Im Rahmen der Präsentation des "Bundeslagebildes Cybercrime" beim BKA wird ein Hackerangriff auf ein Unternehmen simuliert, wobei der Quellcode des Angriffs auf einem Bildschirm zu sehen ist.
© picture alliance/Boris Roessler/dpa
Cybercrime
Aufgaben und die aktuelle Analyse der deutschen Sicherheitsbehörden
Von Dr. Stefan Goertz, Bundespolizei, Hochschule des Bundes
Nach Angaben deutscher Sicherheitsbehörden ist die Bandbreite illegaler Aktivitäten und Tatgelegenheiten im Internet sehr groß und reicht von der Verbreitung von Kinderpornografie im Internet über „Phishing“ persönlicher Zugangsdaten, Handel mit Waffen und Rauschgift bis hin zu Netzwerkeinbrüchen und DDoS-Attacken, der Verbreitung von Schadsoftware und Betrugshandlungen.
All dies geschieht unter Nutzung von Clearnet/Visible Web, der dort existierenden Foren der Underground Economy, von DeepWeb und Darknet. Dieser Beitrag untersucht zu Beginn den Phänomenbereich Cybercrime, nutzt die Definition von Cybercrime des Bundeskriminalamtes, erläutert die für die Bekämpfung von Cybercrime zuständigen deutsche Behörden und ihre Aufgaben und thematisiert abschließend die Analyse des aktuellen Bundeslagebildes Cybercrime des Bundeskriminalamtes.
Der Phänomenbereich Cybercrime
Das Bundesministerium des Innern bewertet Cybercrime als weltweites Phänomen, das weder an Landesgrenzen noch vor verschlossenen Türen Halt macht. Cybercrime kann überall stattfinden, wo Menschen Computer, Smartphones und andere IT-Geräte benutzen, in Firmen, Behörden, Universitäten, zu Hause und unterwegs.1
Die Besonderheit von Cybercrime besteht darin, dass die Täter nahezu von jedem Ort der Welt aus agieren und ihre Spuren relativ gut verschleiern können und außerdem muss der Tatort nicht zwingend mit dem Taterfolgsort identisch sein. In den letzten Jahren ist nicht nur die Zahl der betroffenen Computer und Smartphones gestiegen, sondern auch die Professionalität der Täter.
Zum einen versuchen diese weiterhin mit möglichst geringem Aufwand möglichst viele Computer mit Schadsoftware zu infizieren, um beispielsweise Kontodaten und Passwörter zu stehlen. Zum anderen gibt es auch immer mehr sehr gut vorbereitete Cyberangriffe auf ausgewählte Ziele, bei denen das Schadenspotenzial für die Betroffenen erheblich größer ist. Hierzu gehören zum Beispiel Angriffe auf Wirtschaftsunternehmen oder (Kritische) Infrastruktureinrichtungen.2
Definition von Cybercrime
Das Bundeskriminalamt definiert Cybercrime wie folgt:
Cybercrime umfasst die Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten (Cybercrime im engeren Sinne) oder die mittels dieser Informationstechnik begangen werden. Aktuell verbreitete Erscheinungsformen von Cybercrime sind gekennzeichnet durch die Infektion und Manipulation von Computersystemen mit Schadsoftware, z. B. um
- persönliche Daten und Zugangsberechtigungen des Nutzers abgreifen und missbräuchlich nutzen zu können (Identitätsdiebstahl)
- darauf befindliche Daten/Dateien des Nutzers mittels sog. Ransomware zu verschlüsseln, um „Lösegeld“ zu erpressen
- sie „fernsteuern“ zu können, in sog. Botnetzen zusammenzuschalten und für weitere kriminelle Handlungen einzusetzen.
Für die Bekämpfung von Cybercrime zuständige deutsche Behörden und ihre Aufgaben
Für den Phänomenbereich IT-Sicherheit und Cybercrime zuständige Behörden in Deutschland sind:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
Das BSI ist u.a. für den Schutz der IT-Systeme des Bundes verantwortlich. Hierbei geht es um die Abwehr von Viren, Trojanern und anderen technischen Bedrohungen gegen die Computer und Netze der Bundesverwaltung. Das BSI berichtet dem Innenausschuss des Deutschen Bundestages hierzu einmal jährlich.
