den Rahmen der vorliegenden Hausarbeit nicht zu sprengen, werden im Folgenden nur die bekanntesten Schadstoffprogramme anhand ihrer Funktionsweisen dargestellt.

2.3 Arten

Zu den bekanntesten Malware gehört der bereits erwähnte Computervirus. In der vorliegenden Literatur werde der Virus als eine sich selbst-verbreitende Schadsoftware definiert, der “[...] Dateien oder Datenträger mit seinem Programmcode befällt“ (Huber 2019: 79). Die Verbreitung finde dabei “[...] durch die Vervielfältigung von sich selbst in Programme Dokumente oder auch Datenträgern statt“ (Bliemeister 2005: 8). Methodisch betrachtet wird die selbstverbreitende Funktion des Virus durch einen „Trigger“ ausgelöst, der den Schadensteil des Virus, den sogenannten „Payload“, aktiviert, sodass sich dieser Inhalt mittels einer Infektionsroutine stets weiterverbreiten kann (Rehfeld 2017: 20; vgl. JH&JS-1997-URL, FC-1984-URL). Ein Virus hat dabei wiederum verschiedene Arten und Methoden, um Daten zu befallen. Beispielsweise kann ein Bootvirus Festplatten oder Dateiträger wie USB-Sticks befallen, wobei dieser Virus vor dem Start des Betriebssystems aktiviert wird (Rehfeld 2017: 20). Ein weiteres Beispiel für eine Virus-Art ist der Linkvirus, der das Computersystem des Opfers mit laufenden Programmen befällt. Hierbei “[...] kann der Virus sicherstellen, dass er beim nächsten Programmstart ebenfalls gestartet wird“ (Rehfeld 2017: 20).

Der Trojaner gehört zu den nicht-selbstverbreitenden Malwares und wird definiert als ein Programm, dass eine für das Opfer nicht sichtbare Schadensfunktion besitzt (Huber 2019: 79). Die Namensgebung des Trojaners stammt von den Trojanischen Pferden aus der griechischen Mythologie, die sich meist versteckt in die Territorien des Feindes einschleusten (Rehfeld 2017: 21f.). Die Trojaner gelangen, wie die Namensgebung es andeutet, unbemerkt in das Computersystem des Opfers, sodass der Täter an sensible und vertrauliche Daten wie z.B. Passwörter oder Banking Informationen gelangen kann (Huber 2019: 79). In anderen Worten sei ein Trojaner also ein Programm “[...], dass vorgibt, ein nützliches oder harmloses Programm zu sein, jedoch im Hintergrund unerwünschten Payload ausführt“ (Rehfeld 2017: 22; vgl. SM-2016-URL).

Eines der weitverbreitetsten Arten von Malware ist die sogenannte Ransomware. Der Begriff „ransom“ bedeutet übersetzt Lösegeld (Rehfeld 2017: 21). Demnach bezeichne man Ransomware als Schadprogramme, die “[...] durch Verschlüsselung den Zugang zu Daten oder Systemen einschränken, um anschließend ein Lösegeld zu erpressen“ (BSI 2020a: 9). Die Verbreitung der Schadsoftware findet häufig über einen E-Mail-Anhang oder als Link, der auf eine infizierte Webseite führt, statt (BSI 2020a: 12). Die Bezahlung des Lösegelds erfolgt üblicherweise mittels Kryptowährungen wie Bitcoin, um den Prozess der strafrechtlichen Verfolgung der Täter zu erschweren (BSI 2020a: 12). Dabei ist die Bezahlung des Lösegelds kein Garant dafür, dass das Computersystem des Opfers wieder freigegeben wird (Rehfeld 2017: 22). Mittels Ransomware sollen Menschen also eingeschüchtert und schließlich erpresst werden, wobei man vom sogenannten „Social Engineering“ ausgeht, das die Manipulation der menschlichen Schwächen beschreibt (Huber 2019: 32).

Zu guter Letzt betrachtet die Hausarbeit den Wurm. Ein Wurm verbreitet sich selbständig innerhalb eines Netzwerkes und benötigt keine zusätzlichen Schadprogramme, insofern Würmer Sicherheitslücken ausnutzen und sich dort in Systemroutinen einschreiben (Huber 2019: 79; Rehfeld 2017: 23). Die Selbstverbreitung erfolge “[...] kreuz und quer durch das Internet [...]“ mittels E-Mail-Anhängen, wobei “[...] auf diesem Wege andere im Internet angeschlossene Computer“ befallen werden (Huber 2019: 79; Bliemeister 2005: 8). Eine Unterart des Wurms sei der sogenannte Rabbit (Übersetzung: Hase) “[...], der sich „springend“ fortbewegt, indem er wiederholend eine Kopie von sich selbst erstellt und vorherige Original löscht“ (Rehfeld 2017: 23). Hiermit wurden die bekanntesten Arten von Malware anhand ihrer Funktionsweisen dargestellt. Nun sollen die Ursachen von der Nutzung von Malware und die Auswirkungen von Malware auf die deutsche Wirtschaft ausgiebig behandelt werden.

