„Cybersecurity verkauft sich nicht über Schreckensszenarien“, sagt Prof. Dr. Marco Gercke, Gründer und Direktor des Cybercrime Research Institutes im Experten-Interview auf der TOP 2018. Eine weitaus erfolgreichere Verkaufsstrategie sei eine positive Formulierung. „Denn beim Thema Cybercrime gibt es inzwischen viele Lösungsansätze.“
„Gerade in Deutschland versteht man Cybercrime als besonders große Bedrohung“, sagt der Cybersecurity-Experte, der die negative Herangehensweise als eher hinderlich bezeichnete. Er halte es da lieber mit den USA, die das Thema weitaus weniger hinterfragen.
Schließlich sei es wenig überraschend, meint Prof. Gercke nüchtern, dass bei steigendem Datenaufkommen auch die Angriffe zunehmen. Mit der konstanten Entwicklung von technologischen Lösungen „ist man aber durchaus in der Lage, die Angriffe einzudämmen“. Keine Frage: „Cybersecurity ist ein wichtiges Thema. Es ist aber nicht das wichtigste.“
Mit dem von ihm gegründeten Cybercrime Research Institute, einem unabhängigen Forschungsinstitut mit Sitz in Köln, leistet der Cyberkriminologe einen wesentlichen Beitrag zum richtigen Umgang mit Cyberkriminalität. Denn neben der strategischen, politischen und rechtlichen Beratung von Regierungen und Unternehmen liegt der Schwerpunkt des Instituts vor allem auf den sogenannten „Cyber Incident Simulationen“.
Stresstest prüft Reaktionsbereitschaft von Top-Managern.
Dabei handle es sich nicht um technische Simulationen, so Prof. Gercke, sondern um die realistische Nachstellung einer Stresssituation, wie sie beispielsweise bei einem Hacker-Angriff auftritt. „Die Minister und Top-Manager haben so die Möglichkeit, ihre Reaktionsbereitschaft zu prüfen.“
Auffällig sei, dass fast alle Entscheidungsträger mit der Krise rein intuitiv umgingen. Das aber funktioniere in der Regel nicht. Stattdessen sei eine klare Struktur notwendig, die einem „Schritt für Schritt“ sagt, was zu tun ist. Selbst ein Cybersecurity-Beauftragter mache unter bestimmten Umständen Sinn.
Bei Erpresservideos macht die Technik den Unterschied.
Denn das Beratungs Know-how ist inzwischen so weit fortgeschritten, „dass man beispielsweise bei Erpresservideos allein über die Technik feststellen kann, wie ernst die Forderung zu nehmen ist“. So deute ein veraltetes Aufnahmegerät oder eine schlechte Tonqualität nicht selten auf eine gewisse Unprofessionaliät hin – was sogar zur Ablehnung der Forderung führen könne.
Welche Branchen besonders oft von Hacker-Angriffen betroffen sind, „lässt sich nicht sagen“, gab Prof. Gercke offen zu. Generell könne ein Angriff überall passieren – „vom Maschinenbau-Unternehmen bis zur Anwaltskanzlei“. Selbst Privatpersonen erwische es immer häufiger, da die Grenze zwischen öffentlicher und privater Position zusehends verschwindet.
Verfolgt man die aktuelle Berichterstattung, die Hacker-Angriffe aus China bei deutschen Maschinenbauern oder kriminelle Machenschaften im Darknet meldet, entsteht schnell das Gefühl, dass der Staat gegen Cyberkriminalität machtlos sei. Dem widersprach der Experte entschieden.
Straftaten treten im Internet genauso häufig auf wie im Darknet.
Denn zum einen passieren im Internet statistisch gesehen genauso viele Straftaten wie im Darknet. Zum anderen sei die Forensische Informations- und Kommunikationstechnik des Landeskriminalamtes Bayern auf einem derartigen Top-Niveau, „dass sich andere Länder sogar daran orientieren“.
Neben „organisierter Kriminalität mit viel Geld im Rücken“ und staatlichen Organisatoren – „den schwierigsten Gegnern im Netz“ – gebe es jedoch so viele Kleinkriminelle im Cyberraum: „All denen wird man schlicht und ergreifend nicht Herr“.
Und was rät der „Cyber-Kriminologe“ dem Publikum, wenn es um den Verkauf von Cybersecurity geht? „Verzichten Sie beim Verkaufssgespräch auf Schreckensszenarien“, so die klare Antwort. Die Zahlen sind inzwischen so überdimensioniert, „da springt mittlerweile kaum noch einer darauf an“.
Flache Unternehmens-Hierarchien schützen vor Cybercrime.
Weitaus erfolgsversprechender sei dagegen eine positive Formulierung – im Sinne von: „Es handelt sich um ein wichtiges Thema, bei dem wir schon viel erreicht haben. Folgende Lösungsansätze kann ich Ihnen vorstellen.“
Zusätzlich empfahl Gercke den Führungskräften im Publikum, auf flache Hierarchien zu setzen. Oftmals gingen gerade Führungskräfte unvorsichtig mit sensiblen Daten um. Ein Unternehmen, das es beispielsweise Technikern erlaubt, Chefs offen auf ihr Missverhalten anzusprechen, seien gegen Cyberkriminalität besser aufgestellt. Mit Sicherheit.