Zu den Aufgaben des BSI gehören zusätzlich:
- Schutz der Netze des Bundes, Erkennung und Abwehr von Angriffen auf die Regierungsnetze
- Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und -Dienstleistungen
- Warnung vor Schadprogrammen oder Sicherheitslücken in IT-Produkten und -Dienstleistungen
- IT-Sicherheitsberatung für die Bundesverwaltung und andere Zielgruppen
- Information und Sensibilisierung der Bürger für das Thema IT- und Internet-Sicherheit
- Entwicklung einheitlicher und verbindlicher IT-Sicherheitsstandards
- Entwicklung von Kryptosystemen für die IT des Bundes.3
Das Nationale IT-Lagezentrum im BSI
© Bundesamt für Sicherheit in der Informationstechnik
Gemäß BSI-Gesetz (§3 Abs. 1 S. 2 Nr. 13 BSIG) gehört es zu den Aufgaben des BSI, auch den Bundesnachrichtendienst (BND) bei der Wahrnehmung seiner gesetzlichen Aufgaben zu unterstützen, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. Hierbei berät das BSI den BND zum Beispiel zu Fragen der Informationssicherheit und des Geheimschutzes, insbesondere zum Schutz der Netze des BND.4
Die grenzenlose Vernetzung der Kommunikations- und Informationssysteme macht eine internationale Kooperation. Die im Februar 2011 verabschiedete Cyber-Sicherheitsstrategie der Bundesregierung betrachtet den Schutz des Cyber-Raums nach Angaben des BSI als existentielle Frage des 21. Jahrhunderts, wobei einer engen Zusammenarbeit in Europa und weltweit grundlegende Bedeutung beigemessen wird.
Die Cyber-Sicherheitsstrategie bildet somit den obersten Bezugsrahmen für das internationale Engagement des BSI. Daher kooperiert das BSI sowohl durch aktive Mitarbeit in Gremien als auch durch bi- und multilaterale Zusammenarbeit mit anderen Staaten. Das internationale Engagement des BSI ist geprägt von seiner Rolle als weltweit anerkanntes IT-Sicherheitskompetenzzentrum und nationale IT-Sicherheitsbehörde.
Die internationalen Aktivitäten des BSI orientieren sich an seiner fachlichen Ausrichtung und finden etwa innerhalb der EU und NATO, im Standardisierungs- und Normungsumfeld oder auf bi- und multilateraler Ebene statt. Im Rahmen seines internationalen Engagements unterhält das BSI auch Kontakte zu wichtigen internationalen Telekommunikationsunternehmen und Herstellern von Informations- und Kommunikationstechnik und ist darüber hinaus in einigen relevanten Industriekonsortien vertreten.5
Die Polizeien
Zentrale Ansprechstellen Cybercrime der Polizeien der Länder und des Bundes für die Wirtschaft. Aktuelle polizeiliche Erkenntnisse und Unternehmensbefragungen zeigen, dass die deutsche Wirtschaft – kleine, mittlere und auch große Firmen – quer durch alle Unternehmensbereiche in einem hohen Maße von Cybercrime in den verschiedenartigsten Formen betroffen ist. Die Situation hat sich in den letzten Jahren noch weiter verschärft, weil Cybercrime komplexer und vielfältiger geworden ist.
