BKA veröffentlicht Bundeslagebild Cybercrime 2016
Internetkriminalität ist ein florierendes Geschäft und es wächst rasant. Wie das Bundeskriminalamt (BKA) in seinem kürzlich veröffentlichten Bundeslagebild Cybercrime bekannt gibt, ist die Zahl der Straftaten im Jahr 2016 gegenüber dem Vorjahr um 80,5 Prozent auf fast 83.000 Straftaten gestiegen. Der dabei entstandene Schaden beläuft sich auf über 51 Millionen Euro.
Der größte Teil der Straftaten im Bereich der Computerkriminalität, nämlich 71 Prozent, liegt im Bereich des Computerbetrugs, erst mit weitem Abstand folgt das Ausspähen oder Abfangen von Daten (13 Prozent). Der Diebstahl digitaler Identitäten, Kreditkarten-, E-Commerce- oder Kontodaten (z.B. Phishing) sind typische Delikte in diesem Bereich. 10 Prozent aller Delikte im Cybercrime sind Täuschungen durch Fälschung von Daten, um diese im Rechtsverkehr zu nutzen. Hierunter fällt zum Beispiel die Zusendung von E-Mails unter Vorspiegelung realer Identitäten oder Firmen – oftmals mit als Rechnung getarnter Schadsoftware im Anhang. Das Delikt der Computersabotage, zu dem Denial of Service-Angriffe (DoS-/ DdoS-Angriffe) sowie die Verbreitung und Verwendung von Schadsoftware unterschiedlicher Art gehören, schlägt mit 5 Prozent zu Buche. Mit 1 Prozent gehen die Delikte von missbräuchlicher Nutzung von Telekommunikationsdiensten in die Statistiken ein.
Professionelle Täter agieren über Landesgrenzen hinweg
Im heutigen Beitrag werfen wir einen Blick in das Bundeslagebild Cybercrime und fassen die wichtigsten Ergebnisse und Erkenntnisse zusammen. Sie werden sehen: Die Täter kennen keine nationalen Grenzen, sind sehr gut organisiert und arbeiten hoch professionell. Dabei entwickeln sie ständig neue Tatgelegenheiten und Modi Operandi. Leichter als jemals zuvor können sie Cyberangriffe durchführen – denn wo eigenes Know-how fehlt, kaufen sie Dienstleistungen oder illegale Software einfach am gut organisierten digitalen Schwarzmarkt hinzu.
1. Der digitale Schwarzmarkt
Die Underground Economy boomt
Der digitale Schwarzmarkt boomt. Im Clearnet, im Deepweb sowie auch im Darknet finden sich inzwischen unzählige illegale Foren oder Marktplätze, die zum Teil mehr als 100.000 registrierte Mitglieder zählen. Hier kommunizieren Groß- und Kleinkriminelle, tauschen ihr Know-how aus und handeln diverse Dienstleistungen und Software, um ihre kriminellen Straftaten zu begehen. Tatsächlich gibt es hier fast alles: Von illegalen Drogen und Waffen über Falschgeld, gefälschte Ausweise und gestohlene Kreditkartendaten bis hin zu gefälschten Markenartikeln.
Geschäftsmodell Cybercrime-as-a-Service – sogar mit „Kundendienst“
Die digitale Underground Economy hält daneben ein breites Spektrum von Dienstleistungen zur Durchführung jeder Art von Cybercrime bereit. Das Angebot umfasst unter anderem Ransomware, die Bereitstellung von Botnetzen die Durchführung von DDoS-Attacken, die Herstellung und Verbreitung von Malware, der Verkauf sensibler Daten wie zum Beispiel Zugangs- oder Zahlungsdaten, die Verteilung von Schadsoftware, Anonymisierungs- und Hostingdienste zum Verschleiern der eigenen Identität sowie Test-Portale, in denen Cyberkriminelle erworbene oder erstellte Schadsoftware auf Detektierbarkeit durch aktuelle Cyber-Sicherheitsprodukte testen können. Bezahlt wird in Kryptowährung – abgewickelt werden die Transaktionen über Treuhand-Systeme.