2.4 Ursachen und Auswirkungen

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) könne eine Fortsetzung des Trends beobachten werden “[...], dass Angreifer Schadprogramme für cyber-kriminelle Massenangriffe auf Privatpersonen, Unternehmen und anderen Institutionen nutzen“ (BSI 2020a: 9). Die Cybersicherheitsumfrage des BSI zeigt, dass Angriffe auf deutsche Unternehmens-IT mittels Malware am häufigsten stattfindet (BSI 2018a). Infolgedessen sollen auf die Ursachen von der Malware Nutzung eingegangen werden, wobei folgende Teilfragen zu klären sind: Welche Motive haben die Täter bei der Nutzung von Malware? Und welche Methoden zur Nutzung von Malware gibt es?

Die Motive der Täter bei der Nutzung von Malware werden in der vorliegenden Literatur unterteilt in extrinsische und intrinsische Motive. Unter extrinsischen Motiven werden finanzielle Interessen des Täters verstanden, der sich selbst durch Malware-Attacken auf andere Institutionen wie Unternehmen oder Privatpersonen bereichert (Huber 2019: 78). Die handelnden Menschen lassen sich nicht einem speziellen Täterprofil zuordnen, doch meist sind die Täter organisierte kriminelle Gruppen, die gemeinsame Motivationen vertreten (Huber 2019: 31). Die e-Crime Studie² bestätigt ein erhöhtes Risiko von Cyberkriminalität durch organisierte Kriminalität, derweil 90 Prozent der Befragten der Ansicht seien “[...], dass e-Crime-Handlungen komplexer werden und somit schwerer auf die Täter zurückzuverfolgen sind“ (KPMG 2015: 4). Aufgrund komplexerer Cyberkriminalität können Cyberkriminelle mittels Erpressungen ihr eigenes Geschäftsmodell leichter finanzieren, damit die kostenintensive Entwicklung von Malware vonstattengehen kann (Huber 2019: 78).

Anders als bei den extrinsischen Motiven können intrinsische Motive vielerlei Motive haben. Huber meint, dass die Kreativität und das technische Talent des Täters bei der Entwicklung neuer Lösungsmöglichkeiten von Malware ein großes Risiko für Unternehmen darstellt (vgl. Huber 2019: 80). Neben der Kreativität der Täter spielen auch Gefühle wie “[...] Hass, Langeweile, Rache oder Aggressionen [...]“ eine bedeutende Rolle, wodurch Praktikanten, frustrierte Mitarbeiter sowie gekündigte Mitarbeiter dem Unternehmen Schaden zufügen können (Huber 2019: 80; Fleischer 2016: 10). Laut der Bitkom Studie³ fügten ehemalige Mitarbeiter der Unternehmens-IT hohe Schäden zu, derweil 33 Prozent der Befragten dies bestätigten (Bitkom 2020: 26). Hierbei unterscheidet Fleischer unter Innentäter im engeren und weiteren Sinn (Fleischer 2016: 8ff.). Der Innentäter im engeren Sinn verfüge über “[...] weitreichende Innensichten eines Unternehmens [...]“, wohingegen der Innentäter im weiteren Sinn ein externer Täter ist, der durch kriminelle Organisationen angeheuert wird, um Verbrechen zu begehen (Fleischer 2016: 8f.). Laut des Bundesamtes für Verfassungsschutz seien Innentäter im engeren Sinn

“[...] in Anbetracht ihrer legalen Zugangsmöglichkeiten und ihres Insiderwissens über innerbetriebliche Schwachstellen in der Lage, den Unternehmen mehr Schaden zuzufügen als externe Täter es je könnten.

[...]

¹ Der Lagebericht der IT-Sicherheit in Deutschland aus dem Jahr 2020 von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt repräsentative Ergebnisse bezüglich der Cybersicherheitslage für Deutschland dar, indem auf Wirtschaftsspionage, Sabotage und Datendiebstahl in der deutschen Wirtschaft eingegangen wird.

² Die e-Crime Studie aus dem Jahr 2015 von KPMG umfasst repräsentative Ergebnisse zu Unternehmen, die in Kontakt zu Cybercrime standen, stehen werden oder dies noch nicht erkannt haben.

³ Die Studie des Digitalverbands Bitkom aus dem Jahr 2020, für die mehr als 1.000 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden, stellt umfassende Ergebnisse zu Cyberangriffen in deutschen Unternehmen dar.