10 Strategien gegen Hackerangriffe

Text
0
Kritiken
Leseprobe
Als gelesen kennzeichnen
Wie Sie das Buch nach dem Kauf lesen
10 Strategien gegen Hackerangriffe
Schriftart:Kleiner AaGrößer Aa

Impressum

ISBN 978-3-85402-395-1

Auch als Buch verfügbar:

ISBN 978-3-85402-394-4

1. Auflage 2021

Das Werk ist urheberrechtlich geschützt.

Alle Rechte vorbehalten.

Nachdruck oder Vervielfältigung, Aufnahme

auf oder in sonstige Medien oder Datenträger,

auch bei nur auszugsweiser Verwertung,

sind nur mit ausdrücklicher Zustimmung der

Austrian Standards plus GmbH gestattet.

Alle Angaben in diesem Fachbuch erfolgen

trotz sorgfältiger Bearbeitung ohne Gewähr und

eine Haftung der Herausgeber, der Autoren oder des Verlages ist ­ausgeschlossen.

Aus Gründen der besseren Lesbarkeit wird in vorliegendem Werk die Sprachform des generischen Maskulinums angewendet. Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.

© Austrian Standards plus GmbH, Wien 2021

Die Austrian Standards plus GmbH ist ein

Unternehmen von Austrian Standards International.