Wenn Sie ein Problem mit Ihrer Software haben, rufen Sie den Kundendienst Ihres Herstellers an oder schreiben ihm eine Mail. So ähnlich läuft es auch bei illegalen Angeboten: Mittlerweile, so das BKA, haben die Anbieter illegaler Software und Dienstleistungen sogar schon einen Support eingerichtet, der beispielsweise Updates für Schadsoftware bereitstellt, Beratungsdienste und Anti-Erkennungsmechanismen anbietet sowie Hilfeleistung bei technischen Problemen gibt. Allein dieser Abriss zeigt, dass Kriminelle nicht einmal mehr technische Kenntnisse benötigen, um sich Zugang zu hochentwickelten, illegalen Cyber-Werkzeugen zu verschaffen, um ihre Cyberangriffe durchzuführen.
2. Die lukrativen Geschäfte
Begehrt: Digitale Identitäten
Ganz gleich, ob sie selbst für kriminelle Zwecke zu missbrauchen oder aber um sie im Darknet und Co. zu verkaufen: Digitale Identitäten sind nach wie vor ein beliebtes Diebesgut. Um an die personenbezogenen Daten zu gelangen, setzen die Täter auf unterschiedliche Methoden. So bedienen sie sich beispielsweise der Installation von Schadprogrammen über Drive-By-Exploits, des Phishings, sie brechen auf Server ein und kopieren Anmeldeinformationen oder setzen Keylogger oder Spyware ein. Ziel ist es, an alle Arten von Nutzer-Accounts inklusive Zugangsdaten – zum Beispiel von E-Mail- und Messenger-Diensten, von Banking-Accounts oder auch für den Online-Zugriff auf firmeninterne IT-Systeme – zu gelangen.
Rückläufig: Phishing im Onlinebanking
Die häufigste Variante des digitalen Identitätsdiebstahls ist auch 2016 das Phishing im Zusammenhang mit Onlinebanking: 2.175 Vorfälle wurden im letzten Jahr gemeldet. Damit erreicht die Zahl der Fälle den tiefsten Stand seit fünf Jahren! Allein im Vergleich zum Jahr 2015 konnte laut Bundeslagebild Cybercrime des BKA ein Rückgang um ganze 51 Prozent verzeichnet werden. Dennoch ist das Geschäft nach wie vor äußerst lukrativ und damit ein attraktives Betätigungsfeld für die Täter. So betrug die Gesamtschadenssumme stolze 8,7 Millionen Euro für das Jahr 2016 – das sind 4000 Euro je Vorfall. Im Vergleich zu den vergangenen fünf Jahren liegt die Gesamtsumme aber erfreulicherweise deutlich unter dem Durchschnitt von 16.9 Millionen Euro.
Besonders beliebt, um an die notwendigen Kundeninformationen zu gelangen, ist übrigens das Social Engineering, allem voran der Versand von E-Mails in vertrauenserweckender Aufmachung: In E-Mails mit bekanntem Firmen- oder Behördenlogo, fordern die Täter ihre Opfer aus bestimmten Gründen auf, vertrauliche Informationen preiszugeben.
Ransomware liegt im „Trend“: Computersabotage trifft Erpressung
Noch lukrativer als Phishing im Onlinebanking ist offensichtlich ein ganz anderes Geschäftsmodell: Ransomware. 2016 registrierten die deutschen Polizeidienststellen 972 Fälle von Ransomware. Das ist ein Anstieg im Vergleich zum Jahr 2015 von über 94 Prozent! Tatsächlich beobachtet das BSI bereits seit 2015 eine große Spam-Welle, über die massenhaft dieser neuartigen Schadsoftware verbreitet wird: Cyberkriminelle verschicken Ransomware gut getarnt in vermeintlich seriösen E-Mails, um Daten oder ganze Netzwerkkomponenten ihrer Opfer zu verschlüsseln, um für deren Freischaltung ein Lösegeld zu erpressen.
