Cyberangriffe – auch für den Sozialbereich eine grosse Gefahr
Cyberangriffe haben in den letzten Jahren stark zugenommen. Und es kann jeden treffen: grosse Konzerne, Verwaltungen, Behörden oder Private. Auch soziale Institutionen werden vor solchen Angriffen nicht verschont. Um Genaueres über die Situation im Sozialwesen zu erfahren, hat die ZHAW Soziale Arbeit eine Befragung lanciert.
Das Thema Cyberangriffe beschäftigt auch Organisatioen im Sozialbereich. © Shutterstock
Cyberkriminalität kann auch im Sozialbereich erhebliche Schäden anrichten. Doch genaue Zahlen, wie viele Organisationen von Cyberangriffen betroffen sein könnten, gibt es derzeit nicht. Dafür gibt es verschiedene Gründe: In der Schweiz gibt es keine Meldepflicht, weshalb viele Cyberangriffe gar nie erfasst werden. Und jene, die dem Nationalen Center für Cybersicherheit (NCSC) gemeldet werden, werden nicht nach demografischen und branchenspezifischen Kriterien ausgewertet. Ein weiterer Punkt: Bisher konzentrierte sich die wissenschaftliche Forschung in diesem Bereich vorwiegend auf Wirtschaftsunternehmen. Das soll sich nun ändern. Das Institut für Delinquenz und Kriminalprävention der ZHAW Soziale Arbeit will mittels einer Umfrage herausfinden, wie sich die Situation bei sozialen Institutionen präsentiert. Im Interview spricht Institutsleiter Dirk Baier über Schäden durch Cyberangriffe, die Wichtigkeit von IT-Richtlinien und ein nötiges Umdenken im Zusammenhang mit Cyberkriminalität.
«Man kann jemanden nachhaltig schädigen.»
Sozialinfo.ch/Lisa Stalder: Dirk Baier, stellen Sie sich vor, Sie wollen am Morgen Ihren Computer aufstarten und Ihnen wird der Zugriff verweigert. Und als das IT-Team den Server durchsucht, stösst es auf eine Mitteilung in englischer Sprache, die Sie dazu auffordert, 10‘000 Dollar zu überweisen, um Ihre Daten wieder nutzen zu können. Wie würden Sie reagieren?
Dirk Baier: Ich bin froh, dass mir das noch nie passiert ist. Das wäre wirklich der Supergau. Ich wäre heillos überfordert. Unsere Arbeitswirklichkeit ist darauf ausgerichtet, dass wir am Morgen den Computer starten und dann sogleich loslegen können. Da denkt man sich nicht ständig, dass etwas passieren könnte. Passiert es dann doch, merken wir, wie abhängig wir von dieser Technologie sind. Und wie wichtig es ist, sich, respektive das Unternehmen zu schützen. Da haben grosse Unternehmen mit einer entsprechend grossen IT-Abteilung natürlich einen Vorteil gegenüber kleineren Institutionen wie beispielweise einem Gemeindezentrum oder einem Jugendtreff, die viel weniger Ressourcen haben.
Nicht bei jedem Cyberangriff gibt es gleich eine Lösegeldforderung. Aber solche Angriffe sind ein zunehmendes gesellschaftliches Problem.
Das ist in der Tat so und lässt sich auch mit Zahlen belegen. Seit 2020 werden in der Schweiz Straftaten im Bereich digitale Kriminalität gesondert ausgewiesen. Und da hat sich gezeigt, dass diese gegenüber dem Vorjahr um 24 Prozent zugenommen haben. Während Gewalt- und Vermögensdelikte zurückgehen, nimmt die Cyberkriminalität zu. Bei den meisten Delikten handelt es sich um Betrugsdelikte. Man bestellt etwas und bezahlt, kriegt es aber nicht geliefert. Im Einzelfall ist die Schadenssumme nicht sehr hoch, aber bei insgesamt rund 30‘000 Straftaten läppert sich da viel zusammen.
DIRK BAIER
Prof. Dr. Dirk Baier; Leiter des Instituts für Delinquenz und Kriminalprävention an der ZHAW Soziale Arbeit
dirk.baier@zhaw.ch
Wie erklären Sie sich diese Zunahme?
Wir sind immer mehr im Internet unterwegs. Während der Corona-Pandemie hat sich dieser Trend weiter verstärkt. Wir erledigen unsere Einkäufe im Netz, buchen unsere Ferien im Internet und bezahlen unsere Rechnungen online. Entsprechend hat sich auch die Kriminalität ins Netz verlagert. Inzwischen gehen die Kriminellen extrem professionell vor und erstellen gefakte Profile und Webseiten, die sich nicht so einfach erkennen lassen.