Es wird spioniert, erpresst, betrogen und Unternehmens- und Kundendaten werden widerrechtlich abgegriffen, um damit eine Vielzahl weiterer Straftaten zu begehen. Wobei es eine Vielzahl von Cybercrime-Straftaten gibt, die sich in den verschiedensten Konstellationen darstellen können. Firmen können von Angriffen auf ihre IT-Systeme betroffen sein, ohne dass die erkennbaren Hinweise einen eindeutigen Rückschluss auf solche Taten zulassen. Die frühzeitige und sachgerechte Bewertung dieser Hinweise ist unabdingbar, um zielgerichtet Abwehrmaßnahmen einzuleiten.6
Für die Strafverfolgung und Bekämpfung von Cyberkriminalität sind in Deutschland zunächst die Landeskriminalämter und auf Bundesebene das Bundeskriminalamt zuständig. Hierbei nimmt das BKA eine koordinierende Funktion als Zentralstelle wahr und veröffentlicht jedes Jahr das Bundeslagebild Cybercrime. Weil jedoch kein Land dieses grenzüberschreitende Problem für sich alleine lösen kann, ist eine enge internationale Zusammenarbeit unabdingbar. Hierbei spielt insbesondere das European Cybercrime Centre (EC3) bei EUROPOL eine zunehmend wichtige Rolle. Auch Interpol setzt am Standort in Singapur einen Schwerpunkt bei der Bekämpfung von Cybercrime.7
Das Cyber-Abwehrzentrum (unter Federführung des BSI arbeiten hier das Bundeskriminalamt, die Bundespolizei, die Nachrichtendienste und die Bundeswehr zusammen)
Das Cyber-Abwehrzentrum soll die operative Zusammenarbeit optimieren und Schutz- und Abwehrmaßnahmen koordinieren. Dies geschieht auf Basis eines ganzheitlichen Ansatzes, der die verschiedenen Gefährdungen im Cyberraum zusammenführt: Cyber-Spionage, Cyber-Ausspähung, Cyber-Terrorismus und Cyber-Crime. Das Ziel ist ein schneller Informationsaustausch, schnelle Bewertungen und daraus abgeleitete konkrete Handlungsempfehlungen
Im Cyber-Abwehrzentrum werden alle Informationen zu Cyber-Angriffen auf Informationsinfrastrukturen zusammengeführt, von denen die sicherheitsrelevanten Behörden erfahren. Sie tauschen dort ihre Erkenntnisse aus und bewerten sie. Jede Behörde aus ihrer Sicht und in ihrer Zuständigkeit. So sollen alle Behörden in ihrem jeweiligen Zuständigkeitsbereich von dem gemeinsamen Wissen profitieren.8
Das Bundesamt für Verfassungsschutz (BfV)
Vor allem für fremde Nachrichtendienste bietet die schnelle technische Entwicklung der Informations- und Kommunikationstechnologien nach Angaben des BfV vielfältige Möglichkeiten der Datenausspähung zum Zwecke der Spionage und politischen Desinformation, der Datenveränderung und Computersabotage. Auch für nichtstaatliche Akteure bieten sich Möglichkeiten der Sabotage und Propaganda.
So beobachtet das BfV, wie auch Extremisten und Terroristen die neuen Technologien für ihre Zwecke einsetzen und ihre Agitationsformen und Organisationskonzepte daran anpassen. Cyberangriffe gehören für viele Nachrichtendienste zum Standardwerkzeug der Spionage, so dass das Gefährdungspotential sehr hoch ist. Zu den Aufklärungszielen gehören Ministerien ebenso wie die deutsche Wirtschaft, wobei gemäß dem BfV nicht nur Großkonzerne sondern gleichermaßen auch kleine und mittelständische Unternehmen angegriffen werden. Angriffe über das Internet sind relativ einfach und kostengünstig zu realisieren, bergen ein geringes Enttarnungsrisiko und bieten eine hohe Erfolgswahrscheinlichkeit.9
Die BRD ist aufgrund ihrer geopolitischen Lage, ihrer Rolle in der Europäischen Union (EU) und in der NATO sowie als Standort zahlreicher Unternehmen der Spitzentechnologie für fremde Nachrichtendienste besonders interessant. Dazu erleichtert die offene und pluralistische Gesellschaft fremden Mächten die Informationsbeschaffung auch im Cyberraum. Dieser Bedrohungslage ist mit einer schnellen und schlagkräftigen Aufklärung und Abwehr von Cyberangriffen und deren Vorbereitung nachhaltig zu begegnen. Dafür sind die Umsetzung und eine stetige Aktualisierung/Überprüfung der organisatorischen und technischen Maßnahmen zur Stärkung der Cyberabwehr bei allen damit befassten oder davon potentiell betroffenen Einrichtungen unabdingbar.10
Zur Erhöhung der Cybersicherheit gibt das BfV aus seinem Erkenntnisaufkommen stammende Hinweise auf bestimmte IT-Infrastrukturen, die für Cyberangriffe genutzt werden. Mit diesen Informationen werden gefährdete Stellen in die Lage versetzt eine eigene Betroffenheit festzustellen, potentielle Zugriffe von diesen Infrastrukturen auf ihr IT-Netzwerk im Vorfeld zu sperren und so den Schutz gegen Cyberangriffe zu erhöhen.11
Der Bundesnachrichtendienst (BND)
Mit der Bedeutung des Internets für Privatpersonen, Unternehmen und staatliche Stellen nimmt auch die Anfälligkeit u.a. für Sabotage und Spionage zu. Immer neue Schnittstellen zwischen realer und digitaler Welt bilden zusätzliche Einfallstore für Hacker. Gleichzeitig rückt seit einigen Jahren der ansonsten eher lose organisierte Hacker-Underground verstärkt in den Fokus ausländischer Nachrichtendienste. So werden beispielsweise Hacker-Gruppen dafür bezahlt, Strukturen im Cyberraum aufzubauen, die für gezielte Angriffe gegen kritische Infrastrukturen anderer Staaten genutzt werden können.