Binnen fünf Monaten – von Oktober 2015 bis Februar 2016 – verzehnfachte sich die Entdeckung von Ransomware durch Virenschutzprogramme. Eine im April 2016 durchgeführte Umfrage des BSI bei deutschen Unternehmen offenbarte, dass 32 Prozent der Befragten in den vorhergegangenen sechs Monaten von Ransomware betroffen waren. Europol spricht in seinem Cybercrime-Lagebericht 2016 sogar davon, dass Ransomware alle anderen Arten von Malware eingeholt habe.
Das Geschäft mit Ransomware boomt, inzwischen hat sich sogar ein richtiger Wettbewerb etabliert: Erfolgreiche Varianten der Schadsoftware werden kopiert und in Foren der Underground Economy verkauft. Mit Hilfe von im Darknet verfügbaren „Malware-Toolkits“ können sich die Täter Ransomware ohne großen Aufwand aber auch selbst zusammenstellen. Damit ist nicht einmal mehr besonderes IT-Fachwissen mehr nötig, um in den digitalen Erpressungshandel einzusteigen. Bei erfolgreicher Lösegeldzahlung erhalten die Anbieter der Toolkit-Dienste eine Umsatzbeteiligung.
Botnetze weiterhin beliebter Angriffsvektor
Eine weitere ganz bedeutende Rolle bei den Angriffsvektoren spielen Botnetze und ihre Kapazitäten. Auch sie waren 2016 lukrative Handelsware in der Underground Economy: Betreiber der Botnetze vermieten Bots, mit denen Dritte, beispielsweise mittels DDoS-Attacken, gezielte Angriffe auf Unternehmensserver durchführen, massenhaft Spam-Mails versenden oder gezielte Datendiebstähle durchführen. Wie viele Rechner in Deutschland oder weltweit zu Botnetzen zusammengeschlossen sind, vermag das BKA zwar nicht zu sagen – die Europäische Agentur für Netz- und Informationssicherheit (ENISA) und EUROPOL gehen jedoch davon aus, dass Deutschland an der Spitze der Staaten, die Command & Control-Server hosten, steht.
Die Zahl der von Botnetzen infizierten Rechner steigt unaufhörlich. Vom Nutzer unbemerkt, werden sie von Kriminellen für Verbrechen genutzt, wie dem Verschicken von Spam oder Denial-of-Service-Angriffen (DDoS). Lesen Sie in
diesem Blog-Beitrag, wie Computer zu ferngesteuerten Robotern werden.
Im Bundeslagebild Cybercrime 2016 konnten wir lesen: Die erfolgreiche Beschlagnahme von 39 Servern und hunderttausenden Domains im Dezember 2016, lässt jedoch ein ungefähres Ausmaß erahnen. Vier Jahre Ermittlungsarbeit von Polizei und anderen Behörden aus 41 Staaten waren dem vorangegangenen, bis das bislang weltweit größte Botnetz aufgedeckt und analysiert werden konnte. Allein in Deutschland wurde dadurch Cyberkriminellen die Kontrolle über mehr als 50.000 infizierte Computer entzogen. Schon dieser Fall zeigt, dass die quantitative wie qualitative Ausgestaltung von kriminellen Infrastrukturen ein immer größeres Ausmaß erreicht!
Häufung von DDoS-Angriffen auf IoT zu erwarten
Im engen Zusammenhang mit Botnetzen stehen DDoS-Angriffe. Sie gehören laut BKA zu den am häufigsten beobachteten Sicherheitsvorfällen im Cyber-Raum und werden oft mithilfe von Botnetzen ausgeführt. Ziel dieser Angriffe ist es, die Verfügbarkeit von Webseiten oder einzelner Dienste zu sabotieren. Denn ist beispielsweise ein Online-Shop über Stunden oder gar Tage nicht erreichbar, zieht dies erhebliche wirtschaftliche Schäden nach sich. Dementsprechend erstrecken sich die Motive der Angreifer von rein monetären Interessen (also Erpressung) über das Erlangen von Wettbewerbsvorteilen bis hin zu ideologischen oder Rache-Motiven.
