Cyberkriminalität: Soziale Organisationen häufig Ziel von Cyberangriffen

Es ist kein Geheimnis: Kriminalität verlagert sich immer mehr in den digitalen Raum. Wir Menschen bewegen uns vermehrt im Netz. Hier kaufen wir ein, buchen unsere Ferien und bezahlen unsere Rechnungen. Kurz: Für Kriminelle gibt es schlicht mehr zu holen. Dies nicht nur bei Privaten, sondern vor allem bei Grosskonzernen, Verwaltungen oder Organisationen. Auch soziale Organisationen werden von solchen Angriffen nicht verschont. Bislang galt das Augenmerk der Forschung vor allem Wirtschaftsunternehmen; genaue Zahlen zu auf den Sozialbereich zielende Cyberkriminalität gab es nicht. Um etwas Licht ins Dunkel zu bringen, hat das Institut für Delinquenz und Kriminalprävention der ZHAW Soziale Arbeit unter der Leitung von Dirk Baier im Frühsommer eine Onlinebefragung bei sozialen Organisationen im Kanton Zürich durchgeführt. Nun liegen die Ergebnisse vor.

Und diese zeichnen ein deutliches Bild: Knapp zwei Drittel (62,2 Prozent) der Organisationen, die bei der Befragung mitgemacht haben, geben an, in den letzten zwölf Monaten mindestens einmal einen Cyberangriff erlebt zu haben. In einer Studie, die Cyberattacken auf deutsche Unternehmen untersucht hatte, lag der Anteil betroffener Unternehmen bei 59,6 Prozent. Die Ergebnisse der ZHAW-Umfrage scheinen also einem allgemeinen Trend zu entsprechen. Phishing-Attacken waren dabei die am häufigsten vorkommende Form von Cyberangriffen, gefolgt von Angriffen mit sonstiger Schadsoftware und Support-Betrug. Grössere Organisationen sind gemäss den vorliegenden Ergebnissen häufiger Ziel von Cyberattacken. Das stehe möglicherweise damit in Zusammenhang, dass sie attraktivere Ziele für Cyberkriminelle seien, so die Studienleitenden. Es sei aber auch möglich, dass hier Angriffe häufiger erkannt würden, weil bereits Massnahmen zur Abwehr, respektive zur Entdeckung von Angriffen implementiert worden seien.

Spannend sind die Mutmassungen der Betroffenen, aus welchen Gründen ihre Organisation Ziel eines Cyberangriffs geworden sein könnte.  69,5 Prozent der Befragten waren der Ansicht, dass spezifische Informationen bzw. Daten der Organisation hierfür entscheidend sein könnten. Etwas mehr als die Hälfte der Befragten rekurrierte auf die besondere Klientel, die in der Organisation betreut wird (53,9 Prozent). In einem offenen Antwortfeld hatten die Befragten die Möglichkeit, die Antworten zu spezifizieren. Und hier fanden sich aufschlussreiche Aussagen. Zum Beispiel „Zahlungspflichtige (z.B. Alimente) könnten wütend sein“, „Weil die Mitarbeiter naiv sind“ oder auch „Weil niemand wirklich ein IT-Konzept erstellt und oft manches nicht beachtet wird“.

Wenig Anzeigen trotz hohem Schadenspotenzial

Dass Cyberangriffe nicht auf die leichte Schulter genommen werden dürfen, unterstreichen die Befunde zu den angerichteten Schäden. Die Organisationen mussten angeben, welches „das schwerwiegendste Delikt“ war und welche Folgen es hatte. In mehr als der Hälfte der schwerwiegendsten Delikte entstand ein finanzieller Schaden, der im Mittel 2'000 Franken betrug. Kommt hinzu, dass nicht selten Mitarbeitende ihre Arbeit unterbrechen mussten, andere mussten Zeit aufwenden, um den Angriff zu bearbeiten. Angezeigt wurden die Delikte selten: nur 7,6 Prozent der schwerwiegendsten Delikte wurden bei der Polizei angezeigt. Als Gründe für eine Nicht-Anzeige wurde unter anderem genannt, dass kein oder nur ein geringer Schaden vorlag; ebenfalls wurde häufig auf die fehlende Aussicht auf Ermittlungserfolg verwiesen. Der fehlende Ermittlungserfolg bestätigt sich dabei auch in der Befragung: in keinem Fall von erstatteter Anzeige konnte die Täterschaft ermittelt werden.

Gefragt wurde ausserdem, welche Schutzmassnahmen die Organisationen umsetzen. Dazu schreiben die Studienverantwortlichen: „Die Befunde lassen sehr allgemein ausgedrückt die Folgerung zu, dass die Organisationen hier noch aktiver werden können, insofern sie im Vergleich mit Wirtschaftsunternehmen etwas schlechter abschneiden." Zwar würden verschiedene Massnahmen von mindestens acht von zehn Organisationen umgesetzt (regelmässige Backups/Datensicherungen, Schutz der IT-Systeme mit einer Firewall, aktuelle Antivirensoftware, individuelle Vergabe von Zugangs- und Nutzerrechten, Mindestanforderungen für Passwörter, etc.); bei Vergleichsbefragungen zu Unternehmen fänden sich diese Massnahmen aber bei mindestens neun von zehn Unternehmen. Auch würden sich Organisationen des Sozialbereichs seltener gegen Informationssicherheitsverletzungen versichern, als Unternehmen dies tun. Die Studienverantwortlichen erklären sich dies damit, dass die Organisationen des Sozialbereichs ihre Situation möglicherweise als zu optimistisch einschätzten. Obwohl die Resultate der Befragung bei etwa zwei von drei Organisationen eher hoch ausgeprägtes Bewusstsein zeigten, bestehe Handlungsbedarf.

Weitere Studien sollen folgen

Die Studienverantwortlichen betonen, dass es sich um eine „erste, eher explorativ angelegte Studie handelt“, die Onlineumfrage sei nicht repräsentativ. Dies aus diversen Gründen. So existiert für die Schweiz bislang keine vollständige Übersicht mit allen Organisationen des Sozialbereichs, aus der eine repräsentative Stichprobe für die Befragung gezogen werden könnte. Angeschrieben wurden daher fast ausschliesslich Organisationen, die im Adressbuch der am Departement für Soziale Arbeit der ZHAW geführten Infostelle zu finden waren. Dabei handelte es sich mehrheitlich um Organisationen aus dem Kanton Zürich. Deshalb seien weitere Studien zum Themenfeld Cyberkriminalität gegen Organisationen im Sozialbereich „zweifellos wünschenswert“.