Cyberangriffe, die sich im Ausland aufbauen und gegen kritische Infrastrukturen in Deutschland gerichtet sind, soll der BND frühzeitig erkennen. Hierfür nutzt der BND seine technischen Fähigkeiten und Befugnisse zur Internes Verbandsabzeichen KdoCIR
© Fragdenstaat.de - File:InternesVerbandsabzeichenKdoCIR.jpg, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=58008111strategischen Fernmeldeaufklärung (SIGINT), um die Ausbreitung von Schadsoftware im Vorlauf eines Angriffs zu erkennen.12
Das Kommando Cyber- und Informationsraum (KdoCIR) der Bundeswehr
stellt mit einem Gemeinsamen Lagezentrum ein fusioniertes Lagebild des Cyber- und Informationsraums für die Bundeswehr und weitere Ressorts zur Verfügung koordiniert als Kommandobehörde die bundeswehrgemeinsame Erfüllung für die Erbringungsdimension Cyber- und Informationsraum aus dem Aufgabenspektrum der Bundeswehr, die im Frieden sowie im Spannungs- und/oder Verteidigungsfall in nationaler Verantwortung wahrgenommen werden.
Im April 2017 hat das Kommando Cyber- und Informationsraum der Bundeswehr mit einer Startaufstellung eine Erstbefähigung zur truppendienstlichen Führung des unterstellten Bereiches erhalten. Im Sommer 2017 wurden dem Kommando Cyber- und Informationsraum der Bundeswehr das Kommando Strategische Aufklärung, Zentrum für Geoinformationswesen und das Kommando Informationstechnik der Bundeswehr, ehemals Führungsunterstützungskommando der Bundeswehr unterstellt. So gehören rund 13.500 Dienstposten zum Organisationsbereich CIRCyber- und Informationsraum. 2021 soll dann die Zielstruktur eingenommen und der Bereich vollkommen einsatzbereit sein.13
Das aktuelle „Bundeslagebild Cybercrime“ des Bundeskriminalamtes
Trotz der eingeschränkten Aussagekraft der Polizeilichen Kriminalstatistik (PKS) hinsichtlich der Gesamtheit der in Deutschland verübten Cybercrime-Straftaten hält das Bundeskriminalamt (BKA) fest, dass es sich um die einzige bundesweite statistische Datenquelle handelt, die auf polizeilichen Ermittlungen basiert. Sie liefert somit eine Datenbasis, auf deren Grundlage in diesem Phänomenbereich zumindest Trendaussagen getroffen werden können.14
Aussagen zur tatsächlichen Kriminalitätsbelastung lassen sich alleine auf Grundlage der PKS allerdings nicht treffen, weil die Anzahl der tatsächlich begangenen, nicht polizeilich bekannt gewordenen bzw. erfassten Straftaten nach Angaben des BKA um ein Vielfaches höher liegen dürfte. Gründe hierfür liegen gemäß dem BKA zum einen in den dargestellten Erfassungsmodalitäten, zum anderen weisen die folgenden Faktoren auf ein hohes Dunkelfeld im Bereich Cybercrime hin:
- Eine große Anzahl strafbarer Handlungen im Internet kommt aufgrund zunehmender technischer Sicherungseinrichtungen über das Versuchsstadium nicht hinaus und wird von den Geschädigten nicht bemerkt
- Die betroffenen Personen erkennen nicht, dass sie Geschädigte einer Cyber-Straftat geworden sind (z. B. bei Diebstahl ihrer Identität bei einem Online-Shop) bzw. von ihnen eingesetzte technische Geräte unbemerkt zur Begehung von Cybercrime-Straftaten missbraucht wurden (z. B. Nutzung infizierter PCs oder Router als Teil eines Botnetzes zur Ausführung von DDoS-Angriffen oder Infektion mit Cryptomining-Malware)
- Straftaten werden durch Geschädigte nicht angezeigt, insbesondere, wenn noch kein finanzieller Schaden entstanden ist (z. B. bloßer Virenfund auf dem PC) oder der eingetretene Schaden von Dritten (z. B. Versicherung) reguliert wird
- Geschädigte, insbesondere Firmen, zeigen erkannte Straftaten nicht an, um bspw. die Reputation als „sicherer und zuverlässiger Partner“ im Kundenkreis nicht zu verlieren.
