SUCHE

Wer fischt in meinem Computer? Attacke auf Netzwerke häufen sich (© Getty Images)
Serie IT-Sicherheit, Teil 6
17.05.2017

Behörden, Unternehmen, Energieversorger, Krankenhäuser und Privatpersonen geraten zunehmend ins Visier von Cyberkriminellen. In einer sechsteiligen Serie analysiert UP Nord, welchen Herausforderungen sich die einzelnen Branchen stellen müssen, welche Lösungen Experten dafür gefunden haben und wie Unternehmer ihre IT sicherer machen. Der letzte und sechste Teil gibt Einblicke in die Ermittlungsarbeit der Polizei. Andreas Dondera vom LKA Hamburg über die Hacker-Attacke vom Wochenende, Betrugsmaschen wie CEO-Fraud und Schutzmaßnahmen für Unternehmer.

Am vergangenen Wochenende wurden mindestens 200.000 Computersysteme in 150 Ländern von einer Hackerattacke getroffen und unter anderem die Anzeigetafeln der Deutschen Bahn und Fahrkartenautomaten mit einer Schadsoftware lahmgelegt. Wie konnte es soweit kommen?

Andreas Dondera: Viele Unternehmen, aber auch Privatpersonen, updaten ihre Systeme aus verschiedenen Gründen nicht regelmäßig und liefern sich damit den Cyber-Angriffen aus. Insbesondere Anwendungen von Drittanbietern werden nicht aktualisiert. Sie machen sich damit nicht nur zum Ziel der Cyber-Kriminelle, sie verteilen damit unter Umständen, wenn auch unbewusst, die Schadsoftware weiter. In vielen Fällen von Cybercrime ist der User das Problem: Gefühlt verfahren mutmaßlich über 90 Prozent der Internetnutzer in Deutschland nach dem Motto: Solange auf meinem Rechner das Emailprogramm und Word funktioniert und mein Internet läuft, ist doch alles in bester Ordnung.

Unternehmen sollten ihre Netzwerke besser geschützt haben, sollte man meinen.

Andreas Dondera: Da gibt es nach meiner Erfahrung einen Unterschied, ob ein Unternehmen über eine eigene IT-Abteilung verfügt, die den Geschäftsführer über die neuesten Entwicklungen im IT-Sicherheitsbereich informiert, oder einen externen Dienstleister hat, der einen womöglich nur unzureichend auf mögliche Schwachstellen hinweist. Oft fehlt es den Unternehmen an Fachkenntnissen, um die guten von den schlechten Dienstleistern zu unterscheiden. Hinzu kommt sicherlich auch der Kostenfaktor.

Hat die jüngste Hacker-Attacke gezeigt, dass die Unternehmen am falschen Ende sparen?

Cybercrime-Spezialist Andreas Dondera (© Privat)

Cybercrime-Spezialist Andreas Dondera (© Privat)

Andreas Dondera: Ich will die Unternehmer wachrütteln und gebe Ihnen warnende Beispiele. Ein Mitarbeiter eines Hamburger Unternehmens mit etwa 30 Angestellten und einem externen IT-Dienstleister öffnete eine Bewerbungsmail mit einem Trojaner. Der Trojaner verschlüsselte sämtliche Daten des Firmennetzwerks, jede Datei, einfach alles, inklusive Backup. Dann erschien auf dem Rechner die Nachricht, dass man einen Entschlüsselungscode erhalten könne gegen die Zahlung eines Lösegelds. Solche Forderungen sind oftmals gestaffelt. Bei Zahlung innerhalb von 24 Stunden wird 1 Bitcoin fällig. Nach zwei Tagen sind es schon zwei Bitcoin und so weiter.

Was sind die gängigsten Betrugsmaschen?

