Die reale Bedrohung aus der virtuellen Welt

Carsten Meywirth

Die immer weitreichendere Vernetzung bietet viele Chancen, birgt aber auch Risiken.
BKA

Im vergangenen Jahr wurden mehr als 146.000 Cyberstraftaten erfasst – allein in Deutschland. Sie bilden nur die Spitze eines Eisbergs, denn rund 90 Prozent der Delikte in diesem Phänomenbereich bleiben der Polizei verborgen. Die Strafverfolgungsbehörden sind jedoch für ihre Ermittlungen dringend auf jeden einzelnen Hinweis angewiesen. Digitale Spuren sind flüchtig und führen oft ins Ausland; die nachhaltige Bekämpfung von Cybercrime erfordert deshalb internationale Zusammenarbeit der Sicherheitsbehörden – und neben umfassenden Präventionsmaßnahmen auch eine höhere Anzeigebereitschaft bei den Betroffenen.

Am 5. Juli 2021 fielen in der Verwaltung des Landkreises Anhalt-­Bitterfeld schlagartig die IT-Systeme aus. Die Folgen waren dem Vernehmen nach weitreichend: Unter anderem konnten Sozial- und Unterhaltsleistungen nicht mehr an die Bürgerinnen und Bürger ausgezahlt, Fahrzeuge nicht mehr zugelassen noch auf die Online-Terminvergabe zugegriffen werden. Mit anderen ­Worten: Es brach ein Chaos aus, das sich auch nicht durch einen Neustart der Rechner mal eben beseitigen ließ. Was war geschehen?

Die Landkreisverwaltung Anhalt-Bitterfeld war Opfer eines so genannten Ransomware-Angriffs geworden. Kriminelle hatten durch eine heimlich eingespeiste Schadsoftware sämtliche Daten im Netzwerk der Verwaltung verschlüsselt und damit unzugänglich gemacht. Zu diesem Angriff bekannte sich später eine Tätergruppierung namens „Grief“. Für die Wiederherstellung der Daten – und damit der Arbeitsfähigkeit der Kreisverwaltung – forderte sie ein beträchtliches Lösegeld, das in einer bestimmten Kryptowährung auf einen anonymen Account transferiert werden sollte. Doch die Täter hatten die Systeme der Landkreisverwaltung nicht nur verschlüsselt; sie hatten auch unbemerkt viele, teils sensible Daten heruntergeladen. Einen kleinen Teil davon ver­öffentlichten sie im Darknet – zunächst im Verborgenen, nur auffindbar durch einen speziellen Link, mit dem sie ihrer Forderung Nachdruck verliehen: Sollte nicht bezahlt werden, würden viele weitere vertrauliche Daten veröffentlicht, so die Drohung.

Als Behörde kam die Landkreisverwaltung der Lösegeldforderung nicht nach und schaltete umgehend die Polizei sowie ihre IT-Dienstleister ein. Um umfassendere Reaktionsmöglichkeiten zur Schadens­minimierung zu erhalten, wurde wenige Tage später der erste durch einen Cyberangriff verursachte Katastrophenfall in der Geschichte der Bundesrepublik ausgerufen. Er sollte erst am 31. Januar 2022 für beendet erklärt werden – übrigens ohne, dass alle betroffenen Systeme bis dahin vollständig wiederhergestellt worden wären.

Dieser Fall ist nur eines von vielen anschaulichen Beispielen aus dem vergangenen Jahr dafür, wie real die Bedrohungen aus dem Cyberraum werden können. So wurden 2021 allein in Deutschland über 146.000 Cyberstraftaten registriert – und damit nochmals 12 Prozent mehr als im Jahr zuvor, in dem bereits einen neuen Höchststand zu verzeichnen war. Die Polizeiliche Kriminalstatistik, aus der diese Zahlen hervorgehen, gibt dabei nur die den Behörden angezeigten Straftaten wieder. Studien gehen davon aus, dass in Deutschland neun von zehn Fällen im Dunkeln bleiben.