- Geschädigte erstatten z. B. in Erpressungsfällen oftmals nur dann Anzeige, wenn trotz Zahlung eines Lösegelds keine Dekryptierung des durch die Täterseite zuvor verschlüsselten Systems erfolgt.15
Im Jahr 2018 verzeichnete das BKA einen erneuten Anstieg der Straftaten im Bereich Cybercrime. So wies die PKS insgesamt 87.106 Fälle aus. Die Aufklärungsquote betrug 38,9 %. Drei Viertel aller Straftaten wurden als Fälle von Computerbetrug registriert. Die Fallzahl zur missbräuchlichen Nutzung von Telekommunikationsdiensten gem. § 263a StGB stieg im Berichtsjahr um 36,2 % auf 644 Fälle (im Jahr 2017 waren es noch 473 Fälle) an. Hauptursache dafür ist ein komplexer Ermittlungsvorgang der Staatsanwaltschaft Oldenburg und der Polizeiinspektion Osnabrück mit zahlreichen (aufgeklärten) Einzelfällen, der im Jahr 2018 in Niedersachsen abgeschlossen wurde.16
Gemäß einem Studienbericht des Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e. V. (bitkom) aus dem Jahr 2018 zum Thema „Spionage, Sabotage und Datendiebstahl – Wirtschaftsschutz in der Industrie“ sollen 68 % der deutschen Industrieunternehmen in den vergangenen zwei Jahren Opfer von Datendiebstahl, Industriespionage oder Sabotage gewesen sein. Weitere 19 % waren vermutlich betroffen, hier ließ sich allerdings nicht zweifelsfrei feststellen, ob tatsächlich Daten abgeflossen sind oder ein Angriff nicht entdeckt wurde.17
Im Jahr 2018 wurden insgesamt 22.051 Tatverdächtige von Cybercrime-Delikten registriert. 67,1 % der Tatverdächtigen waren männlich, 32,9 % weiblich. Der Straftatbestand des Computerbetruges, vornehmlich des Warenkreditbetruges, weist hohe Fallzahlen und einen hohen Anteil weiblicher Tatverdächtiger auf (beim Computerbetrug gem. § 263a StGB 34,4 % weibliche Tatverdächtige; beim Warenkreditbetrug gem. §§ 263, 263a StGB 33,6% weibliche Tatverdächtige).18
Im Jahr 2018 hatten 16.832 der festgestellten Tatverdächtigen (76,3 %) die deutsche Staatsangehörigkeit. 5.219 Tatverdächtige hatten andere Staatsangehörigkeiten, wobei nach Angaben des BKA türkische (13,5 %), rumänische (9,7 %) und nigerianische (8,7 %) Staatsangehörige am häufigsten vertreten waren. Während bei den türkischen und rumänischen Staatsangehörigen ebenfalls der Warenkreditbetrug für den hohen Anteil verantwortlich ist, sind nigerianische Staatsangehörige insbesondere beim Computerbetrug mittels rechtswidrig erlangter sonstiger unbarer Zahlungsmittel vertreten. Mehr als die Hälfte (58,9 %) der registrierten Delikte im Bereich Cybercrime wurden von Tatverdächtigen begangen, die zwischen 21 und 39 Jahre alt waren.19
Das Täterspektrum reicht gemäß dem BKA vom Einzeltäter bis hin zu international organisierten Tätergruppierungen. Dabei arbeiten gemeinsam agierende Täter im Bereich Cybercrime nur selten in hierarchischen Strukturen. Sie kennen sich häufig nicht persönlich und nutzen auch bei arbeitsteiligem Vorgehen die vermeintliche Anonymität des Internets. Dazu reagiert die Täterseite flexibel und schnell auf neue technische Entwicklungen und passt ihr Verhalten entsprechend an. Dienste, die nicht selbst erbracht werden können, werden von anderen hinzugekauft (Cybercrime as a Service).20
