25. November 2019 - Sebastian Evers
Der Begriff Cybercrime bzw. Computerkriminalität bezeichnet sämtliche Delikte, welche mittels Kommunikations- bzw. Informationstechnologie begangen werden. Dazu zählen PCs, Netzwerke, Internet, aber auch Hardware-Geräte, wie sogenannte "Hacking-Tools". Den Angaben des Bundeskriminalamts zufolge zählen Computerbetrug, Computersabotage, Identitätsdiebstahl, Datenfälschung und Datenmanipulation (u.a. Verschlüsselung durch Ransomware) sowie das Ausspähen und Abfangen von Daten (Phishing bzw. Spear Phishing, Skimming) zur Computerkriminaliät. Ergänzend können auch Erpressung sowie das oftmals negativ konnotierte "Hacking" darunter fallen.
Im Jahr 2017 lagen die durchschnittlichen Kosten für Cyberangriffe laut einer Studie von Accenture und dem Ponemon Institute bei ca. 10,5 Millionen Euro. Für die Studie wurden mehr als 2.000 Sicherheits- und IT-Verantwortliche aus mehr als 250 Organisationen befragt. Das entspricht einer Steigerung von 23 % zum Vorjahr und 62 % innerhalb eines Fünf-Jahres-Zeitraums. Global betrachtet standen die Kosten bei US-Unternehmen mit umgerechnet 19,1 Millionen Euro auf dem höchsten Rang. Von 2016 auf 2017 mussten deutsche Unternehmen einen hohen Anstieg von etwa 7 Millionen Euro auf 10,1 Millionen Euro hinnehmen.
Der immense Sprung bei den Kosten dürfte in diesem Zeitraum auf die öffentlichkeitswirksamen Malware-Angriffe zurückzuführen sein. Die Crypto-Trojaner WannaCry und Petya sowie Petyas Nachfolger haben international finanzielle Schäden im Bereich von mehreren hundert Millionen Euro verursacht. Seit Beginn der Studie des Ponemon Institute im Jahr 2009 haben sich die Zahlen der Cyberangriffe jährlich gesteigert. Mit Blick auf das hohe Dunkelfeld in diesem Bereich beliefen sich Schätzungen der Wirtschaft für den Beobachtungszeitraum 2018/2019 auf insgesamt ca. 100 Milliarden Euro Schaden.
Viele der Fälle werden meist nicht gemeldet um Reputationseinbußen zu vermeiden, welche durch ein Bekanntwerden bei strafrechtlicher Verfolgung realistisch sind. Firmen bleiben weiterhin das Ziel Nummer eins bei Cyberattacken. Kriminelle sind sowohl am Geld als auch an der Ausspähung von technologischem Know-How interessiert.
Bis zu 130 Sicherheitsverletzungen - durch Infiltration des Netzwerks und der Unternehmensysteme - verzeichnet jedes Unternehmen pro Jahr. Mit der Quantität und Qualität der Cyberangriffe erhöht sich auch die Zeit, die dafür aufgewendet werden muss, um die entstanden Schäden und Folgen zu beheben. Zu den besonders zeitintensiven Szenarien der Schadensbegrenzung zählen böswillige Insider-Sabotagen und gezielte Ransomware-Erpressungen sowie Verschlüsselung von Daten. Deren Schadensbehebung kann durchschnittlich bis zu 50 Tage dauern.
Für die kommenden Jahre prophezeit das Bundeskriminalamt immer weiter steigende Fallzahlen im Bereich Cybercrime. Für diesen Umstand arbeitet das BKA am Aufbau einer speziellen Abteilung "Cybercrime", um eine Verstärkung komplexer Ermittlungen sowie Bearbeitung von Cybervorfällen gewährleisten zu können.
Laut einer Studie von Bitkom, bei der etwa 400 Unternehmen befragt worden sind, sagten 58 % der Befragten aus, dass die Angriffe direkt vor Ort erfolgt seien. Dabei wurden unter anderem gezielt Daten gestohlen oder Schadprogramme per externem Speichermedium eingeschleust. Nur 30 % berichteten hingegen von Cyberattacken aus dem Internet. Dabei muss man nicht zwangsweise Böswilligkeit unterstellen. Die meisten durch Mitarbeiter begünstigten Cyberattacken resultieren schlichtweg aus Unwissenheit, Naivität und mangelnder Sensibilisierung im Hinblick auf E-Mail-Anhänge oder nicht zuzuordnende herumliegende Datenträger. Die fortschrittlichsten Perimeterkontrollen und Firewalls bieten kaum Schutz, wenn die Cyberattacke innerhalb der digitalen Membran erfolgt.
Durch gezieltes Spear Phishing mit manipulierten E-Mails bekannter Kontakte und zu laufenden Geschäftsvorgängen, werden oft selbst geschulte Mitarbeiter überlistet und somit Firmennetzwerke kompromittiert.
