„Bedrohungssituationen kommen überraschend“

Mit Blick auf die eigene Sicherheit handeln viele nach dem Motto: warum kümmern? Es ist doch noch immer gut gegangen. Eine riskante Strategie, denn die Bedrohungen nehmen zu, auch wegen der zunehmenden Verbreitung künstlicher Intelligenz. Der Sicherheitsbeauftragte des HQ Family Office spricht über die Hintergründe – und mögliche Lösungen.

Es ist 4 Jahre her, dass wir uns über die Herausforderungen für Unternehmen und Privatpersonen im Bereich Sicherheit unterhalten haben. Was hat sich seitdem geändert?

Einiges. Während der Corona-Zeit mussten viele unvermittelt und oft auch unvorbereitet ins Homeoffice wechseln. Darauf haben sich die Täter sehr schnell eingestellt: Zunächst gab es rückläufige Fallzahlen bei Wohnungseinbrüchen und Raubdelikten, diese haben das Vor-Corona-Niveau aber schon wieder erreicht. Im Bereich der Gewalttaten steigen sie sogar deutlich an. Zudem haben sich noch zusätzliche Angriffsmöglichkeiten auf die IT-Infrastruktur ergeben.

Im Bereich Technik haben sich also die Risiken vergrößert?

Ja und nein! Grundsätzlich sind es immer noch die gleichen Tricks, mit denen Kriminelle versuchen, an Zugangsdaten und vertrauliche Informationen zu gelangen. Hinzu kommt aber, dass beim Arbeiten im Homeoffice nicht immer die gleichen Sicherheitsvorkehrungen wie im Unternehmen vorhanden sind. Zu Hause wird das eigene WLAN genutzt und eventuell werden private Rechner, Drucker und andere Kommunikationsmittel ins Firmennetzwerk eingebracht. Und möglicherweise geht man auch mit vertraulichen Dokumenten etwas laxer um.

Laxer? Weil Familienangehörige vertrauliche Unterlagen zu sehen bekommen?

Sagen wir, der Kreis wird größer. Es müssen nicht Familienangehörige sein. Denken Sie auch an Bekannte, die das Haus betreten, Freunde der Kinder, die Putzfrau, Handwerker, den Gärtner …

Wenn Sie sagen, Kriminelle gehen immer mit den gleichen Tricks vor, dann sollte doch so langsam jeder wissen, welche Gefahren drohen, oder?

Es ist für die Opfer nicht leicht, die Angriffsmaschen zu durchschauen – auch wenn diese oft gleich sind. Ein bisschen ist es wie bei der Geschichte vom Hasen und vom Igel: Das illegale Geschäftsmodell Cybercrime-as-a-Service hat sich in den letzten Jahren hochprofitable entwickelt. Ähnlich wie in einem Unternehmen gibt es hier professionelle Strukturen, deren Prozesse sich extrem schnell an Veränderungen anpassen. Dadurch haben Täter Zugriff auf vielfältige Angriffsvarianten. Der gesamtwirtschaftliche Schaden ist immens. Die Vereinigung Bitkom e.V. schätzt ihn in Deutschland für das vergangene Jahr auf 203 Mrd. Euro.

Wie versuchen die Täter an Zugangsdaten oder vertrauliche Informationen zu kommen?

Indem sie Druck aufbauen. Es wird „gedroht“, dass relevante Zugänge gesperrt werden, oder es zu einem finanziellen Verlust kommt, wenn nicht umgehend reagiert wird. Oder Sie erhalten eine Nachricht mit „vermeintlich“ interessanten oder vertraulichen Informationen.

Die bekomme ich aber unabhängig davon, ob ich im Homeoffice arbeite oder im Büro.

Das ist richtig. Im Unternehmen könnte ich aber noch jemanden um Rat fragen. Im Homeoffice sitze ich zunächst einmal allein mit meinem Problem. Da wird dann schon mal schnell geklickt, anstatt sich die E-Mail in Ruhe anzuschauen.

Was kann ich gegen diese Gefahren tun?

Gute Erfahrungen haben wir mit individuell aufgebauten Awareness-Schulungen gemacht. Hier werden typische Vorgehensweisen mit vielen Beispielen aus der Praxis gezeigt, und die Mitarbeiter werden vor den Gefahren durch Social Engineering sensibilisiert.

Ist das nicht alles schon bekannt, weil es solche Schulungen ständig gibt?

Leider überhaupt nicht. Das Erstaunen ist immer wieder groß, mit welchen Tricks Kriminelle vorgehen, und es zeigt sich immer wieder, wie wichtig es ist, unnötiges Veröffentlichen sensibler Informationen zu vermeiden. Eine Alternative ist, sich zusammen mit Experten Gedanken über Risiken und geeignete Schutzmaßnahmen zu machen. Bedrohungssituationen kommen in aller Regel überraschend und können Privatpersonen und Unternehmen schnell überfordern. Beispielsweise ist es schwierig, ad hoc ein funktionierendes Krisenteam zusammenzustellen.