Aktuell vom BKA analysierte Phänomene im Bereich Cybercrime
Diebstahl digitaler Identitäten (ID-Theft)
Der Begriff „digitale Identität“ bezeichnet die Summe aller Möglichkeiten und Rechte des einzelnen Nutzers sowie seiner personenbezogenen Daten und Aktivitäten innerhalb der Gesamtstruktur des Internets. Dazu gehören alle Arten von Nutzer-Accounts, also auch Zugangsdaten in den Bereichen:
- Kommunikation (E-Mail- und Messengerdienste)
- E-Commerce (Online-Banking, Online-Aktienhandel, internetgestützte Vertriebsportale aller Art)
- berufsspezifische Informationen (z. B. für den Online-Zugriff auf firmeninterne technische Ressourcen)
- E-Government (z. B. elektronische Steuererklärung) sowie
- Cloud-Computing (Nutzung von als Dienstleistung angebotenem Speicherplatz, von Software oder Rechenleistung).21
Für Cyberkriminelle sind nach Angaben des BKA alle Daten bzw. Ausprägungen von digitalen Identitäten interessant, die für kriminelle Aktivitäten genutzt werden können. Im Vordergrund stehen hierbei in der Regel finanzielle Motive, so erfolgen z.B. bei Online-Shops Warenbestellungen durch den Täter unter Verwendung von Name und Adresse des Opfers (Warenkreditbetrug), kostenpflichtige Streaming-Dienste werden mittels der gestohlenen Identitäten gebucht oder Mobilfunkverträge werden widerrechtlich abgeschlossen.22
Zugriff auf die Daten bekommen die Täter zum Beispiel durch Phishing-Mails, den Einsatz von Schadsoftware (Spyware, Trojaner und Keylogger) oder über das Prinzip des Social Engineerings, bei dem die Täter auf zwischenmenschlicher Ebene gezielt Personen beeinflussen, um bestimmte Verhaltensweisen hervorzurufen (speziell im Bereich des „CEO-Frauds“).
Über Datenlecks bei Unternehmen geraten massenweise digitale Identitäten auf den „Cyber-Markt“, die dann von Tätern im Bereich Cybercrime genutzt werden. Das BSI führt in seinem Bericht „Die Lage der IT-Sicherheit in Deutschland 2018“ aus, dass dort die Verwendung von persönlichen Daten aus Datenabflüssen bei großen Dienstleistern, Kontakten aus E-Mail-Clients infizierter Systeme oder recherchierten Daten immer häufiger beobachtet wird.23
Phishing-Webseite: Sie sieht aus wie die Seite einer Sparkasse, ist jedoch eine vom Phisher präparierte Webseite. Der Klick auf die Schaltfläche in der Mitte würde den nichts ahnenden Besucher auffordern, persönliche Daten einzugeben, die der Phisher dann abfängt.
© unbekannt; wahrscheinlich: Betrüger - Spam-E-Mail, Gemeinfrei, https://commons.wikimedia.org/w/index.php?curid=39408873
Phishing im Online-Banking
Eine häufige Variante des digitalen Identitätsdiebstahls ist neben dem Massendiebstahl von digitalen Daten weiterhin das Phishing im Zusammenhang mit Online-Banking. In einer Welt, die sich immer weiter digitalisiert, ist es üblich, alltägliche Geschäfte online abzuwickeln. Dies erweitert die Angriffsfläche für Cyberkriminelle. Eine weitere Form von Phishing im Zusammenhang mit Online-Banking ist das sog. SIM-Swapping bzw. SIM-Jacking. Dabei handelt es sich um einen Account Take Over, bei dem die Täter die Rufnummer eines Ziels auf eine vom Angreifer gehaltene SIM-Karte übertragen lassen.