Durch Social Engineering werden Mitarbeiter instinktiv zum Mittäter und begünstigen Cyber-Angriffe über manipulierte USB-Sticks. Einem Experiment der University of Illionis zufolge neigen ca. 48 % der Finder dazu, einen gefunden USB-Stick auch anzuschließen. Derartig fahrlässiges Verhalten öffnet Tür und Tor für schädliche USB-Hardware wie Rubber Ducky oder Dash Bunny. Auch vermeintliche Gadgets wie USB-Ventilatoren könnten manipuliert sein und Infektionen verursachen.
Attingo rät: Gefundene, herrenlose USB-Sticks sollten genauso behandelt werden wie gefundene Spritzen. Niemand würde eine auf dem Asphalt liegende Spritze auflesen, sich in den Arm stechen und den Inhalt injizieren?
Im Jahr 2018 hat IBM seinen Mitarbeitern weltweit untersagt USB-Sticks und andere USB-Datenträger anzuschließen. Die Begründung liegt dabei auf dem Risiko, dass Speichergeräte mit wichtigen Firmendaten verloren gehen, was erhebliche Reputations- sowie finanzielle Schäden begünstigen würde. Angeblich wurden USB-Steckplätze und Speicherkarten-Slots mit Silikonschaum ausgekleidet und unbrauchbar gemacht, um die Durchsetzung dieser Richtlinie zu gewährleisten.
GandCrap, Sodinobiki, Ryuk, Emotet oder Trickbot - die Liste an Ransomware und Crypto-Trojanern der vergangenen Monate und Jahre ist lang. Von anfänglichen Zufallsinfektionen über generische Spam-E-Mails haben sich die Cyberattacken mit derartigen Schadprogrammen verändert und erheblich verbreitet. Die Angriffsmuster offenbaren eine gezielte Auswahl der Opfer. Das Spear Phishing ist exzellent und quasi nicht zu durchschauen – weder auf den ersten noch auf den zweiten (unkritischen) Blick. Die Ransomware-Erpressung ist problematischer Weise zu einem regelrechten Geschäftsmodell avanciert. Die Professionalisierung der Erpresser ist faszinierend und beängstigend zugleich.
Die Schadprogramme der Entwickler müssen sich in punkto Umfang, Benutzerführung und Support nicht vor den Entwicklungen großer Softwarekonzerne verstecken. Und sie selbst tun es auch nicht - recht offensiv bieten sie ihre komplexen Ransomware-Programme im Internet an. Streckenweise befinden sich die Angebote nicht einmal im DarkNet sondern werden ganz offen im SurfaceWeb angeboten. Ransom-as-a-service nennt sich das Erpressungs-Franchise, bei dem die Entwickler nur die intuitiven Werkzeug liefern, mit dem jeder zum Internetkriminellen werden kann.
Das Vorgehen ist denkbar einfach: Man findet ein Opfer, einen Weg die Schadprogramme im Zielnetzwerk unterzubringen, lässt den Crypto-Trojaner sein Werk tun und erpresst ein Lösegeld in digitaler Währung - meistens BTC (Bitcoin). Bis zu 70 % des Lösegelds kann man behalten, der Rest wird vorab von den Ransomware-Entwicklern als Provision einbehalten. Bis zur erfolgreichen Erpressung und anschließender Einstreichung von Lösegeldern ist die Verwendung vollkommen kostenfrei. Einige Ransomware-Kampangen richten sich sogar nur an handverlesene Verbreiter. Die Programmierer "casten" ihre Erpresser-Riege nach klaren Kriterien zusammen. Dabei gestatten sie nur den Besten und Erfahrensten mit ihrer Erpresser-Software zu agieren.
Die Einfallswege sind divers: Ob als Bewerbungen getarnte E-Mails, hervorragend assimilierte E-Mails von Geschäftspartnern zu aktiven Geschäftsprozessen, über Zero-Day-Exploits (ZETA) bis hin zu als Updates getarnten Einspielungen für branchenspezifische Software-Anwendungen - die professionell agierenden Ransomware-Erpresser nehmen sich die Zeit, um sich umfassend vorzubereiten. Auch die eingesetzten Trojaner werden mit höchster Perfidität konstruiert und programmiert.
Die Schadsoftware selbst wird immer ausgeklügelter. Zuletzt warnte das BSI (Bundesamt für Sicherheit) erneut vor dem altbekannten Trojaner Emotet, dem auch schon der Heise Verlag zum Opfer fiel. Dieser verbreitet sich über autark gefälschte E-Mails. Der Emotet-Trojaner ist in der Lage die E-Mail-Kommunikation auf den infizierten Computern auszulesen und eine scheinbare glaubwürdige Antwort zu formulieren, die sich auf vorhergehende E-Mails bezieht. Dieser E-Mail ist im Anhang ein schädliches Word- oder Excel-Dokument mit Makros beigefügt. Beim Versuch dieses zu Öffnen erfolgt der Hinweis, dass zum korrekten Anzeigen Makros aktiviert werden müssten. Die Makros enthalten dann den schädlichen Code, welcher den Empfänger-PC infiziert. Emotet ist in der Regel nur der erste Schritt. Einmal im System lädt er weitere Schadprogramme, wie beispielsweise TrickBot oder Ryuk, nach. Das potenzielle Schadensausmaß im Falle der erfolgreichen Infizierung ist immens.