AUSTRIAN STANDARDS PLUS GMBH

1020 Wien, Heinestraße 38

T +43 1 213 00-300

F +43 1 213 00-818

E service@austrian-standards.at

www.austrian-standards.at/fachliteratur

PROJEKTBETREUUNG

Lisa Maria Heiderer

LEKTORAT

Johanna Zechmeister

COVER – FOTOCREDIT

© iStockphoto.com/alengo

GESTALTUNG

Alexander Mang

DRUCK

Prime Rate Kft., H-1044 Budapest

Inhalt

Abkürzungsverzeichnis

Vorwort

Vom Hacker zum Cyberkrieger

1 STRATEGIE 1: Den Hacker kennen

1.1 WER GREIFT UNS AN?

1.1.1 Kein Angriff ohne Motiv

1.1.2 Kein Angriff ohne die notwendige Fähigkeit

1.1.3 Erst die Angriffsfläche ermöglicht den Angriff

1.2 SIND WIR VOR DEM ANGREIFER SICHER?

2 STRATEGIE 2: Security ist Chefsache

2.1 COMMITMENT

2.2 VORBILDWIRKUNG

2.3 PLANUNG UND LENKUNG

2.3.1 Sicherheitsziele & Risikopolitik

2.3.2 Management-Review und Reporting

2.3.3 Rollen und Ressourcen

3 STRATEGIE 3: Schutz der Kronjuwelen

3.1 ÜBERSICHT ZUR VORGANGSWEISE

3.2 IDENTIFIKATION VON INFORMATIONSWERTEN

3.2.1 Herangehensweise: Top-down und Bottom-up

3.2.2 Gruppieren von Informationswerten

3.2.3 Erhebung der Systeme

3.3 IDENTIFIKATION DES SCHUTZBEDARFS

3.3.1 Definition von Schutzzielen

3.3.2 Bewertung des Schutzbedarfs

3.3.3 Klassifizierung von Informationswerten

3.4 SCHUTZMASSNAHMEN ZUR SICHERUNG DER INFORMATIONSWERTE

3.4.1 Risikoanalyse

3.4.2 Auswahl von Schutzmaßnahmen

3.4.3 Effektivitätsprüfung und Überwachung von Risiken

3.5 GRUNDHYGIENE IN DER CYBERSECURITY

4 STRATEGIE 4: Das Projekt aufsetzen

4.1 WARUM EIN PROJEKT?

4.2 WIE PLANE ICH DAS PROJEKT?

4.2.1 Projektziele festlegen

4.2.2 Das Projekt abgrenzen

4.2.3 Darstellung des Projektkontextes

4.2.4 Die Tätigkeiten strukturieren

4.2.5 Die Projektorganisation einsetzen

4.3 DIE PROJEKTARBEIT

4.3.1 Zusammenarbeit fördern

4.3.2 Projektmarketing gestalten

4.3.3 Projektfortschritt messen und Risiken aufzeigen

5 STRATEGIE 5: Organisationsstruktur aufbauen

5.1 INFORMATIONSSICHERHEITS-MANAGEMENTSYSTEM

5.2 DIE WICHTIGSTEN ROLLEN IM ISMS

5.2.1 Die Leitung

5.2.2 Informationssicherheitsbeauftragter

5.2.3 Schlüsselpersonal

5.3 STRUKTUREN SCHAFFEN

5.3.1 Logging- und Monitoring-Konzept

5.3.2 Verwaltung von Werten

5.3.3 Compliance-Management

5.4 AUF DEN ERNSTFALL VORBEREITET SEIN

5.5 WAS IST NOTWENDIG, UM RICHTIG REAGIEREN ZU KÖNNEN?

5.5.1 Notfallmanagement

5.5.2 Krisenmanagement

5.5.3 Üben und Testen

5.6 INTEGRIERTER ANSATZ DER BEWÄLTIGUNG

6 STRATEGIE 6: IT-Betrieb sichern

6.1 EINLEITUNG

6.2 WERTEMANAGEMENT

6.2.1 Informationswert

6.2.2 Physischer Wert

6.2.3 Personen

6.3 BACKUPS UND DATENSICHERUNG

6.4 CLOUD SECURITY

6.4.1 Risiken der Cloud

6.4.2 Sicherheit in der Cloud

6.5 SYSTEMHÄRTUNG UND SICHERE KONFIGURATION

6.6 PATCH-MANAGEMENT

6.6.1 Planen der Patches

6.6.2 Testen der Patches

6.6.3 Ausrollen der Patches

6.7 NETZWERKSICHERHEIT

6.8 SCHUTZ VOR SCHADSOFTWARE

6.9 REGELMÄSSIGE ÜBERPRÜFUNGEN UND ÜBUNGEN

 