Um beim jeweiligen Telekommunikationsanbieter an eine SIM-Karte mit der Rufnummer des Opfers zu gelangen, sammeln die Täter häufig im Vorfeld über verschiedene Methoden (z. B. Phishing, Social Engineering) die dafür notwendigen Daten über das potenzielle Opfer. Danach ermöglicht die SIM-Karte mit der Rufnummer des Opfers den Tätern, bei einigen Anbietern Passwörter von Konten des Opfers (z. B. bei E-Commerce-Plattformen oder Banking-Apps) neu zu vergeben.24
Nach Angaben des BKA wurde Anfang 2019 eine deutschlandweit operierende Gruppe zerschlagen, die sich seit 2018 illegal Online-Zugangsdaten von Kunden verschiedener Bankinstitute verschafft hatte, Ersatz-SIM-Karten angefordert und diese anstelle der rechtmäßigen SIM-Karten hatte aktivieren lassen. Dadurch war es ihnen möglich, sich für Online-Überweisungen notwendige Transaktionsnummern (TAN) zusenden zu lassen und unter Angabe falscher Kontodaten Beträge von mehr als 1,5 Mio. Euro zu erbeuten.25
Malware/Schadprogramme
Das BKA erklärt, dass Schadprogramme unerwünschte oder schädliche Funktionen auf einem informationstechnischen System ausführen. Die Verbreitung und der Einsatz von Schadprogrammen auf Systemen der Geschädigten ist hierbei die wesentliche Basis für die Begehung von Cybercrime. Die häufigsten Verbreitungswege von Schadprogrammen sind Anhänge in Spam-Mails sowie die vom Anwender unbemerkte Infektion beim Besuch von präparierten Webseiten (Drive by Infection). Die Verbreitung von Schadsoftware erfolgt zunehmend wurmartig. Ausdruck einer Professionalisierung in diesem Bereich ist unter anderem die Tatsache, dass durch die Schadsoftware automatisch Schwachstellen erkannt werden.26
Cybercrime ist vor allem aufgrund der weiten Verbreitung von Schadsoftware zu einem Massenphänomen geworden. Gemäß Aussagen des BSI, das sich auf Feststellungen des Sicherheitsunternehmens AV-Test beruft, hat sich die Gesamtzahl der festgestellten Schadprogrammvarianten in den Jahren 2014-2017 bereits mehr als verdoppelt (im Jahr 2014 326,04 Millionen, im Jahr 2017 719,15 Millionen Schadprogramme).
Für das Jahr 2018 wurde mit einem Gesamtaufkommen an Malware von mehr als 800 Millionen und einem durchschnittlichen Zuwachs von rund 390.000 neue Varianten pro Tag gerechnet. Dazu veröffentlichte das BSI im April 2019 die Ergebnisse der von der „Allianz für Cybersicherheit“ durchgeführten Cyber-Sicherheits-Umfrage. Danach sollen 43 % von den befragten großen Unternehmen angegeben haben, 2018 von Cyber-Sicherheitsvorfällen betroffen gewesen zu sein. Bei den kleinen und mittelständischen Unternehmen lag der Wert bei 26 %. Bei 53 % der von den Befragten berichteten Angriffsfälle soll es sich um Infektionen, bei denen Schadprogramme in betriebliche IT-Systeme eindrangen, gehandelt haben.27
Weitere Phänomene im Bereich Cybercrime sind:
- Digitale Angriffe auf Geldautomaten
- Ransomware – digitale Erpressung
- Botnetze – massenhafte Fernsteuerung von Computern
- Bei „Distributed Denial of Service“ (DDoS)-Angriffen werden massive Datenanfragen durch Botnetze an ausgewählte Server gestellt, bis die maximale Kapazität der attackierten Systeme erreicht ist und diese unter der Anfragelast „zusammenbrechen“.