Ob grosse Firmen, KMU, Behörden und Verwaltungen, aber auch Private – alle können Opfer von Cyberangriffen werden. Bisher konzentrierte sich die wissenschaftliche Forschung ausschliesslich auf Wirtschaftsunternehmen. Warum?
Es ist nicht so, dass die anderen Bereiche bisher gänzlich ausgeklammert wurden. So werden beispielsweise regelmässig Opferbefragungen durchgeführt, wobei natürlich auch Delikte im Bereich digitale Kriminalität erfasst werden. Aber im Grossen und Ganzen stimmt schon, dass bei der bisherigen Forschung die Wirtschaftsunternehmen im Fokus standen. Ich bin der Meinung, dass dieser Schwerpunkt durchaus gerechtfertigt ist. Denn die Volkswirtschaft kann durch Cyberangriffe enorme Schäden erleiden. Hier geht es um Innovation und somit um sehr viel Geld. Es ist zweifellos von grosser Bedeutung, die nächste Generation der Mikrochips zu kennen bzw. selbst zu entwickeln.
Auch bei Cyberangriffen auf soziale Institutionen können Schäden entstehen.
Das ist so. Und ich denke, dass das vielleicht auch immer wieder unterschätzt wird, weil sich der Schaden monetär nicht so einfach quantifizieren lässt. Im Sozialbereich richten wir unser Handeln auf den Menschen aus, wir sind für den Menschen da. Wird zum Beispiel das System eines Sozialdienstes lahmgelegt, bekommen das indirekt auch die Klientinnen und Klienten zu spüren. Zum Beispiel, indem Gelder nicht oder erst später ausbezahlt werden können.
Umfrage zu Cybercrime im Sozialbereich
Cyberangriffe auf Unternehmen, Behörden, Verwaltungen und auch soziale Organisationen haben in den letzten Jahren stark zugenommen. Die wissenschaftliche Forschung in diesem Bereich hat sich bisher aber fast ausschliesslich auf Wirtschaftsunternehmen konzentriert. Das Institut für Delinquenz und Kriminalprävention vom Departement Soziale Arbeit der Zürcher Hochschule für Angewandte Wissenschaften, möchte mit Hilfe einer Befragung herausfinden, inwieweit Organisationen des Sozialbereichs von Cybercrime betroffen sind. Die Umfrage wurde Anfang Juni gestartet. Sie läuft noch bis Ende Monat und kann unter folgendem Link ausgefüllt werden:
https://ww2.unipark.de/uc/ZHAW-Cybercrime/
Wo sehen Sie weitere Gefahren?
Ich bringe jeweils gerne ein Beispiel aus der Justiz. Sagen wir mal, ein Mann wurde wegen Pädophilie verurteilt. Dies, weil auf seinem Computer entsprechendes Material gefunden wurde. Seit der Verurteilung hat er erfolgreich eine Therapie absolviert und arbeitet nun wieder ein einem Betrieb. Er steht wieder mit beiden Beinen im Leben. Werden nun aber diese Justizdaten abgezogen und allenfalls veröffentlicht, kann man jemanden nachhaltig schädigen. Es ist dies ein drastisches Beispiel, aber es geht darum, den Mechanismus aufzuzeigen. Gleiches kann passieren, wenn die Daten eines Suchtprogramms in die falschen Hände gelangen.
Ihr Institut Delinquenz & Kriminalprävention der ZHAW Soziale Arbeit hat kürzlich eine Umfrage gestartet, mit dem Ziel, herausfinden, inwieweit Organisationen des Sozialbereichs von Cybercrime betroffen sind. Wie ist die Idee für diese Umfrage entstanden?
Als ich noch in Deutschland tätig war, wurde in meinem damaligen Institut eine Studie zu Cyberkriminalität durchgeführt. Da hat sich gezeigt, dass zwei von fünf Unternehmen in den letzten 12 Monaten eine Cyberattacke erlebt haben. Aufgrund dieser Zahlen dürfen wir davon ausgehen, dass es auch im Sozialbereich immer wieder zu Cyberangriffen kommt.
Haben Sie eine These, wie die Umfrage herauskommen könne?
Wir lassen uns überraschen. Wir haben rund 2000 Organisationen angeschrieben, ein Grossteil davon im Raum Zürich. Das ist keine repräsentative Umfrage, aber es geht uns darum, einen Eindruck der Situation zu bekommen, damit wir nicht weiter im Nebel stochern müssen. Sollten die Rückmeldung zeigen, dass ein erheblicher Teil der Organisationen betroffen ist, würden wir die Studie sicher ausweiten. Wir haben die Umfrage Anfang Juni aufgeschaltet und bereits 300 Rückmeldungen erhalten.