6.9.1 Awareness-Trainings

6.9.2 Schwachstellen-Scans

6.9.3 Penetration-Tests

6.9.4 Red-Team-Assessments

7 STRATEGIE 7: Physische Sicherheit etablieren

7.1 EINLEITUNG

7.2 SICHERHEITSZONEN

7.2.1 Firmengelände

7.2.2 Besprechungsräume

7.2.3 Verteilerschränke/-räume

7.2.4 Büros

7.2.5 Kritische Bereiche

7.3 ÜBERGREIFENDE SICHERHEITSMASSNAHMEN

7.3.1 Bauliche Maßnahmen

7.3.2 Zutrittskontrolle

7.3.3 Brandschutz

7.3.4 Stromversorgung

7.3.5 Weitere Schutzmaßnahmen

7.4 AGIEREN STATT REAGIEREN

8 STRATEGIE 8: Mitarbeiter begeistern

8.1 EINLEITUNG

8.2 TRAINING

8.2.1 Inhalte

8.2.2 Methoden

8.2.3 Herausforderung

8.3 MOTIVATION

8.3.1 Updates

8.3.2 Personalisierung

8.3.3 Gamification und Serious-Gaming

8.3.4 Belohnungssystem

9 STRATEGIE 9: Sicher im Homeoffice

9.1 EINLEITUNG

9.2 GOVERNANCE

9.3 IT-SECURITY

9.3.1 Device-Management

9.3.2 Bring-Your-Own-Device

9.3.3 Verschlüsselung bei Mobile Computing

9.3.4 Zugriffsschutz

9.3.5 Netzwerksicherheit

9.3.6 IT-Operations & Technology

9.4 PHYSISCHE SICHERHEIT

9.5 AWARENESS

9.5.1 Sichere Kommunikation

9.5.2 Phishing-Attacken

9.6 DATENSCHUTZ

9.7 KOMMUNIKATION IM HOMEOFFICE

9.8 ZUKUNFT IM HOMEOFFICE

10 STRATEGIE 10: Qualität steigern

10.1 DER KVP-PROZESS

10.2 MESSEN DER INFORMATIONSSICHERHEIT

10.2.1 KPIs entwickeln

10.2.2 Daten sammeln und analysieren

10.2.3 Massnahmen identifizieren und umsetzen

10.3 REPORTING

Ausblick

Literatur- und Normenverzeichnis

DIE AUTOREN

Abbildungsverzeichnis

ABBILDUNG 1: SCHEMATISCHE DARSTELLUNG DES PROZESSES

ABBILDUNG 2: BEISPIELHAFTE MATRIX ZUR BEWERTUNG VON BEDROHUNGEN

ABBILDUNG 3: ZUSAMMENWIRKEN VON BEDROHUNG, SCHWACHSTELLE UND RISIKO

ABBILDUNG 4: BEISPIEL GANTT-DIAGRAMM

ABBILDUNG 5: DREI DIMENSIONEN IN DER PROJEKTSTEUERUNG ALS DREIECK

ABBILDUNG 6: BEISPIEL FÜR SICHERHEITSZONEN

Abkürzungsverzeichnis

AV Antivirus

BCM Business Continuity Management

BSI Bundesamt für Sicherheit in der Informationstechnik

BIA Business-Impact-Analyse

BYOD Bring Your Own Device

CISO Chief Information Security Officer

CEO Chief Executive Officer

CFO Chief Financial Officer

DoS Denial-of-Service-Attacken

DDoS Distributed-Denial-of-Service-Attacken

DSGVO Datenschutz-Grundverordnung

EDR Endpoint Detection and Response

IDS Intrusion-Detection-System

IEC International Electrotechnical Commission

IKT Informations- und Kommunikationstechnik

IoT Internet of Things

IPS Intrusion-Prevention-System

ISB Informationssicherheitsbeauftragter

ISMS Informationssicherheits-Managementsystem

ISO International Organization for Standardization

KPI Key-Performance-Indicator

KMU Kleine und mittlere Unternehmen

KVP Kontinuierlicher Verbesserungsprozess

NIST National Institute of Standards and Technology

PDCA Plan-Do-Check-Act

SLA Service Level Management

SOC Security Operations Center

ToD Test of Design

ToE Test of Effectiveness

TOMs Technische und organisatorische Maßnahmen

USV Unterbrechungsfreie Stromversorgung

VPN Virtual Private Network

WBT Web-Based-Training

Vorwort

Georg Beham

In den letzten Jahren haben mein Team und ich viele Cyberangriffe für Kunden abgewehrt. In den meisten Fällen werden Angriffe, in denen beispielsweise Lösegelder für das Entschlüsseln von widerrechtlich verschlüsselten Dateien das Ziel sind, nicht mehr nach dem Prinzip von Postwurfsendungen[1] durchgeführt. Unternehmen werden immer häufiger ganz gezielt von Cyberkriminellen ausgewählt. Besonders Unternehmen, die niedrige Einstiegshürden aufgrund von Sicherheitslücken aufweisen bzw. deren Geschäftsfeld eine hohe Digitalisierung und somit eine Abhängigkeit der Wertschöpfung von der IT vermuten lässt, werden zum Opfer.

Den Grad der Digitalisierung kann ein Unternehmen heutzutage nicht reduzieren. Im Gegenteil, ist doch die Digitalisierung einer der Erfolgsfaktoren für die Zukunft. Die Hürde für Cyberkriminelle, nämlich eine funktionierende Cybersecurity, kann jedoch sehr wohl beeinflusst werden. Das Beispiel Ransomware[2] ist nur eine von vielen Varianten, wie sich Cyberkriminelle zu Lasten ihrer Opfer bereichern.

Wenn Sie nun als verantwortlicher Geschäftsführer oder als Teil des Managements in Ihrem Unternehmen dieses Buch lesen, dann sollten Sie sich die Frage stellen: „Wie hoch ist meine Hürde?”. Auch sollten Sie sich überlegen: „Wer kümmert sich für mich um dieses Risiko?” „Wer ist verantwortlich, wenn meine Produktion aufgrund einer Ransomware ausfällt?”

Sie sehen, worauf ich hinaus möchte: In den 1990er Jahren wurden IT-Bedrohungen vom IT-Verantwortlichen durch technische Maßnahmen abgewehrt. Ransomware ist zwar Software, dahinter stehen allerdings Cyberkriminelle, deren Ziel die Einnahme von Lösegeld ist. Es handelt sich hierbei nicht mehr um eine reine IT-Bedrohung, sondern um eine Unternehmensbedrohung. Auch die Maßnahmen, die das Risiko in Bezug auf derartige Bedrohungen minimieren, sind nur zum Teil technischer Herkunft. Ein Cyberangriff richtet sich nicht gegen die IT Ihres Unternehmens, sondern direkt gegen Ihr Unternehmen, für welches Sie haften.

Cybersecurity ist daher definitiv Chefsache! Übernehmen Sie selbst diese Verantwortung und delegieren Sie dieses Risiko nicht an die IT.