Die größte Bedrohung geht dabei von Ransomware aus, eben jener Schadsoftware, die wie im geschilderten Beispiel die eigentlichen Nutzer von ihren Computern oder Servern mittels einer Verschlüsselung aussperrt. Nach einer Studie des Branchenverbandes bitkom hat Ransomeware im vergangenen Jahr allein in Deutschland Schäden in Höhe von rund 24,3 Milliarden Euro verursacht. Zum Vergleich: Das ist mehr, als die fünf größten Onlineshops – unter ihnen Amazon, MediaMarkt und Zalando – hierzulande in Summe umsetzen.

Nicht immer macht sich Schadsoftware wie hier bemerkbar.
Nicht immer macht sich Schadsoftware wie hier bemerkbar.
Quelle: BKA

Angesichts der über Monate anhaltenden Störungen in unserem Beispielfall mag man sich fragen: Wäre es nicht der klügere Weg gewesen, das Lösegeld einfach zu bezahlen? Die Antwort ist nein. Durch eine Zahlung hätte man der Szene vor allem die eigene Erpressbarkeit signalisiert und sich als lohnendes Opfer für die Zukunft gebrandmarkt. Zudem kann man nicht sicher sein, ob Erpresser zugesicherte Gegenleistungen auch wirklich erbringen. Selbst wenn diese beispielsweise einen Schlüsselcode übermitteln, muss das nicht zwangsläufig bedeuten, dass dieser die Beeinträchtigung der Systeme auch tatsächlich vollständig aufhebt. Denn auch Ransomware ist vor Bugs nicht sicher. Schlussendlich lassen sich die an ein Lösegeld geknüpften Zusicherungen der Täter kaum einklagen. Und selbst wenn die Täter im Beispiel die Arbeitsfähigkeit der Kreisverwaltung kurzfristig und vollständig wiederhergestellt hätten, wäre es mit einiger Wahrscheinlichkeit zu Anschlusserpressungen gekommen. Schließlich hatten die Täter auch eine Menge Daten abgezogen, die sie im Wege einer so genannten Double- oder Triple-Extorsion zu Geld zu machen versucht hätten. Zudem befeuert jede Investition in Form einer Lösegeldzahlung grundsätzlich weitere kriminelle Aktivitäten.

Um dies besser nachvollziehen zu können, lohnt sich ein Blick auf die bemerkenswerte Entwicklung der Täterstrukturen. Die Szene hat sich in den vergangenen Jahren stark professionalisiert. Waren bis etwa 2015 vorwiegend Einzeltäter und sich persönlich bekannte Kleingruppen aktiv, hat sich seitdem eine förmliche Underground Economy herausgebildet. Diese Schattenwirtschaft handelt online mit hochspezialisierten kriminellen Dienstleistungen. Das Vertrauen aus persönlichen Beziehungen als krimineller Kitt ist durch die weitgehende Anonymisierung im Netz keine entscheidende Voraussetzung mehr, um miteinander ins Geschäft zu kommen. In der Folge kann jedermann ohne große technische Vorkenntnisse und vergleichsweise niedrigschwellig Kunde werden und teils hochspezialisierte kriminelle Dienstleistungen – vorwiegend, aber nicht ausschließlich im Darknet und einschlägigen Foren – einkaufen. So lässt sich maßgeschneiderte Schadsoftware programmieren und verschlüsseln, man kann echte Zugangsdaten kaufen, falsche Identitäten erschaffen, ­Systeme infiltrieren, Phishing-Mails versenden, kriminelle Inhalte anonym auf Servern hosten oder auch überwachen lassen, ob die eigene Schadsoftware bereits von Antivirenprogrammen erkannt wird und deshalb eine Überarbeitung benötigt. Dieses modulare Dienstleistungsprinzip nennen wir „Cybercrime-as-a-service“, in Anlehnung an „Software-as-a-service“ aus der IT-Branche.