Wie ist Ihre Einschätzung: Tun Unternehmen, Behörden und soziale Institutionen heute genug, um sich von Cyberangriffen zu schützen?
In den letzten beiden Jahren ist in Sachen Awareness viel passiert. Die Gefahren, die im Zusammenhang mit Cyberkriminalität bestehen, sind in den Fokus der Öffentlichkeit gerückt. Inzwischen ist wohl den meisten klar, dass eine Mail, in der ein Millionengewinn versprochen wird, eher problematisch ist. Und auch in vielen Unternehmen tut sich einiges. Die IT der ZHAW hat kürzlich einen Cyberangriff inszeniert. Es kam eine Mail mit dem Absender der Hochschule, die einen Link zu einem angeblichen Artikel über die ZHAW enthielt. Und wissen Sie was? Ich bin darauf hereingefallen.
Beim Nationalen Zentrum für Cybersicherheit heisst es, Cybersicherheit sei Chefsache. Haben das inzwischen alle Chefs und Chefinnen begriffen?
Ohne jemandem zu nahe treten zu wollen, aber da besteht sicher noch Handlungsbedarf. Gerade auch im Sozialbereich, wo die Affinität zu IT-Themen im Allgemeinen nicht sonderlich gross ist. Wobei Chefs und Chefinnen ein Unternehmen oder eine Organisation nicht alleine vor solchen Angriffen schützen können. Auch die Mitarbeitenden sind gefragt. Es muss ein Umdenken stattfinden, es muss eine Kultur, ein gemeinsames Bewusstsein geschaffen werden. Cybersicherheit ist nicht ein reines IT-Thema, es geht uns alle an. Es ist aber auch eine Frage der Ressourcen. Und die sind gerade im Sozialbereich oft noch zu wenig vorhanden.
Und was geben Sie jenen mit auf den Weg, die noch immer das Gefühl haben, ihnen könne so etwas nicht passieren?
Wir sollten nicht müde werden, die Gefahren im digitalen Raum immer wieder in unser Bewusstsein zu rufen. Und wer eine IT-Abteilung hat, sollte immer sehr genau machen, was diese einem sagt. Und zwar ohne Einschränkung.
NCSC – Cybersicherheit ist Chefsache!
Noch immer ist in vielen Köpfen die Idee verankert, dass das eigene Unternehmen, die eigene Organisation nicht Ziel eines Cyberangriffs werden wird. Und wenn, dann bestimmt nicht mit schwerwiegenden Folgen. Expertinnen und Experten warnen vor einer solchen Haltung. Dirk Baier vom Institut für Delinquenz und Kriminalprävention an der ZHAW Soziale Arbeit sagt im Interview, es müsse ein Umdenken stattfinden. Cybersicherheit sei nicht ein reines IT-Thema, es gehe uns alle an. Auch das Nationale Center für Cybersicherheit (NCSC) schreibt auf Anfrage, dass ein erster wichtiger Schritt zum Schutz vor Cyberangriffen ist, sich der „Bedrohung bewusst zu sein und sein Handeln entsprechend anzupassen“. Ein wichtiger Punkt: „Cybersicherheit ist Chefsache!“ Wenn die Geschäftsleitung ein umfassendes Risikomanagement unter Einbezug der Cyberrisiken betreibe und entsprechend die wichtigsten organisatorischen und technischen Massnahmen einleite, sei die Hürde für einen erfolgreichen Angriff höher. Das NCSC fasst die wichtigsten Grundregeln folgendermassen zusammen:
- Patch- und Lifecycle-Management: Konsequente und zeitnahe Einspielung der Sicherheitsaktualisierungen (Updates).
- Absicherung von Fernzugängen: Fernzugänge müssen zwingend mit einem zweiten Faktor abgesichert werden (Zwei-Faktor-Authentisierung – 2FA).
- Blockierung von gefährlichen E-Mail Anhängen und Unterbinden von Makro-Ausführungen bei Office-Dokumenten
- Offline-Backups: Sicherungskopien (Backups) der Daten sollten regelmässig erstellt und anschliessend vom Netzwerk getrennt werden.
- Sensibilisierung der Mitarbeitenden: Durch regelmässige Schulungen tragen die Mitarbeitenden einen wesentlichen Beitrag zur Cybersicherheit bei.
Weitere Informationen
Im letzten Jahr haben sogenannte Ransomware-Angriffe stark zugenommen. Bei solchen Attacken verschlüsseln Cyberkriminelle Daten von Unternehmen und fordern dafür ein Lösegeld. Und die Kriminellen agieren immer dreister.