Als leidenschaftlicher Segler möchte ich die Kernaussage des vorliegenden Werks mit einem an ein Zitat von Aristoteles angelehnten Satz zusammenfassen:

„Wir können den Wind nicht ändern, aber die Segel richtig setzen.“

Cyberangriffen werden wir immer wieder ausgesetzt sein. In diesem Buch zeigen wir Ihnen, wie Sie Ihr Unternehmen mit höchstmöglicher Sicherheit für solche Turbulenzen rüsten bzw. es durch diese hindurch steuern können.

Georg Beham

Geschäftsführer

PwC Advisory Services GmbH Österreich

1Das massenhafte Versenden von Post an Empfängergruppen.

2Mittels Ransomware können Daten widerrechtlich verschlüsselt werden.

Einleitung

Georg Beham

An dieser Stelle möchte ich Ihnen das Thema Cybersecurity anhand meiner Erfahrungen und einer kurzen Geschichte dazu näherbringen.

Seit 1989 arbeite ich in der IT-Branche und konnte so die Digitalisierung österreichischer Unternehmen hautnah miterleben. In den frühen 1990er Jahren gab es nur wenige vereinzelte Computersysteme in Unternehmen. Ich selbst war zu dieser Zeit IT-Leiter einer Reisebürokette. EDV, so hieß die Disziplin dazumal, umfasste hauptsächlich das Auftragsbearbeitungssystem; E-Mails gab es keine. Es wurden Briefe geschrieben und Faxe versendet. Flüge und Pauschalreisen wurden zwar vereinzelt schon über vernetzte Software gebucht, fiel diese aus, dann war der Griff zum Telefonhörer eine rasche und effektive Backup-Lösung. Die kritischen Geschäftsprozesse liefen also entweder gar nicht über die IT und wenn, dann konnte ein Ausfall durch manuelle Verfahren ausgeglichen werden.

Diese Zeiten sind in fast allen Unternehmen, ob KMU oder Konzern, längst vorbei. Die wertschöpfenden Geschäftsprozesse sind weitestgehend IT-abhängig. Ein manuelles Verfahren gibt es im Regelfall nicht mehr.

Zudem drehte sich die Geschäftswelt in den 1990er Jahren viel langsamer. Gerade die fehlende IT-Durchdringung und die vielen Medienbrüche durch manuelle Tätigkeiten wirken im Rückblick geradezu entschleunigend. Zu dieser Zeit machten sich KMUs keine Gedanken über „Business-Kontinuität”. In großen Unternehmen wurden zumindest regelmäßig Datensicherungen durchgeführt und jährlich wurde die Wiederherstellung von Daten und Systemen nach einem Notfall geübt. Die Sicherheitsmaßnahmen fanden hauptsächlich auf technischer Ebene statt. Die größten Bedrohungen in dieser Zeit waren defekte Festplatten und dadurch verursachter Datenverlust oder Naturereignisse wie Überschwemmungen im Serverraum. Diese Bedrohungen wurden von den meisten IT-Abteilungen identifiziert und die Risiken durch technische Maßnahmen mitigiert. Dass die Informationssicherheit in der alleinigen Verantwortung der IT-Abteilung liegt, hat niemand bezweifelt.

 

Das Millennium änderte meine Sicht zum Thema Informationssicherheit. Ende der 1990er Jahre gab es großes Aufsehen durch das Auftreten eines Computerfehlers: des sogenannten Millennium Bugs. Es handelte sich dabei um ein Problem verursacht durch alte Computersysteme, die nur zwei Stellen für die Jahreszahlvariable im Datumsfeld reserviert hatten. Die teilweise berechtigte Angst war, dass Software nach Vollzug der Jahrtausendwende falsch rechnen und dadurch ganze Systeme am 1. Januar 2000 lahmgelegt werden würden. Der Digitalisierungsgrad war in meinem damaligen Unternehmen bereits verhältnismäßig hoch. Jeder Mitarbeiter war mit einem Computer ausgestattet und die Geschäftsprozesse liefen ausschließlich über diese – zumindest in der notwendigen Effizienz. Die Bedrohung durch den Millennium Bug war für mich und meinen damaligen verantwortlichen Vorgesetzten offensichtlich. Daher wurde ein großes IT-Projekt zur Behebung des Problems durchgeführt. Dass nicht alle Bedrohungen so einfach zu identifizieren sind, zeigt meine nächste Erfahrung. Im Mai 2000 bekam ich an einem späten Nachmittag ein E-Mail von einer Mitarbeiterin bei Microsoft, mit der ich seit einiger Zeit in einem anderen Projekt zusammengearbeitet hatte. In der Betreffzeile stand „ILOVEYOU“. Aus einem Affekt heraus öffnete ich das E-Mail in Outlook per Doppelklick, um den Text zu lesen. Dies war mein erstes und hoffentlich letztes Mal, dass ich Opfer eines Cyberangriffes wurde.

Innerhalb von nur wenigen Minuten nach Aufruf des E-Mails läutete mehrfach mein Telefon. Einige Kollegen und auch mein Vorgesetzter fragten mich nach der Bedeutung des ominösen E-Mails mit dem Betreff „ILOVEYOU“, das sie eben von mir erhalten hatten. Gemeinsam mit vielen meiner Outlook-Kontakte wurde ich Opfer des Computerwurms „Loveletter”, entwickelt von einem jungen philippinischen Programmierer. Für mich war diese – wenn auch unangenehme – Erfahrung sehr wertvoll. Die gesamte darauffolgende Nacht arbeitete ich daran, all die unfreiwillig generierten E-Mails aus dem Mailserver zu entfernen, um zu verhindern, dass Kollegen, die an diesem späten Nachmittag nicht mehr im Büro waren, am nächsten Morgen in dieselbe Falle tappen würden. Der Schaden hielt sich in Grenzen. Der Computerwurm war, verglichen mit heutzutage kursierender Schadsoftware, absolut harmlos. Der Programmierer hatte keine kriminellen Absichten; er wollte lediglich Aufmerksamkeit erregen.

Seit 2017 erlebe ich immer wieder ähnliche Situationen wie im Fall „Loveletter“. Ich treffe immer mehr neue Opfer, die durch einen Cyberangriff einen Paradigmenwechsel vollzogen haben. Sie realisieren, dass auch ihr Unternehmen im Fokus der Cyberkriminellen steht.

Diese Cyberangriffe wurden von Hackern meistens mittels sogenannter Ransomware[3], ausgeführt. Dabei handelt es sich um Schadsoftware, mit deren Hilfe Daten und Systeme in „Geiselhaft“ genommen werden können. In der Praxis bedeutet dies, dass alle Daten, die diese Schadsoftware findet, verschlüsselt werden. Den Schlüssel zum Dechiffrieren geben Cyberkriminelle gegen Lösegeldzahlung preis. Warum erinnert mich Ransomware an „ILOVEYOU“? Das Thema Cybersecurity bekommt plötzlich eine hohe Aufmerksamkeit von Vorständen und Geschäftsführern. Dachten viele bis vor kurzem noch „Mein Unternehmen ist doch unwesentlich. Was soll ein Hacker von mir wollen?”, so wird im Falle der Ransomware klar: Cyberkriminelle wollen Geld!

Die erste große Welle an Ransomware wurde durch die Schadsoftware „WannaCry“ und deren Nachfolger ausgelöst. Diese Software funktionierte wiederum nach dem Prinzip von Postwurfsendungen: Sie verbreitete sich wahllos und massenhaft auf Windows-Systemen, und zwar sowohl auf Firmen- als auch auf Privatgeräten. Die benutzte Schwachstelle im Betriebssystem von Microsoft Windows[4] war dazumal schon bekannt. Die Lösegeldforderung, mit deren Begleichung das Opfer das Entschlüsselungspasswort erhält, betrug wenige hundert US-Dollar. Für Privatpersonen waren diese Forderungen keine Bagatelle mehr. Der drohende Verlust von Fotosammlungen oder anderer für das Opfer wertvolle Daten bewegte viele dennoch zu einer Zahlung.

In Unternehmen war der Schaden durch die verschlüsselten Systeme unerwartet hoch. So wurden bei Automobilherstellern ganze Produktionsanlagen lahmgelegt, Krankenhäusern wurde der Zugriff auf deren Röntgenarchive und Laborergebnisse verwehrt und Logistiker hatten keine Möglichkeit mehr, auf ihre Hochregallager zuzugreifen. Das Lösegeld wurde hier meist „gerne” bezahlt.

WannaCry war nur der Anfang. Ransomware und andere Schadsoftware werden heute ganz gezielt eingesetzt. Der Sourcecode wird angepasst, um Abwehrmechanismen zu umgehen bzw. ganz konkrete Systeme beim Opfer zu kompromittieren.

Cyberkriminelle entwickeln sich stetig weiter. Dies sollten besser die Verteidiger übernehmen, um durch die Erweiterung ihrer Fähigkeiten Cyberangreifern den entscheidenden Schritt voraus zu sein. Die in diesem Buch aufgezeigten zehn Strategien helfen Ihnen dabei.

3Im weiteren Verlauf dieses Buches werden die Autoren immer wieder auf diese verweisen.

4Kaspersky: Was ist WannaCry-Ransomware, https://www.kaspersky.de/resource-center/threats/ransomware-wannacry (abgerufen am 03.10.2020)

Vom Hacker zum Cyberkrieger

Philipp Mattes-Draxler

Information als Wert

Bevor die Strategien zur Abwehr von Hackerangriffen vorgestellt werden, ist es sinnvoll, einen Blick in die Vergangenheit zu werfen, um zu verstehen, wie es überhaupt dazu kam, dass wir uns vor Hackern schützen müssen.

Es ist schon bezeichnend, dass die als älteste bekannte Form der Verschlüsselung als „Cäsar-Chiffre“ bekannt ist.[5] Bereits Julius Cäsar verschlüsselte mit einfachen Mitteln Botschaften an seine Heerführer und Kommandanten, sodass nur ein berechtigter Empfänger über die Befehle und geplanten Aktionen am Gefechtsfeld Bescheid wusste. Es kann davon ausgegangen werden, dass er nicht der erste und im Lauf der Geschichte auch sicher nicht der letzte Herrscher und Befehlshaber war, der auf diese Weise dafür Sorge getragen hat, dass seine Geheimnisse auch geheim bleiben. Gerade das berühmte Beispiel der „Enigma“, einer Maschine zur Verschlüsselung des Nachrichtenverkehrs der Wehrmacht im zweiten Weltkrieg, zeigt, mit welchem Aufwand Informationsschutz und Kryptoanalyse betrieben wurde bzw. immer noch betrieben wird.

Informationsschutz im Sinne von Geheimnisschutz hat also bereits eine lange Geschichte und gewinnt heute insofern an Bedeutung, als die Informationsverarbeitung unsere wirtschaftlichen, politischen und sozialen Interaktionsprozesse immer mehr durchdringt. Als Beispiel sei hier die Diskussion rund um die Ende-zu-Ende-Verschlüsselung bzw. die Sicherheit von Messangerdiensten wie WhatsApp und ähnlichen angeführt.[6]

Bewegt man sich in der digitalen Welt, wird landläufig vom „Cyberraum“ gesprochen. Der Cyberraum umfasst dabei alle weltweit über das Internet hinweg erreichbaren Informationsstrukturen. Betrachtet man nun die Sicherheitsaspekte im Cyberraum, so spricht man von „Cybersecurity“. Dies schließt klassischerweise alle möglichen Arten und Ausprägungen von Informationssicherheit und IT-Sicherheit in der digitalen Welt mit ein, im Besonderen auch die Informationssicherheit von Organisationen und Unternehmen im geschäftlichen Umfeld.

Obwohl die Begriffe „Cybersecurity“ und „Informationssicherheit“ oft synonym verwendet werden und es sehr viele Schnittstellen gibt, besteht doch ein wichtiger Unterschied zwischen den beiden Konzepten. Informationssicherheit umfasst den Schutz von Daten unabhängig von der Art der Daten (auch analoge Daten), während sich Cybersecurity ausschließlich mit dem Schutz von Daten in digitaler Form beschäftigt. Im Rahmen dieses Buches werden sowohl Maßnahmen für die Cybersecurity als auch übergreifende Maßnahmen im Rahmen von Informationssicherheit dargestellt.

Cybercrime

Die starke Durchdringung des Cyberraums und die damit einhergehenden Gefahren und Bedrohungen haben längst auch unser Privatleben erreicht. Cyberkriminelle nutzen die stetig wachsenden technischen Möglichkeiten, um Informationen zu stehlen und sich finanziell zu bereichern.

+Geht Cybercrime uns alle an?

Während sich Cyberkriminelle im geschäftlichen Umfeld vornehmlich auf die Schädigung von Unternehmen fokussieren, werden im privaten Umfeld alle Individuen zu potenziellen Opfern. Ob es sich bei den Tätern aber immer um klassische Hacker handelt, wie sie aus den Medien bekannt sind, kann gerne am Ende der ersten Strategie selbst beurteilt werden (siehe Kapitel 1).

Eine allgemein gültige Definition des weit gefassten Begriffs „Cybercrime“ gibt es nicht.[7] In der Regel werden darunter alle Straftaten, die unter Ausnutzung des Internets bzw. von Informations- und Kommunikationstechnik (IKT) begangen werden, verstanden. Die österreichischen Sicherheitsbehörden unterscheiden darüber hinaus zwischen Cybercrime im engeren Sinn und Cybercrime im weiteren Sinn.

Cybercrime im engeren Sinn meint jene Straftaten, bei denen Angriffe auf Daten oder Computersysteme unter Ausnutzung von verschiedenen Techniken begangen werden (z. B. Datenbeschädigung, Hacking oder Angriffe auf die Verfügbarkeit von Daten).

Im weiteren Sinn werden unter Cybercrime aber auch Straftaten verstanden, bei denen die Informations- und Kommunikationstechnik zur Planung, Vorbereitung und Ausführung von herkömmlichen Kriminaldelikten eingesetzt wird (z. B. Betrugsdelikte, Kinderpornografie, Cybergrooming[8] oder Cybermobbing).

Es zeigt sich also, dass die Bezeichnung „Cybercrime“ für nahezu alle Ausprägungen von Kriminalität verwendet wird – denn wie unsere Interaktionsprozesse vielfach im Cyberraum stattfinden, so spielen sich auch kriminelle Interaktionsprozesse vermehrt dort ab.

Als Beispiele für kriminelle Interaktionen im Cyberraum können diverse „Darknet“-Chats ebenso angeführt werden wie Umschlagplätze im digitalen Raum für den Handel von Drogen, Waffen und anderen illegalen Waren. Dabei handelt es sich vornehmlich um Chat-Gruppen bzw. Online-Dienste, die unter Wahrung der Anonymität und mit besonderen Formen der Verschlüsselung erreichbar sind und sich daher auch besonders dafür eignen, der Strafverfolgung zu entgehen. Per se ist diesen Technologien, welche die Möglichkeit der Anonymisierung im Internet erst ermöglichen, aber nichts vorzuwerfen, denn sie eignen sich ebenfalls dazu, die Freiheiten der Meinungsäußerung oder journalistische Tätigkeiten in Regime-Staaten zu unterstützen.

+Betrug bleibt Betrug

Weit weniger abstrakt sind Cyberbetrugsdelikte. Sei es, sich Passwörtern zu ermächtigen, mit falschen Social-Media-Profilen Vertrauensstellungen zu erreichen oder schlicht Konto- bzw. Kreditkarteninformationen zu entwenden und die Opfer so finanziell zu schädigen. Hier wird von „Social-Engineering-Angriffen“ gesprochen. Gemeint sind damit neue, moderne Formen des Trickbetrugs, wie z. B. des sogenannten Enkeltricks.

Dass diese Form des Betrugs aber nicht neu ist, zeigt beispielsweise der Film „Catch me if you can“. Hier spielt Leonardo di Caprio einen erfolgreichen Scheckkartenbetrüger in den 1960er Jahren, der das Scheckkartensystem ausnutzt, um sich persönlich zu bereichern. Auch die Ära des „Phone Phreaking“ in den 1970er bis Mitte der 1990er Jahre stellt ein gutes Beispiel für Trickbetrug dar: Hierbei konnten unter Ausnutzung der Eigenschaften der analogen Telefonie Ferngespräche und andere gebührenpflichtige Dienste „gratis“ in Anspruch genommen werden – auf Kosten diverser Firmenkonten, von denen diese Gebühren durch Telefonfirmen abgebucht wurden.[9]

Die Beispiele zeigen, dass sich Betrüger immer neue Maschen ausdenken und im Gleichklang mit dem technischen Fortschritt neue Möglichkeiten finden, finanzielle Vorteile unter Ausnutzung oder zumindest unter Abstützung auf die modernen Techniken zu erlangen.

War ein Heiratsschwindler in früheren Jahren darauf angewiesen, seine Zielperson persönlich auszuspähen, so kann er sich mittlerweile von jedem beliebigen Ort aus einen Überblick über seine Opfer auf diversen Dating-Plattformen beschaffen.

Durch das unüberschaubare Angebot im Internet und die vielen E-Mails und Nachrichten in Messenger-Diensten und Social-Media-Kanälen kommt hinzu, dass Anwender zunehmend den Überblick verlieren. Die Vielzahl an Benutzeraccounts, die heutzutage durch Tätigkeiten im Internet in Verwendung sind, verleiten dazu, aus Praktikabilitätsgründen für jedes Benutzerkonto dasselbe Passwort zu verwenden, was es Cyberkriminellen einfach macht. Hat ein Hacker erst einmal Zugang zu einem Passwort erlangt, ist es ihm oftmals ein Leichtes, auch auf weitere Accounts zuzugreifen.

Faktisch macht es keinen Unterschied, ob private Kontoinformationen am Telefon an einen fremden Anrufer weitergegeben oder sie im Zuge eines täuschend echt aussehenden Gewinnspiels per E-Mail oder durch Eingabe auf einer Website preisgegeben werden. Der Effekt bleibt der gleiche, und das ist in der Regel fehlendes Geld auf dem Bankkonto.

+Verschiedene Ausprägungen von Cybercrime

Cybercrime im engeren Sinn zielt darauf ab, Informationswerte in Bezug auf ihre Vertraulichkeit, Verfügbarkeit oder Integrität zu verletzen und so Vorteile zu erlangen.

Diese Vorteile werden wir in Kapitel 1 unter dem Überbegriff „Motivation“ näher erörtert. Denn während ein gewöhnlicher Krimineller in der Regel danach trachtet, finanzielle Vorteile zu erlangen, können andere Motive politische Aktionen oder Machtdemonstrationen sein.

Eine populäre Methode, um als Hacker finanzielle Vorteile zu lukrieren, ist die Erpressung. Dabei sind unterschiedliche Ausprägungen möglich. Die folgenden Beispiele beschreiben mögliche Szenarien.

Im privaten Umfeld erlangt sich ein Angreifer beispielsweise Zugriff auf den Laptop einer Privatperson und erstellt so kompromittierende Fotos mit der Webcam, um damit sein Opfer zu erpressen. Um die Verbreitung des Fotos zu verhindern, zahlt das Opfer den geforderten Betrag an den Angreifer. In einem anderen Fall verschlüsselt ein Angreifer alle Dateien auf der Festplatte einer Person inklusive deren Urlaubsfotos mit einer sogenannten Ransomware. Damit sind alle Dateien auf der Festplatte unbrauchbar. Im besten Fall werden die Daten nach der Überweisung von Lösegeld an den Hacker wieder entschlüsselt. Oftmals sind die Daten aber trotz Bezahlung verloren.

Ransomware-Angriffe sind aber auch im unternehmerischen Umfeld sehr populär und richten hohe Schäden an, wenn alle Dateisysteme inklusive Back-Ups verschlüsselt werden, stehen somit nicht nur die Geschäftskommunikation und Buchhaltung, sondern auch die Produktion still. Angreifer lassen sich fürstlich entlohnen, um Systeme wieder freizugeben. Lösegeldforderungen in der Höhe von zweistelligen Millionenbeträgen sind die Regel. Nicht selten werden diese auch bezahlt, wie das Beispiel von Garmin[10] zeigt. Laut Medienberichten flossen beim Hersteller von Navigations-Empfängern Zahlungen in Millionenhöhe, nachdem Hacker Daten mit Hilfe einer Ransomware verschlüsselt hatten.

Eine andere Art von Angriffen sind verteilte Angriffe, um die Verfügbarkeit von Systemen zu stören. Sogenannte Destributed-Denial-of-Service-Attacken (DDoS) zeichnen sich dadurch aus, dass Systeme und Web-Services innerhalb von kurzer Zeit mit so vielen Anfragen konfrontiert werden, dass dadurch das System überlastet wird und der Service nicht mehr verfügbar ist. Die Angriffe werden gleichzeitig über ein sogenanntes Botnetz orchestriert, wobei die Bots alle möglichen Arten von Endgeräten wie Fernsehern bis hin zum vernetzen Kühlschrank sein können. Damit lassen sich Unternehmen erpressen, die auf ihren Web-Auftritt oder einen Online-Shop angewiesen sind.

Die Bezahlung von Lösegeld wird gemeinhin mit Kryptowährungen realisiert. Das versetzt das Opfer in die Zwangslage, ebenfalls eine Krypto-Wallet[11] besitzen zu müssen, um Überweisungen an die Angreifer vornehmen zu können. Für die Angreifer ist es jedenfalls vorteilhaft, da die Verfolgung von Kryptogeld bis hin zur Realisierung in einen Geldbetrag in regulärer Währung bei Verdacht auf eine Straftat für die Behörden schwierig ist. Gründe dafür sind die Designs von Kryptowährungen und nationale Grenzen.