Wofür benötige ich denn ein Krisenteam?

Es gibt derzeit einen deutlichen Anstieg von Erpressungsversuchen – häufig aus dem Cyberraum. Sie müssen einschätzen, wie bedrohlich eine solche Situation ist, sich mit verschiedenen Szenarien auseinandersetzen, Mitarbeiter informieren, eventuell muss sogar verhandelt werden. Hier kann es helfen, im Vorfeld über die Zusammensetzung und die Arbeit von Krisenteams zu sprechen. Aus der Erfahrung heraus kann ich berichten, dass das Bearbeiten kleinerer, aber realistisch erscheinender Lagen, die Handlungssicherheit im Team verbessert. Und bei den Übungen wird es ganz bestimmt nicht langweilig.

Welche Schutzmaßnahmen können nach solchen Terminen umgesetzt werden?

Das ist sehr unterschiedlich. Denken Sie an das Thema Objektsicherheit. Da kann es sein, dass Experten auf Schwachstellen hinweisen, nachdem sie die Verriegelungen von Fenstern und Terrassentüren geprüft haben. Manchmal sind es auch eher banale Dinge, wenn etwa festgestellt wird, dass im Garten Dinge herumliegen, die als Hebelwerkzeuge oder Aufstiegshilfen genutzt werden können. Hier hilft es in Gesprächen, Hauspersonal oder Gärtner entsprechend zu sensibilisieren.

Okay, das sollte nicht passieren. Über welche konkreten Beispiele können Sie noch berichten?

Regelmäßig wird mit viel Expertise unterstützt, um bereits in der Entwurfsphase ein Bauprojekt unter Sicherheitsaspekten zu planen. Ein weiterer Klassiker sind sogenannte Sichtbarkeitsanalysen im Internet. Dabei werden gefundene Inhalte, die den Auftraggeber betreffen, mit Blick auf mögliche Risiken analysiert und Verhaltensempfehlungen mit den Mandaten besprochen.

Über ein Thema haben wir noch gar nicht gesprochen: Künstliche Intelligenz.

Das sind aktuelle Entwicklungen, bei denen wir noch ganz am Anfang stehen. Eins der Probleme ist, dass es smart dargestellt wird. Der Nutzer sieht das Risiko nicht. Dabei kann die KI auch dazu beitragen, dass potenzielle Täter an Informationen und kriminelles Know-how gelangen können. Das Entdeckungsrisiko ist vor allem in der Planungsphase leider sehr gering. Mehr denn je sollten wir uns etwa bei der Nutzung von Social Media fragen: Was gebe ich eigentlich von mir preis?

Vermögende könnten sich auch noch fragen, an wen sie sich bei Fragen wenden sollten.

(lacht) Fragen Sie HQ Trust.

Das könnte Sie auch interessieren:

„Cyberkriminalität wird oft unterschätzt“ Interview mit dem Sicherheitsbeauftragten des HQ Family Office
„Familientage stärken den Zusammenhalt“ Interview mit Kerstin Rasch, Kundenberaterin HQ Trust
„Man kann auch komplexe Strukturen übersichtlich abbilden“ Interview mit Christian Stadtmüller, Geschäftsführer HQ Trust

Bitte beachten Sie:
Die Vermögensanlage an den Kapitalmärkten ist mit Risiken verbunden und kann im Extremfall zum Verlust des gesamten eingesetzten Kapitals führen. Die Wertentwicklung in der Vergangenheit ist kein Indikator für die Wertentwicklung in der Zukunft. Auch Prognosen haben keine verlässliche Aussagekraft für künftige Wertentwicklungen. Die Darstellung ist keine Anlage-, Rechts- und/oder Steuerberatung. Alle Inhalte auf unserer Webseite dienen lediglich der Information.

Jochen Mörsch

Leiter Interne & Externe Kommunikation
HQ Trust

Jochen Mörsch leitet die interne und externe Kommunikation von HQ Trust. Der Diplom-Betriebswirt (BA) war zuvor in gleicher Position bei einer Privatbank sowie bei einer Agentur tätig und hat seine Wurzeln im Journalismus: Im Jahr 2000 begann Jochen Mörsch seine journalistische Karriere beim Wirtschaftsmagazin Capital. Später leitete er das Geldressort der Wirtschaftsmedien von Gruner + Jahr, in denen der Verlag die Financial Times Deutschland, Börse Online, Capital, Impulse und Business Punk bündelte.