Andreas Dondera: Seit Ende 2015 massiv angestiegen sind der CEO-Fraud und der Man-in-the-Middle-Fraud. Das funktioniert so, dass ein vermeintlicher Geschäftsführer jemanden aus der Buchhaltung anweist, eine Zahlung anzuweisen, zum Beispiel für einen Unternehmensankauf. Eine weitere Masche funktioniert so, dass Hacker den Mailverkehr zweier Geschäftsmänner mitlesen. Dadurch haben sie Kenntnis über die gegenseitigen Umgangsformen. Nach Vertragsabschluss schicken Sie dem Schuldner eine Mail, in der steht, dass aus irgendeinem Grund das Geld auf ein anderes Konto überwiesen werden müsse. Oder die Täter fangen E-Mails mit PDF-Rechnungen ab, ändern die in der Rechnung aufgeführte Kontoverbindung und senden die so manipulierte Rechnung an den Gläubiger, der in der Folge die Summe auf das Konto der Betrüger überweist. Dann gibt es die moderne Form der Schutzgelderpressung: Da werden Online-Shops über Botnetze lahmgelegt, erst mal nur für wenige Stunden. Dann wird gedroht, es beim nächsten Mal für einen längeren Zeitraum zu tun. Wenn ein Unternehmer mit E-Commerce 30.000 oder 40.000 Euro Umsatz pro Stunde macht, wird er überlegen, ob er sich das leisten kann, dass seine Seite für 24 Stunden nicht erreichbar ist. Möglicherweise zahlt der eine oder andere dann, um sich zeitlich Luft zu verschaffen und in der Folge bessere Sicherungsmaßnahmen zu treffen.

Welches Ziel verfolgen Sie mit Ihren Seminaren?

Andreas Dondera: Chefs und ihre Mitarbeiter, aber auch ganz normale User zu sensibilisieren ist das A und O der Cyberabwehr. Es muss ein Kulturwandel im Umgang mit IT-Sicherheit stattfinden. Und dieser sollte aus meiner Sicht bereits in der Schule beginnen. Die Mails beim CEO-Fraud kommen in der Regel nicht von der Originaladresse des Geschäftspartners, weil kein Zugriff auf den dortigen Server besteht. Auf den ersten, flüchtigen Blick können auch die Absenderinformationen als echt erscheinen. Wenn ein Mitarbeiter den Absender allerdings genau geprüft hätte, wäre der Betrug aufgeflogen.

Was ist die neueste Masche, vor die Sie Unternehmer warnen?

Andreas Dondera: Aktuell stellen wir vornehmlich verschiedene Varianten der genannten Phänomene fest. Ich könnte mir aber vorstellen, dass in absehbarer Zukunft zum Beispiel. Betrug mittels einer Sprachsynthesesoftware Anwendung finden könnte. Bislang gibt es allerdings zum Glück noch keine Fälle dieser Art: Hierbei würden die Täter die Rede eines CEO aufzeichnen und könnten im Anschluss in der Software die Sätze eintippen, die der Computer mit der Stimme des CEO sprechen soll. Eine solche Software wurde als Entwicklungsversion bereits Ende 2016 vorgestellt. Wenn man verfolgt, wie rasant sich die Technologien entwickeln, dann könnte schon bald ein Betrüger mit der Stimme eines CEO in der Buchhaltung telefonisch eine Zahlungsanweisung geben. Gefälschte Telefonnummer? Alles kein Problem. Auch das Geld aufzubringen, um sich solche Software maßschneidern zu lassen, wird Betrüger kaum abschrecken. Sie wissen, dass sich diese „Investition“ schnell auszahlen wird. Man geht davon aus, dass der Schaden durch Onlinebetrug vornehmlich asiatischer Banken durch eine einzige Bande, bei über einer Milliarde Dollar lag. Ein neuer Trend scheint im Übrigen zu sein, dass Täter gezielt Unternehmensnetzwerke angreifen, um hierüber Ransomware in Form von Verschlüsselungstrojaner einzuspielen. Ein großer Antivirenhersteller hat publiziert, dass er bereits acht Gruppen ausgemacht hat, die offensichtlich dieses Ziel verfolgen. Dieser Weg ist natürlich hochgradig gefährlich, da die Täter hierdurch unter Umständen die Backupstrategie des Unternehmens in Erfahrung bringen können und Backups gegebenenfalls löschen oder ebenfalls verschlüsseln. Dieses würde den Druck auf die betroffenen Unternehmen drastisch erhöhen.