Emotets primärer Einfallsweg sind falsche E-Mails. Demnach sollte auf dem PC stets eine aktuelle Sicherheitslösung installiert sein, die die Anhänge eingehender E-Mails überprüfen und blockieren kann, sofern schadhafte Codes und Skripte festgestellt werden. Der Windows Defender ist dazu nicht in der Lage. Ein zusätzliche Sicherheitslösung wird empfohlen. Die meisten E-Mail-Programme und -Server ermöglichen Konfigurationen, mit denen potenziell schadhafte Anhänge automatisch blockiert werden - d.h. *.com, *.exe, *.bat, *.scr usw. werden nicht durchgelassen. Damit hält man nicht nur Trojaner wie Emotet, sondern auch eine ganze Menge anderer Bedrohungen fern.
Die Implementierung von Scripten in Office-Dokumente nennt sich Makro. Diese kommen insbesondere bei Word- und Excel-Dateien zum Einsatz. In aktuelleren Versionen von Microsoft Office sind Makros standardmäßig nicht aktiviert. Auf ältere Microsoft Office Derivate trifft das nicht zu. Bei der Aufforderung "Inhalte zu aktivieren" sollte man mit größtmöglichem Misstrauen reagieren. Warum sollte eine Rechnung, eine Bewerbung oder ein Lebenslauf aktive Inhalte - also Makros - erforderlich machen? Und warum werden derartige Dateien nicht als nicht-editierbare Dateiformate (Bilddatei oder PDF) versendet? Zusätzlich sollten Sicherheitslösungen installiert sein, welche Scripte - u.a. Makros, JavaScript und PowerShell - auf schadhafte Inhalte prüfen.
Die Open Source Lösungen Open Office oder Libre Office ermöglichen einem die Bearbeitung von Microsoft Office Dateiformaten (*.doc/*.docx, *xls/*.xlsx usw.). Sie sind allerdings nicht in der Lage Makros für Microsoft Office auszuführen. Somit wird bereits ein gewisser Grundschutz ermöglicht. Ein hundertprozentiger Schutz ist das jedoch nicht. Ist eine Ausführung des Makros nicht möglich, so kann es sein, dass Hyperlinks zu schädlichen Internetseiten eingesetzt werden. Der Aufforderung "Falls das Dokument nicht richtig dargestellt werden kann, klicken Sie bitte hier für eine Webansicht", sollte nicht Folge geleistet werden.
Cyber-Kriminelle reagieren schnell auf Sicherheitslösungen und passen ihr Vorgehen an. Durch die Filterung von Webseiten und das Blockieren von Makros konnten bereits Versuche festgestellt werden, bei denen Schadcode in PDF-Dateien untergebracht worden ist. Eingebettet als aktive Inhalte wird JavaScript in die PDF Dokumente eingearbeitet. Die Ausführung von JavaScript ist im AcrobatReader standardmäßig eingeschaltet. Nach der Installation sowie nach jedem Update sollte die jeweilige Voreinstellung zu JavaScript entsprechend angepasst werden.
Updates, Updates, Updates - nicht aktualisierte Software öffnet Schadprogrammen Tür und Tor. Nicht nur, dass Sicherheitssoftware bestimmte Schadprogrammsignaturen nicht erkennen kann - ohne Aktualisierung können bestehende Schwachstellen und Sicherheitslücken in Programmen und Betriebssystemen als Einfallstor herhalten. Digitale Schädlinge nutzen bekannte Schwachstellen und Lücken für den erfolgreichen Befall aus. Durch stets aktuell gehaltene Updates kann eine Infizierung erschwert werden.
Manche Hersteller von Internet Security Suites verfolgen Emotet sowie Emotet ähnliche Kampagnen seit geraumer Zeit. Dies ermöglicht es, Scripte, Mails und Links frühzeitig zu entlarven, bevor eine Infizierung mit Emotet stattfindet. Zwecks optimaler Früherkennung von Emotet und weiteren Ransomware-Kampagnen sollte Software im Einsatz sein, welche fähig ist (über den regulären Datei- und Verhaltensschutz hinaus) E-Mails sowie Inhalte und angehängte Dateien, Internetseiten und den RAM (Arbeitsspeicher) in Echtzeit zu überwachen. Die Prüfung des Arbeitsspeichers ist von enormer Wichtigkeit, da moderne Cyberangriffe mit Malware häufig als verpackte Datei (z.B. ZIP oder RAR Container) oder als verschlüsselte Datei auf den Rechner und als Script direkt in den RAM des Systems gelangen können.