Ein internationaler Erfolg: Die kriminelle Plattform Hydra-Market wurde jüngst...
Ein internationaler Erfolg: Die kriminelle Plattform Hydra-Market wurde jüngst stillgelegt.
Quelle: BKA

Dieser Handel findet nicht nur stark anonymisiert statt, auch geogragraphische Grenzen haben kaum noch eine Bedeutung – zumindest nicht für Kriminelle. So verteilen sich die wenigen Spuren, die Cyberkriminelle hinterlassen, verstärkt durch den hohen Grad an Arbeitsteilung oft über eine Vielzahl an Rechtsräumen auf dem gesamten Globus. Folglich braucht es zwischen den rechtsstaatlich organisierten Strafverfolgungsbehörden eine ausgeprägte internationale Zusammenarbeit. Die gute Nachricht: Das funktioniert bereits in vielen Fällen ausgezeichnet. Durch entsprechende Kooperationen mit Europol und einem weltweiten Netz an Partnern innerhalb der Sicherheitsbehörden und Privatwirtschaft konnten bereits so bedeutende Cyberbedrohungen wie beispielsweise das Emotet-Netz zerschlagen und Tatverdächtige dingfest gemacht werden. Riesige kriminelle Darknet-­Handelsplätze wie Wall-Street-Market wurden ausgehoben, beschlagnahmt und abgeschaltet. Die Täter, in diesem Beispiel ein damals 33-jähriger Mann aus Hessen, ein 31-jähriger Mann aus Baden-Württemberg und ein 24-jähriger Mann aus Nordrhein-Westfalen, wurden festgenommen und später zu mehrjährigen Haftstrafen verurteilt. Und erst vor wenigen Wochen konnten wir gemeinsam mit mehreren US-amerikanischen Behörden Hydra-Market, einen der weltgrößten Online-Umschlagsplätze für Rauschgift und digitale Daten, vom Netz nehmen. Die schlechte Nachricht: Solche Ermittlungen sind enorm zeit- und ressourcenaufwändig und die Spuren gehen schnell verloren. Deshalb sind die Strafverfolgungsbehörden ganz besonders darauf angewiesen, dass ihnen Cyberstraftaten so schnell wie möglich angezeigt werden. Nur dann können die sehr flüchtigen digitalen Spuren oft überhaupt erst gesichert werden.

Das jüngst vorgestellte Bundeslagebild Cybercrime des Bundeskriminalamts zeigt auch: Wir alle können Opfer von schwerwiegenden Cyberstrafteten werden, ob Privatperson, kleine oder mittlere Unternehmen, Großkonzern oder öffentliche Einrichtung. Auch Bildungsstätten ohne Gewinnerzielungsabsicht wie Universitäten sind von teils sehr schweren Cyberangriffen betroffen. Zwar liegt der Fokus der Cyberkriminellen weiterhin auf besonders zahlungskräftigem, digitalem „Großwild“ – also besonders margen- oder umsatzstarken Organisationen oder solchen mit besonders sensiblen Daten. Wir bezeichnen das entsprechend als „Big Game Hunting“. Allerdings gibt es auch zahlreiche Beispiele von Betroffenen, die in diesem Sinne eher kollateral zu Opfern wurden. Etwa, weil die technischen Sicherheitsvorkehrungen nicht ausreichend gewählt und die Hürden mithin schlicht zu niedrig waren. Oder, weil es den Cyberkriminellen in der Szene Prestige einbringt, mit ihren Angriffen medienwirksam die öffentliche Verwaltung lahmzulegen.