Die Polizeiarbeit beginnt, wenn Anzeige erstattet wurde und eine Transaktion auf das Konto von Betrügern getätigt wurde.

Andreas Dondera: Ja und gleichzeitig enden die Befugnisse der Polizei an den deutschen Ländergrenzen in der Regel abrupt. Unsere Möglichkeiten sind in dem Bereich der Cyberkriminalität sehr begrenzt, das muss man ehrlich sagen. Was habe ich schon für Ermittlungsansätze: Beim CEO-Fraud, bei dem ein Unternehmen um 100.000 Euro geschädigt wurde? Zum Beispiel ein Konto in der Ukraine, einen Vor- und Nachnamen sowie eine mail.com-Emailadresse. Der Namen wird bei der Einrichtung nicht verifiziert. Die IP-Adresse hilft mir in der Regel auch nicht weiter, da sie ihren Ursprung in der Regel im Ausland, z.B. auf den Seychellen, in Israel oder Nigeria hat. Einer meiner Kollegen hatte vor drei Jahren ein Land wegen einer IP-Adresse um Auskunft gebeten, wir warten bis heute auf eine Antwort. Und selbst in Deutschland nützt die Ermittlung der IP-Adresse wenig, wenn solche Mails von einem Hotspot in der Bahn oder bei McDonald’s versendet werden. Und sowie die Gelder auf den Konten eingehen, werden diese an weitere Banken in anderen Länder weitergeleitet. Dieses macht die Ermittlungen extrem aufwendig und schwer.

Gibt es überhaupt nennenswerte Fahndungserfolge?

Andreas Dondera: Kaum. Nehmen Sie die Entwickler des Trojaners Locky. Die werden seit Februar 2016 auf der ganzen Welt gejagt, bisher ohne Erfolg. Da müssen wir nicht in Hamburg darüber diskutieren, ob wir eine zusätzliche Stelle in der Bekämpfung der Cyberkriminalität bekommen. Es muss aber für die Täter den Anschein haben, dass sie zumindest teilweise überwacht werden, und es ihnen nicht allzu leichtgemacht wird. Auch aus diesem Grunde setzen wir sehr auf Prävention. Jeder durch Prävention verhinderte Erfolg von Cybercrime ist mehr wert, als eine Anzeige die mangels Ermittlungsmöglichkeiten eingestellt werden muss.

Zur Person:

Alexander Dondera war acht Jahre Dozent für „Polizeiliche Informationsverarbeitung" an der Hochschule der Polizei Hamburg und anschließend knapp zehn Jahre Ermittler für Cybercrime beim Landeskriminalamt Hamburg. Derzeit leitet er die Zentrale Ansprechstelle Cybercrime des LKA.

Auch interessant:

Serie IT-Sicherheit, Teil 3

Fünf Tipps für Unternehmer gegen Cyberangriffe

24.04.2017 Ein Cybersecurity-Experte gibt fünf Praxistipps, wie sich Unternehmen gegen Hacker schützen können.

Weiterlesen
Serie IT-Sicherheit, Teil 2

Gesundheits-IT: Mit Risiken und Nebenwirkungen

19.04.2017 Gesundheitsdaten sind in das Visier von Cyberkriminellen geraten. Kliniken und Ärzte rüsten bei der Sicherheit auf.

Weiterlesen
Serie IT-Sicherheit, Teil 1

Hacker an die Cyber-Front

11.04.2017 Die Bundeswehr rüstet sich mit einer Armee von Freiwilligen gegen die zunehmende Zahl von Attacken über das Internet.

Weiterlesen