Erinnern Sie sich an den November 2016, als mitten im US-amerikanischen Wahlkampf hochfrequentierte Webdienste wie Twitter, Spotify und Amazon nicht erreichbar waren? Oder an den 27. November desselben Jahres, als hunderttausende Telekom-Kunden vom Netz abgeschnitten waren, weil deren Router gehackt worden waren? Verantwortlich dafür waren DDoS-Angriffe, die mittels Mirai-Botnetzen begangen wurden. „Mirai“ umfasste etwa 500.000 kompromittierte „Internet of Things“ (IoT)-Geräte weltweit, bis zu drei Millionen Geräte waren in das Botnetz eingebunden.
„Mirai“ nutzte aus, dass Alltagsgegenstände wie Router, Überwachungssysteme, Fernseher oder Kühlschränke mit dem Internet verbunden sind. Die Schadsoftware scannte über das Internet derartige Geräte auf Sicherheitslücken und infizierte sie dann mittels eines Schadcodes. Angesichts der Verbreitung des „Internet of Things“ und der damit einhergehenden immer umfassenderen Vernetzung von Geräten, geht das BKA davon aus, dass sich derartige DDoS-Attacken häufen werden.
3. Die Täter im Visier: Junge Männer, die schnell lernen
Abschließend werfen wir noch einen Blick auf das Täterprofil: Das BKA gibt an, dass 2016 knapp 21.000 Tatverdächtige registriert worden seien – davon zu gut zwei Drittel (70 Prozent) Männer. Mehr als die Hälfte (54,2 Prozent) der registrierten Delikte wurde dabei von über 30-Jährigen begangen, wobei die Gruppe der 30 bis 39-jährigen mit 25 Prozent am stärksten vertreten ist. Die Täter kommen dabei überwiegend aus Deutschland oder haben zumindest die deutsche Staatsbürgerschaft. Nur knapp ein Viertel der Tatverdächtigen waren Nichtdeutsche, wobei „keine Nationalität“ überdurchschnittlich stark in Erscheinung trat.
Ganz gleich, ob sie als Einzeltäter oder in international organisierten Gruppen arbeiten: Die Cyberkriminellen begehen die typischen Cybercrime-Delikte – angefangen von Computerbetrug über Angriffe auf das Onlinebanking bis hin zur Verbreitung von Ransomware mit dem Ziel der digitalen Erpressung. Der überwiegende Teil der Angreifer handelte aus finanzieller Motivation.
An Bedeutung gewonnen haben in den vergangenen Jahren organisierte Täterstrukturen. 2016 waren zwar „nur“ 4 Prozent aller Verfahren im Bereich des Cybercrimes angesiedelt, jedoch geht das BKA davon aus, dass die Entwicklung sich fortsetzt und das organisierte Verbrechen im Cybercrime zunimmt. Und noch etwas fällt auf: Die Täter lernen schnell und sind unglaublich flexibel, denn sie passen ihr Verhalten den technischen Entwicklungen an. Einzeltäter oder Tätergruppen, die kriminelle Dienste nicht selbst erbringen können, kaufen sich diese inzwischen einfach hinzu.
Der Beitrag Kein Ende in Sicht: Internetkriminalität wächst erschien zuerst auf GBS - Der Blog rund um Security, Collaboration & Co.
Wenn Sie Ihre SharePoint-Umgebung durch mehrstufigen Schutz vor Malware mit multiplen Scannern namhafter Premiumhersteller sichern möchten, sollten Sie iQ.Suite 360 einsetzen. Der Schutz der Collaboration-Umgebung wird dabei nicht nur für interne User, sondern auch beim Zugriff durch externe Kommunikationspartner gewährleistet. Ein weiteres Highlight der Lösung ist das zeitgesteuerte Scannen der gesamten SharePoint-Umgebung mit aktuellsten Malware Pattern außerhalb der Arbeitszeiten. iQ.Suite 360 ist eine compliance-konforme, mehrstufige Malware-Schutzlösung für SharePoint, die seit Kurzem von GBS (a BULPROS Company) angeboten wird.
Keiner kann so tun, als hätte er von nichts gewusst, dennoch gehen deutsche Unternehmen die Umsetzung für die DSGVO offenbar nicht mit der erforderlichen Ernsthaftigkeit an. Mehr dazu in diesem Blogartikel: 