In der Schweiz werden Straftaten, die im digitalen Raum begangen werden, erst seit 2020 in der polizeilichen Kriminalstatistik ausgewiesen. Im Jahr 2021 wurden von der Polizei 30‘351 Straftaten – durchschnittlich 83 Straftaten pro Tag – mit einer digitalen Komponente registriert, das sind 24 Prozent mehr als 2020. Der grösste Teil davon, nämlich fast 88 Prozent, betraf die „Cyber-Wirtschaftskriminalität“. Dabei hat sich herausgestellt, dass zwei Arten von Betrug besonders stark vertreten sind. Am häufigsten wurde bereits bezahlte Ware auf Kleinanzeigenplattformen nicht geliefert (6884 Straftaten), am zweithäufigsten wurden Online-Zahlungssysteme oder eine fremde Identität bzw. sämtliche Personenidentifizierungsdaten missbraucht, um einen Betrug zu begehen (6670 Straftaten). Weitere Delikte im digitalen Raum waren „Cyber Sexualdelikte“ (2572) und „Cyber Rufschädigung“ (1103). Da in der Schweiz derzeit noch keine Meldepflicht herrscht, ist von einer hohen Dunkelziffer auszugehen. Der Bundesrat hat Anfang Jahr die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen vorgeschlagen.
Vor allem Private melden sich beim NCSC
Beim Nationalen Center für Cybersicherheit (NCSC) können Cyberangriffe oder Angriffsversuche über ein Onlineformular oder via E-Mail gemeldet werden. Die Meldungen werden nicht nach demografischen oder branchenspezifischen Kriterien ausgewertet, wie das NCSC auf Anfrage schreibt. Wie oft soziale Institutionen betroffen seien, sei daher nicht ersichtlich. Generell lasse sich aber sagen, dass etwa 90 Prozent der Meldungen von Privatpersonen stammten. Die restlichen Meldungen kommen von Firmen, Behörden und Vereinen.
Es ist der absolute Albtraum: Plötzlich geht nichts mehr. Der Zugriff wird verweigert. Alle Daten sind verschlüsselt. Auf dem Desktop des Computers ist nur noch eine einzige Datei zu sehen. Wird diese angeklickt, wird man auf eine Webseite im Darknet gelotst, auf der eine Lösegeldforderung deponiert ist. Nein, es handelt sich hierbei nicht um das Drehbuch eines Thrillers. Es ist vielmehr ein Szenario, das hierzulande immer häufiger vorkommt: eine Cyberattacke durch Ransomware auf ein Unternehmen oder eine Organisation. Bei einem solchen Angriff verschlüsseln Cyberkriminelle die Unternehmensnetzwerke mittels eines Verschlüsselungstrojaners (eine sogenannte „Ransomware“) und fordern – oft erfolgreich – ein Lösegeld.
Meldungen zu solchen Attacken stiegen im Jahr 2021 überproportional an, wie einem Bericht des Nationalen Centrums für Cybersicherheit entnommen werden kann. 2021 wurden 161 Vorfälle gemeldet, im Jahr davor waren es noch 67 gewesen. Und da in der Schweiz derzeit noch keine Meldepflicht besteht, ist von einer hohen Dunkelziffer auszugehen.
Auch soziale Institutionen betroffen
Es sind längst nicht mehr Unternehmen aus dem Wirtschaftsbereich, die im Visier der Täterschaft stehen. Auch Institutionen und Organisationen im Sozialbereich sind immer wieder betroffen. So wies der Tagesanzeiger im November 2021 auf einen Fall im Kanton Waadt hin. Hier war es Hackern gelungen, an die Daten einer Stiftung zu gelangen, die Menschen in schwierigen Lebenssituationen bei der Reintegration hilft. Konkret: Suchtkranke, Arbeitslose und Hochverschuldete. Man kann sich vorstellen, welch gravierende Konsequenzen es für Betroffene haben kann, würden solche Daten veröffentlicht. Erst im März sorgte ein Fall in Neuenburg für Aufsehen: Diesmal waren es Patientendaten aus diversen Arztpraxen, die im Darknet landeten.
Wie das Nationale Center für Cybersicherheit auf seiner Webseite schreibt, gehen Angreifer immer öfter zur „doppelten Erpressung“ über. Sie kopieren die Daten, bevor diese verschlüsselt werden. So verfügen die Angreifer über ein zusätzliches Druckmittel. Falls das Opfer nicht zur Zahlung des geforderten Lösegeldes bereit ist, drohen sie mit der Veröffentlichung der Daten.
Zurück zur Übersicht