- Mobile Malware
- Underground Economy – digitale Schwarzmärkte
- Digitale Währungen
- Technical Support Scams
- Supply-Chain-Attacks
- Cloud-Computing – zunehmende Vernetzung durch das Internet der Dinge
- Angriffe auf Kritische Infrastrukturen
Fazit
Cybercrime verursacht nach Angaben des BKA bei Bürgern, Behörden und Wirtschaftsunternehmen hohe materielle und immaterielle Schäden, die bis zur Existenzgefährdung reichen können. Millionenfacher Datendiebstahl, Manipulationen einer Vielzahl von technischen Geräten und die entsprechende Berichterstattung in den Medien führen zu einer deutlichen Beeinträchtigung des Sicherheitsgefühls der Bevölkerung. Einer Umfrage des BSI und des Programms Polizeiliche Kriminalprävention zufolge schätzten im Jahr 2018 etwa ein Drittel der Befragten ihre persönliche Gefahr, Opfer von Cybercrime zu werden, als hoch oder sehr hoch ein.28
Mit fortschreitenden Entwicklungen, wie dem Internet der Dinge/Internet of Things (IoT), Industrie 4.0, „Smart Home“ oder Automotive IT (AIT) und stark zunehmenden „adressierbaren“ Objekten im Internet wird das Spektrum potenzieller Ziele für Cyberkriminelle erweitert. Dabei wirken sich unzureichende Absicherungen sowie veraltete Technologien kriminalitätsfördernd aus.
Je umfassender sich die Gesellschaft in der digitalen Welt bewegt und je mehr Möglichkeiten diese bietet, desto mehr Tatgelegenheiten ergeben sich für Täter im Bereich Cybercrime. Das gesamte Bedrohungspotenzial Cybercrime lässt sich nach Angaben des BKA angesichts der rasanten Entwicklung und aufgrund der Tatsache, dass viele Attacken bzw. Straftaten im Dunkelfeld verbleiben, kaum abschätzen. So ist davon auszugehen, dass sowohl Fallzahlen als auch Schadenssummen sowie die Anzahl der Geschädigten weitaus höher sind, als es die polizeilichen Statistiken ausweisen.29
Quellen:
1 https://www.bmi.bund.de/DE/themen/sicherheit/kriminalitaetsbekaempfung-und-gefahrenabwehr/cyberkriminalitaet/cyberkriminalitaet-node.html (2.12.2019). Im folgenden vgl. Goertz, S. (2019): Cybercrime. In: Polizei Praxis 1/2019, S. 56-58.
2 Ebd.
3 https://www.bsi.bund.de/SharedDocs/FAQs/DE/BSI/faq_node.html;jsessionid=EEAF5BE3C8E0B641CDA5663F5B2E5EC3.1_cid341 (2.12.2019).
4 Ebd.
5 Ebd.
6 https://www.polizei.de/Polizei/DE/Einrichtungen/ZAC/zac_node.html (2.12.2019).
7 https://www.bmi.bund.de/DE/themen/sicherheit/kriminalitaetsbekaempfung-und-gefahrenabwehr/cyberkriminalitaet/cyberkriminalitaet-node.html (2.12.2019).
8 https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Aktivitaeten/Cyber-Abwehrzentrum/cyberabwehrzentrum_node.html (2.12.2019).
9 https://www.verfassungsschutz.de/de/arbeitsfelder/af-cyberabwehr (2.12.2019).
10 Ebd.
11 Ebd.
12 https://www.bnd.bund.de/DE/Die_Themen/Cybersicherheit/cybersicherheit_node.html (2.12.2019).
13 https://www.bmvg.de/de/themen/cybersicherheit/cyber-verteidigung/entwicklung-des-org-bereich-bei-der-bw (2.12.2019).
14 Bundeskriminalamt (2019): Cybercrime. Bundeslagebild 2018. S. 5.
15 Ebd.
16 Ebd., S. 6.
17 Ebd., S. 7.
18 Ebd.
19 Ebd.
20 Ebd., S. 8.
21 Ebd., S. 12.
22 Ebd.
23 Ebd., S. 13.
24 Ebd., S. 17-18.
25 Ebd., S. 18.
26 Ebd., S. 19.
27 Ebd.
28 Ebd., S. 49.
29 Ebd., S. 52-53.