Die Untergrund-Industrie

Cyberkriminalität – ein hoch arbeitsteiliges Feld

Moderne Einbrecher brauchen kein Brecheisen mehr und richten dennoch ungleich mehr Schaden an. Die Rede ist von Cyberkriminellen. Wie verschaffen sie sich Zugang, wie gehen sie vor?

Klar ist, das Klischeebild vom Hacker im Kapuzenpulli, der im dunklen Zimmer hockt und die Finger über die Tastatur fliegen lässt, stimmt nicht mehr – sofern es denn überhaupt jemals gestimmt hat. Vielmehr handelt es sich um eine hoch arbeitsteilige „Hacker-Industrie“, die da am Werk ist. Das Bundeskriminalamt (BKA) spricht in seinem Lagebericht zur Cyberkriminalität 2021 (der Bericht für 2022 ist noch nicht veröffentlicht) von der Underground Economy mit ihren ganz eigenen Services und Angeboten. Die Lage wird auch mit dem Schlagwort „Cybercrime as a Service“ benannt. Um dazu ein Beispiel zu nennen: „Infection on demand“, die Verteilung von Schadsoftware „auf Bestellung“, ist laut BKA-Lagebericht ab 100 Dollar pro Monat zu kaufen.
 

Hehler im virtuellen Untergrund

Im Jahr 2021 haben die Cybercrime-Abteilungen der Polizei außerdem festgestellt, dass sogenannte Initial Access Broker (IAB) an Relevanz gewonnen haben. Sie handeln mit unrechtmäßig erlangten Zugängen zu Netzwerken von Behörden oder Unternehmen. Ihre „Kunden“ sind Ransomware-Gruppen, die auf diese Weise ihre Schadsoftware in die Netzwerke einschleusen wollen. Die Preise dieser Ware bestimmen sich auch in diesem dunklen Markt nach der Qualität: Branche, Umsatz des Unternehmens und Mitarbeitendenzahl seien unter anderem Parameter, so das BKA.

Gehandelt wird auch mit Daten aus kompromittierten Nutzer-Konten, mit denen weitere Straftaten begangen werden können. Das Hasso-Plattner-Institut der Uni Potsdam erfasst monatlich Millionen solcher „Data Leaks“. Im Jahr 2021 sind demnach 184,65 Millionen Nutzerkonten kompromittiert worden.

Nach wie vor ist Malware wie Verschlüsselungs- und Erpressungsprogramme eines der wichtigsten Werkzeuge für Cyberkriminelle mit einem rasant wachsenden Schadenpotenzial. Der Branchenverband Bitkom spricht von 24,3 Milliarden Euro Schaden im Jahr 2021. Das Portal Chainanalysis geht davon aus, dass die Kriminellen im gleichen Zeitraum 602 Millionen US-Dollar in Kryptowährung erpresst haben. Deutschland gelte als eines der Hauptangriffsziele für Malware-Akteure, mahnt das BKA. Dabei habe sich mittlerweile eine sogenannte „Double Extension“ als Standard entwickelt. Will heißen: Es wird Lösegeld durch die Verschlüsselung der Systeme erpresst und dann noch einmal mit der Drohung, sensible Daten zu veröffentlichen.
 

Einbrechen und in Ruhe umsehen

Wie so ein Angriff abläuft, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) beispielhaft im Lagebericht für 2022 dargestellt. Der Angreifer verschafft sich den Zugang zum System, breitet sich darin aus, erkundet das System und checkt, mit wem er es zu tun hat. Nachdem er sich ausreichend umgesehen hat, stiehlt er sensible Daten und verschlüsselt das System. Das kann Monate nach dem „Einbruch“ der Fall sein. Mit einer Nachricht wird der Betroffene darauf hingewiesen und aufgefordert beim „sales department“ des Hacker-Unternehmens die Entschlüsselungssoftware zu kaufen.

 

Aufbau eines Schutzes

Das Risikomanagement gegen diese Taten gliedert sich in unterschiedliche Bereiche. Aus der technischen Perspektive geht es darum, Updates immer aktuell zu halten und von den Software-Herstellern angebotene Patches zu installieren. Um Daten schnell wieder herstellen zu können, sind zudem regelmäßige Back-up-Sicherungen erforderlich, die getrennt vom Netzwerk aufbewahrt werden müssen, damit sie bei einem Angriff nicht mitverschlüsselt werden können. Organisatorisch geht es unter anderem um Fragen wie: Wie ist das Netzwerk segmentiert? Wer hat welche Zugriffsrechte etc.? Ein wesentlicher Sicherheitsaspekt liegt aber in der Aufmerksamkeit gut geschulter Mitarbeitender, die sensibel mit E-Mails umgehen und wie eine menschliche „Firewall“ suspekte Anhänge erkennen beziehungsweise nicht auf dubiose Links klicken.

Zum Schutz gehört natürlich auch der Risikotransfer auf den Versicherungsmarkt. Die Cyberversicherungen sind ein wesentliches Thema für die Unternehmen, der Markt dafür ist allerdings momentan nicht sehr käuferfreundlich. Die deas arbeitet mit ihren Schwesterunternehmen in der Ecclesia Gruppe eng zusammen, um ihren Kunden die individuell passende und risikoadäquate Cyberversichersicherung zu bestmöglichen Preisen und Bedingungen zur Verfügung zu stellen.

Thorsten Engelhardt