Wenn jede und jeder Opfer werden kann, was kann dann jede und jeder zur Vorbeugung tun? Der Prävention kommt im Bereich Cyberkriminalität eine besonders hohe Bedeutung zu. Wirksame Vorbeugung beginnt bereits damit, sich der Gefahren der Cyberkriminalität bewusst zu sein. In Organisationen sollte dieses Bewusstsein regelmäßig und flächendeckend, beispielsweise durch entsprechende Schulungen, wach und aktuell gehalten werden. Das Bundesamt für Sicherheit in der Informationstechnik, das Bundeskriminalamt und weitere Sicherheitsbehörden veröffentlichen zu diesem Zweck regelmäßig Warnmeldungen, Auswertungen und Empfehlungen, um die Bevölkerung und Institutionen schnell über neue Gefahren zu informieren und zu sensibilisieren. Bereits eine einzelne Phishing-Mail, die von einer Einzelperson nicht sofort als solche erkannt wird, kann die Integrität eines gesamten Organisationsnetzwerkes gefährden. Wer zudem seine IT-Systeme und insbesondere die darauf betriebenen Betriebssysteme und Programme stets auf dem neuesten Stand hält, hat bereits einige Sicherheit gewonnen. Darüber hinaus ist eine fortlaufende und fachkundige Absicherung der Firmennetzwerke nach den neuesten Standards Pflicht. Wer dies nicht selbst leisten kann, ist gut beraten, dafür spezialisierte Dienstleister zu beauftragen.

Und wenn Sie dennoch zum Opfer von Cyberkriminellen werden? Trennen Sie Ihre Systeme vom Internet. Verständigen Sie sofort Ihre IT-Experten und verständigen Sie auf jeden Fall die Polizei. Entweder Ihre örtliche Dienststelle oder direkt die spezialisierten Zentralen Ansprechpartner Cybercrime der Länder und des Bundes. Eine Übersicht der Kontaktdaten unserer Spezialisten finden Sie unter www.polizei.de. Speichern Sie die für Sie relevante Nummer am besten direkt in Ihr Mobiltelefon.

Für die eingangs beschriebene hohe Dunkelziffer von 90 Prozent sehen wir verschiedene Ursachen. Häufig werden Cyberstraftaten nicht angezeigt, weil bei den Opfern Befürchtungen bestehen, dass durch einen Polizeieinsatz die Wiederherstellung ihrer Betriebsabläufe behindert oder verzögert würde. Das Gegenteil ist der Fall: Unsere Spezialisten bringen ihre Erfahrungen ein und unterstützen in Zusammenarbeit mit den jeweiligen IT-Dienstleistern die Opfer. Auch werden in aller Regel keine Computer oder Server von Opfern durch die Polizei beschlagnahmt oder weggetragen. Vielmehr wissen wir mit unserer Expertise die relevanten Spuren schnell und einvernehmlich mit Ihnen zu sichern. Dabei interessieren wir uns auch nicht für Ihre Buchhaltung oder Ihre Steuerunterlagen. Wir fokussieren uns darauf, Ihnen zu helfen und unsere Ermittlungen gegen Cyberkriminelle voranzubringen. Und: Wir behandeln jeden Sachverhalt sensibel und diskret. Helfen Sie uns also, Ihnen zu helfen und verständigen Sie im Falle eines Falles so schnell wie möglich die Polizei. Damit tragen Sie auch entscheidend dazu bei, künftige Cyberstraftaten zu verhindern und der Underground Economy ihren Nährboden zu entziehen. 


Mehr zu den Themen:

Verwandte Artikel

Cyberangriff – Risiken minimieren und richtig handeln

Cyberangriff – Risiken minimieren und richtig handeln

Ab dem 14. September 2022 startet der Bayerische Verband für Sicherheit in der Wirtschaft (BVSW) in den „Cyberherbst“.

YA­RA-Si­gna­tur zur Iden­ti­fi­zie­rung der Emo­tet-Mal­wa­re

YA­RA-Si­gna­tur zur Iden­ti­fi­zie­rung der Emo­tet-Mal­wa­re

Durch die durchgeführten Maßnahmen konnten bis dato mehr als 50.000 IT-Systeme1 auf die zur Beweissicherung eingerichteten Infrastruktur umgeleitet werden.

In­fra­struk­tur der Emo­tet-Schad­soft­wa­re zer­schla­gen

In­fra­struk­tur der Emo­tet-Schad­soft­wa­re zer­schla­gen

Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) haben am gestrigen Dienstag im Rahmen einer international konzertierten Aktion mit...

: