Lagebild Cybercrime - Hessen

Transkript

1 Lagebild Cybercrime - Hessen Cybercrime im Mittelstand (Lagebild Recht Lösungen) Veranstaltung der Industrie- und Handelskammer Hanau-Gelnhausen-Schlüchtern am Wiesbaden, den 12. November 2014

2 Referent KHK Axel Schröder 48 Jahre seit 1988 Hessisches Landeskriminalamt Gewalt-, Eigentums- und Rauschgiftdelikte Wirtschaftskriminalität IuK-Kriminalität (Cybercrime) 2

3 Kriminologische Betrachtung (Rahmenbedingungen) Phänomenologie - Tatzeit - Tatort - Tatopfer - Tatobjekt - Tatmittel - Tathergang - Täter Entstehungsprozess - Person - Individuelle Grundausstattung - Defizitäre Sozialisation - - Sozialkontrolle - Verbindlichkeit der Norm (Kollektivgefühl) - Informelle Sozialkontrolle - Anzeigeverhalten der Bevölkerung - Ermittlungsintensität - - Situation (Raum-Zeit-Bedingungen der Tatgelegenheit) - Konzentration und Kontrolle von Tatobjekten - Attraktivität und Abwehrkraft des Opfers - Opfer-Täter-Beziehung - Tatbeitrag des Opfers Verbrechensbekämpfung - Primärprävention - Ausführungsebene - Führung - Flankierende Maßnahmen - Kriminalpolitik 3

4 Internetnutzung 4

5 Internetnutzung 2014 ARD/ZDF- Onlinestudie 2014 in Mio. in % Gesamt 55,6 75,6 Männer 28,9 39,3 Frauen 26,8 36, J. 4,9 6, J. 9,8 13, J. 9,3 12, J. 12,4 16, J. 9,7 13,2 ab 60 J. 9,6 13,1 internet facts (AGOF e.v.) in Mio. in % Gesamt 55,6 75,7 Männer 29,2 39,7 Frauen 26,4 36, Jahre 2,8 3, Jahre 4,7 6, Jahre 9,5 12, Jahre 9,1 12, Jahre 11,5 15, Jahre 9,4 12, Jahre und älter 8,7 11,8 5

6 Internetnutzung 2014 (Quelle: D21 Digital-Index 2014) Rund Drei von vier Bundesbürgern nutzen aktuell das Internet (76,8%) 6

7 Internetnutzung 2014 nach Bundesländern (Quelle: D21 Digital-Index 2014) 7

8 Onlinenutzung - Nutzungsort 96,7 52,0 40,3 36,2 17,5 9,4 Zu Hause Unterwegs Am Arbeits-/ Ausbildungs-ort Woanders, bei Freunden/ Verwandten An öffentlichen Orten In der Schule/ an der Universität Basis: Fälle (Internetnutzer ab 14 Jahre letzte 3 Monate) An welchen Orten haben Sie in den letzten 12 Monaten das Internet genutzt? / Angaben in Prozent Quelle: AGOF e. V. / internet facts

9 Onlinenutzung - Schwerpunkt 41,0 33,7 14,2 11,0 Überwiegend privat Überwiegend beruflich, Schule/Studium Beides gleich Nur private oder nur berufliche Nutzung des Internets Basis: Fälle (Internetnutzer ab 14 Jahre letzte 3 Monate) Zu welchem Zweck nutzen Sie das Internet? / Angaben in Prozent Quelle: AGOF e. V. / internet facts

10 Onlinenutzung - thematische Schwerpunkte TOP 10 Suchmaschinen Private s versenden und empfangen 87,0 86,0 Nachrichten zum Weltgeschehen Online-Einkaufen bzw. -Shoppen Wetter 71,9 71,9 71,3 Regionale oder lokale Nachrichten 65,1 Online-Banking 58,0 Testergebnisse Essen, Trinken und Genießen Sportergebnisse, Sportberichte 44,5 41,7 40,6 Basis: Fälle (Internetnutzer ab 14 Jahre letzte 3 Monate) / Nutzen Sie diese Themen und Angebote häufig, gelegentlich, selten oder nie? / Top Two-Box: häufige oder gelegentliche Nutzung / Darstellung der Top 10 von insgesamt 22 Themen / Angaben in Prozent / Quelle: AGOF e. V. / internet facts

11 Onlinenutzung Onlineanwendungen 2014 mindestens einmal wöchentlich genutzt, in % Basis: Deutsch sprechende Onlinenutzer ab 14 Jahren (n=1 434). Quelle: ARD/ZDF-Onlinestudie

12 Der digitale Geschäftsalltag im Mittelstand (Quelle: DsiN Sicherheitsmonitor Mittelstand 2014) Die Nutzungsmöglichkeiten des Internets werden in nahezu allen Unternehmen praktisch gelebt (98%) -Kommunikation findet in 97% der Unternehmen statt Die deutlich gestiegene Verbreitung von Notebooks um 14%, von Smartphones/Netbooks um 8% und von Cloud-Computing um 5% bestätigen den Digitalisierungstrend auf breiter Front 12

13 Mobiler Zugriff auf das Unternehmensnetzwerk (Quelle: DsiN Sicherheitsmonitor Mittelstand 2014) Die mobile Anbindung der Kommunikation an die Unternehmensnetze hat sich nochmals verstärkt Besonders signifikant ist die Veränderung bei der Postfach- und Kalendersynchronisation um 22 % und der direkte Zugriff aufs Firmennetzwerk um 15 % Die Anzahl der Unternehmen, die überhaupt keinen externen Zugriff anbieten, ist hingegen im selben Zeitraum deutlich zurückgegangen (-16 %). 13

14 Geschäftliche Nutzung des Internets (Quelle: DsiN Sicherheitsmonitor Mittelstand 2014) Recherchearbeiten sind für 92 % der Befragten unabdingbar geworden und haben damit nochmals um 13 % seit 2011 zugelegt Online-Banking ist deutlich um 14 % angestiegen, ebenso die Verwendung eigener Websites und Kundenportale um 18 % auf jeweils 72 %. Steuermeldungen werden von 59 % der Nutzer elektronisch übertragen mit stark steigender Tendenz Insgesamt werden auch deutlich mehr schützenswerte und sensible Informationen über Internet und geschäftlich verarbeitet und versendet 14

15 Endgeräte 15

16 Internetzugang (Quelle: D21 Digital-Index 2014) Welche Geräte sind bei Ihnen mit dem Internet verbunden? 16

17 Internetzugang 17

18 Gerätenutzung beim Online-Banking (Quelle: ID21 Studie Online-Banking Sicherheit zählt!) 18

19 Risikoeinschätzung 19

20 Risikoeinschätzung Internetkriminalität (Quelle: D21 Digital-Index 2014) Wie hoch schätzen Sie Ihr persönliches Risiko ein, Opfer der folgenden Gefahren zu werden? 20

21 Angst vor Betrug als Barriere? (Quelle: ID21 Studie Online-Banking Sicherheit zählt!) 21

22 Die Risikowahrnehmung von Entscheidern aus Politik und Wirtschaft (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 22

23 Die Risikowahrnehmung von Entscheidern aus Politik und Wirtschaft (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 23

24 Gesellschaftliches Risikopotential von Cyber- und Datenrisiken aus Sicht der Entscheider (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 24

25 Risikowahrnehmung von Bevölkerung und Entscheidern im Vergleich (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 25

26 Risikowahrnehmung von Bevölkerung und Entscheidern im Vergleich (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 26

27 Verbreitete Zweifel an der Sicherheit von Cloud Computing (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 27

28 Mehrheit der Unternehmen stuft das Schadensrisiko durch einen Hackerangriff als (eher) gering ein (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 28

29 Schadensfälle/Sicherheitsvorfälle 29

30 Opfer Internetkriminalität 2014 (Quelle: D21 Digital-Index 2014) Wurden Sie schon einmal Opfer von Internetkriminalität? 30

31 Finanzielle Schäden durch Online-Banking (Quelle: ID21 Studie Online-Banking Sicherheit zählt!) 31

32 Häufigkeit von IT -Angriffen leicht gestiegen (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 32

33 Häufigkeit von IT -Angriffen hängt von Unternehmensgröße ab (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 33

34 In jedem zehnten Unternehmen gab es bereits Sicherheitsprobleme im Datenaustausch mit anderen Unternehmen (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 34

35 Hoher Schaden durch IT-Angriffe (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 35

36 Maßnahmen 36

37 IT-Schutzmaßnahmen (Quelle: DsiN Sicherheitsmonitor Mittelstand 2014) Datensicherung sowie auch das Einspielen von Sicherheitsupdates sind mit 97 % heute nahezu vollständig verbreitet Der reine Internet-Schutz etwa durch Firewalls liegt unverändert hoch bei 98 % Eine sichere Datenentsorgung im Unternehmen geben 93 % an Alarmierend ist hingegen die schwache Verbreitung sicherer - Kommunikation mit nur 43 % Insgesamt weist das Lagebild auf eine Vernachlässigung ganzheitlicher IT- Sicherheitskonzepte hin 37

38 Erhaltung der Betriebsfähigkeit (Quelle: DsiN Sicherheitsmonitor Mittelstand 2014) Die Anzahl derer, die ein Notfallkonzept vorhalten, verharrt bei unter 30 % Die Reaktionszeiten im Notfall geben nur 60 % der Betriebe als schnell an Über eine allgemeine Absicherung der EDV-Systeme verfügen nur zwei Drittel der Unternehmen 38

39 Organisatorische Maßnahmen (Quelle: DsiN Sicherheitsmonitor Mittelstand 2014) Die Vorkehrungen für eine Sensibilisierung von Mitarbeitern verharren auf relativ niedrigem Niveau mit starken Defiziten bei organisatorischen Vorkehrungen Nur 28 % der Unternehmen bieten regelmäßige Informationen und Schulungen zum sicherheitsbewussten Verhalten für ihre Mitarbeiter an Sicherheitskonzepte mit Mitarbeitermaßnahmen werden nur ausnahmsweise von der Geschäftsführung getragen 39

40 Nutzung von Sicherheitstechniken (Quelle: ID21 Studie Online-Banking Sicherheit zählt!) 40

41 Stellenwert der IT -Sicherheit nimmt mit der Unternehmensgröße zu... (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 41

42 hat aber im Vergleich zum Vorjahr tendenziell abgenommen (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 42

43 Zuständigkeit für die IT -Sicherheit im eigenen Unternehmen: Interne oder externe Lösung? (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 43

44 Erkenntnislage der Strafverfolgungsbehörden 44

45 Entwicklung der Cybercrime (im engeren Sinne) 2009 bis 2013 Vergleich Deutschland/Hessen (Quelle: Polizeiliche Kriminalstatistik PKS) Deutschland Hessen

46 Anzahl der Fälle Hessisches Landeskriminalamt Entwicklung der Cybercrime (im engeren Sinne) in Deutschland 2009 bis 2013 (Quelle: Polizeiliche Kriminalstatistik PKS) Ausspähen, Abfangen von Daten einschl. Vorbereitungshandlungen Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten Computerbetrug Datenveränderung, Computersabotage 5000 Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung Jahr 46

47 Anzahl der Fälle Hessisches Landeskriminalamt Entwicklung der Cybercrime (im engeren Sinne) in Hessen 2009 bis 2013 (Quelle: Polizeiliche Kriminalstatistik PKS) Ausspähen, Abfangen von Daten einschl. Vorbereitungshandlungen Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten 800 Computerbetrug Datenveränderung, Computersabotage Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung Jahr 47

48 Erfasste und aufgeklärte Delikte der Cybercrime (im engeren Sinne) 2009 bis 2013 in Hessen erfasst geklärt

49 Entwicklung der Internetkriminalität (Cybercrime im weiteren Sinne) 2009 bis 2013 Vergleich Deutschland/Hessen (Quelle: Polizeiliche Kriminalstatistik PKS) Deutschland Hessen

50 Erfasste und aufgeklärte Delikte der Internetkriminalität (Cybercrime im weiteren Sinne) 2009 bis 2013 in Hessen erfasst geklärt

51 Belastung durch Internetkriminalität (Cybercrime) Hellfeld-/Dunkelfeld in Deutschland Einwohner Internetnutzer Opfer von Internetkriminalität (Umfrage) Registrierte Straftaten (Internetkriminalität) Registrierte Straftaten (Cybercrime i.e.s.) 51

52 Belastung durch Internetkriminalität (Cybercrime) Hellfeld-/Dunkelfeld in Deutschland Anzahl Anteil in % (Basis: Einwohner) Anteil in % (Basis: Internetnutzer) Einwohner ,0 Internetnutzer ,6 100,0 Opfer von Internetkriminalität (Umfrage) ,4 23,0 Registrierte Straftaten (Internetkriminalität) ,4 0,5 Registrierte Straftaten (Cybercrime i.e.s.) ,1 0,1 52

53 Handlungsbedarf 53

54 Gut jeder dritte Entscheider hält die gesetzlichen Vorgaben für Unternehmen im Umgang mit Kundendaten für nicht ausreichend klar geregelt (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 54

55 Verstärkter Wunsch nach mehr Unterstützung durch den Staat bei der Bekämpfung durch IT-Angriffe (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 55

56 Einschätzung der Fachkompetenz in Politik und Verwaltung (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 56

57 Einschätzung der Fachkompetenz in Politik und Verwaltung (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 57

58 Skepsis unter den Politikern, ob Unternehmen auf die Gefahren für die IT-Sicherheit vorbereitet sind (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 58

59 Stärkerer Austausch zwischen Unternehmen zur Vorbeugung gegen IT-Angriffe vor allem von Seiten der Politik gefordert (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 59

60 Nur eine kleine Minderheit der Unternehmen ist in Initiativen zum Thema IT-Sicherheit eingebunden (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 60

61 Wunsch nach einer stärkeren Einbindung in Initiativen zum Thema IT Sicherheit (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 61

62 Konkrete Initiativen im Bereich IT-Sicherheit sind kaum bekannt (Quelle: Cyber-Security Report 2014 Deutsche Telekom/T-Systems) 62

63 Schnittstelle IT-Sicherheit/Cybercrime 63

64 Schnittstelle IT-Sicherheit/Cybercrime Vertraulichkeit Integrität Verfügbarkeit z.b. Ausspionieren vertraulicher Informationen durch z.b. Manipulieren von z.b. Sabotieren von Informationen oder IT-Diensten durch Abhören (z.b. Kabel, Funk, Netze) Direktzugriff (z.b. Hotel, Zoll) Diebstahl Abfangen kompromittierender Abstrahlung Ausspähen Wiederherstellung gelöschter Informationen Passive Reconnaissance Profiling Informationen Speichermedien IT-Diensten Software Kommunikationskanälen Schnittstellen oder Zugängen Zentralen/dezentralen/ externen Komponenten Internet-Strukturen Spezial-IT- Sicherheitskomponenten Denial of Service-Angriffe Physikalische Zerstörung Diebstahl Folie 64 64

65 Schnittstelle IT-Sicherheit/Cybercrime Vertraulichkeit Integrität Verfügbarkeit z.b. Ausspionieren vertraulicher Informationen durch z.b. Manipulieren von z.b. Sabotieren von Informationen oder IT-Diensten durch Straftaten 202a StGB Ausspähen von Daten 202b StGB Abfangen von Daten 202c StGB Vorbereiten des Ausspähens und Abfangens von Daten 303a StGB Datenveränderung 303b StGB Computersabotage 65

66 Grenzen strafprozessualer Ermittlungen im Cyberspace Unbegrenzte Freiheit oder grenzenlose Strafbarkeit 66

67 Nicht unterzeichnet Unterzeichnet, nicht in nationales Recht umgesetzt Unterzeichnet, in nationales Recht umgesetzt Finnland Norwegen Schweden Estland Russland NORDSEE Dänemark Lettland Litauen Kasachstan Irland Großbritannien Niederlande Weißrussland Polen ATLANTIK Deutschland Belgien Luxemburg Tschechien Slowakei Liechtenstein Österreich Ungarn Frankreich Schweiz Slowenien Kroatien Rumänien Ukraine Moldawien Georgien Armenien Aserbaidschan Portugal Spanien Andora Monaco San Bosnien/ Serbien Marino Herzegovina Italien Montenegro Albanien Kosovo Mazedonien Bulgarien Türkei Iran Griechenland Syrien Irak MITTELMEER Malta Zypern Libanon Israel Jordanien Saudi Arabien 67

68 68

69 Polizeiliche Maßnahmen 69

70 Innere Sicherheit in Hessen Repression Prävention Ermittlungen Recherche Gewaltpräventionsoffensive Polizeiliche Beratung Kooperationen Workshops Hessisches Landeskriminalamt Polizeipräsidien Hessisches Landeskriminalamt Netzwerk gegen Gewalt Hessisches Landeskriminalamt Polizeipräsidien HLKA BSI Netzbetreiber Provider LPR KJM jugendschutz.net BPjM Bekämpfung der Internetkriminalität in Hessen 70

71 71

72 Organisation des Hessischen Landeskriminalamtes Hauptsachgebiet 33 (Cybercrime, IuK-Forensik, Ermittlungsunterstützung) SG 331 SG 332 SG 333 SG 334 IuK-Ermittlungen, Cybercrime, Auswertung Task Force Internet (TFI), ASt. Kinderpornografie Forensische IuK, Ermittlungsunterstützung Netzwerkforensik Aufgaben Aufgaben Aufgaben Aufgaben Herausragende Ermittlungsverfahren der Computerkriminalität (Cybercrime) Zentrale Ansprechstelle Cybercrime (ZAC) Anlassunabhängige und verfahrensbegleitende Recherche in Datennetzen Kinderpornografie in Datennetzen Beratung, Unterstützung DV-technische Datenträgerauswertung Computer und Handys Behördengutachten Beratung, Unterstützung Sicherung, Auswertung flüchtiger Daten in Datennetzen Behördengutachten 72

73 Organisation in Hessen Fachkommissariate bei den Polizeipräsidien Fachbereiche im Hessischen Landeskriminalamt Personal in Hessen: Cybercrime-Ermittler und Auswerter - 30 IT-Spezialisten 73

74 Zuständigkeiten und Aufgaben Gesetzliche Aufgaben Strafverfolgung (originäre Zuständigkeit) Gefahrenabwehr (subsidiäre Zuständigkeit) Legalitätsprinzip Opportunitätsprinzip Standardmaßnahmen Standardmaßnahmen Durchsuchung, Beschlagnahme, Telekommunikationsüberwachung Durchsuchung, Beschlagnahme, Telekommunikationsüberwachung Anklage, Verurteilung Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung (dynamischer Rechtsgüterschutz) 74

75 Zuständigkeiten und Aufgaben Bürger KMU Industrie Single Point of Contact (SPOC) Maßnahmen Gefahrenabwehr Spezielle Ansprechpartner Polizeiliche Kriminalprävention Erfahrungswerte Ermittlungsmöglichkeiten Strafverfolgung Sensibilisierung Keine Unternehmensberatung! 75

76 Erfolgreiche Bekämpfung der Cybercrime Kooperationen mit der Wirtschaft Fachdienststellen Polizei/Justiz Internationale Zusammenarbeit Spezial-Fortbildung IT-Spezialisten 76

77 Abgestimmte Maßnahmen Operative Maßnahmen, Strafverfolgung Technische Prävention, Verhaltensprävention Gemeinsame realistische Lagebewertung 77

78 Prävention Polizeiliche Kriminalprävention 78

79 Handlungsempfehlungen für die Wirtschaft 79

80 Handlungsempfehlungen für die Wirtschaft 80

81 Zwischenbilanz Die Polizeiliche Kriminalstatistik (PKS) stellt offenbar kein realistisches Abbild der Cybercrime dar - Bei den registrierten Delikten handelt es sich im Wesentlichen um angezeigte Straftaten von Privatnutzern, die durch betrügerische Handlungen geschädigt wurden; - Angriffe auf Unternehmen werden häufig nicht angezeigt; - Insbesondere die IT-Sicherheits-bezogenen Delikte (Ausspähen und Abfangen von Daten, Datenveränderung, Computersabotage) lassen aufgrund der vorliegenden Hintergrundinformationen ein enorm hohes Dunkelfeld vermuten. Angriffe (Hellfeld) gg. KMU unterscheiden sich kaum von denen gegen Privatanwender - Mitarbeiter können als Privatanwender (ext. Netzzugang) als Einfallstor in Firmennetzwerke dienen; - Mit relativ einfachen Mitteln (Verhaltensschulung, Ändern von Standardpasswörtern, Deaktivieren von Plugins ) lassen sich Risiken bedeutend mindern; - Für den Schutz sensibler Unternehmensdaten bedarf es eines individuellen Sicherheitskonzeptes. 81

82 Szenarien Grundlagen und Fallbeispiele 82

83 Grundlagen Schadprogramme (Malware) 83

84 Schadprogramme (-software) (Quelle: BSI-CS 107 Version 2.0 vom ) Definition - Schadsoftware (Malware) ist Software, die bei Ausführung auf dem Zielrechner schädliche Operationen ausführt. - Dabei werden je nach Funktionalität weitere Unterkategorien (z.b. Viren, Würmer, Trojanischer Pferde) unterschieden. Allerdings besteht moderne Schadsoftware vielfach aus einer Kombination verschiedener Funktionalitäten, ist modular aufgebaut und durch Nachladen weiterer Schadcodes dynamisch veränderbar. 84

85 Schadprogramme (-software) (Quelle: BSI-CS 107 Version 2.0 vom ) Bedeutung - Im Juni 2014 wurden in Deutschland von einem einzigen AV-Hersteller allein rund 440 Tausend Infektionen durch Schadprogramme gezählt, d.h. diese Schadprogramme wurden von keiner technischen Maßnahme abgefangen und gefährdeten den Endnutzer. - Täglich werden min der neuen Schadprogramm-Varianten gesichtet. Die Zeitspanne, bis neue Schadprogramme von AV-Produkten erkannt werden, beträgt mehrere Stunden bis hin zu Tagen. In dieser Zeit ist der Rechner ungeschützt. - Windows-Plattformen sind von Schadprogrammen mit ca. 95% am meisten betroffen. Schadprogramme für mobile Endgeräte greifen zu ca. 98% Android-Plattformen an. - Die häufigsten Verbreitungswege von Schadprogrammen sind Drive-by-Exploits (z.b. Werbebanner) gefolgt von Spam-Mails und Botnetzen. Beim Ranking nach Schadprogrammtypen liegen Adware und Trojaner vorne. 85

86 Schadprogramme (-software) (Quelle: BSI-CS 107 Version 2.0 vom ) Motive - Erpressung, Organisierte Kriminalität (Ransomware, FakeAV) - Spam-Versand - Betrug (z.b. Anzeigen-Clicks und Seiten-Impressionen steigern (Adware)) - Ruhm und Ehre (Proof-of-Concept) - Spionage bzw. Industriespionage - Datendiebstahl (z.b. Bitcoins oder Dreditkartendaten) - Sabotage und Terrorismus (z.b. durch Angriffe auf Kritische Infrastrukturen) - Politisch motiviert (z.b. Hacktivismus) - Erpressung, Sabotage (z.b. mittels DDoS-Angriffen) - Erzeugung von Botnetzen (zum direkten Angriff oder zur Untervermietung) 86

87 Schadprogramme (-software) (Quelle: BSI-CS 107 Version 2.0 vom Malware versus Schwachstelle - Eine Bedrohung durch die von den Tätern verbreiteten Schadprogramme kann nur dann ein Unternehmen schädigen, wenn eine Schwachstelle beim Angriffsziel besteht - Ausnutzbare Schwachstellen sind z.b. - offene Software-Schwachstellen - falsche bzw. nicht sichere Konfiguration von Systemen - fehlende Schulung oder Sensibilisierung der Anwender - Maßnahmen - Für eine erfolgreiche Abwehr müssen sowohl technische, personelle als auch organisatorische Schwachstellen geschlossen werden. - Es reicht nicht aus, nur Fehler in der Technik zu vermeiden oder nur die Nutzer zu sensibilisieren. 87

88 Schadprogramme (-software) (Quelle: BSI-CS 107 Version 2.0 vom ) Verbreitungswege - Die Infektion des Rechners kann erfolgen - über eine infizierte Web-Seite (Drive-by-Exploit) - mittels Download von Schadcode über einen Link (z.b. aus einem Sozialen Netzwerk) - durch Öffnen eines -Anhanges mit Schadprogrammen - durch eine mit einem Schadprogramm infizierte Hardware (z.b. USB-Stick, CD) oder ein Gerät (z.b. Handy oder Server) 88

89 Schadprogramme auf mobilen Endgeräten (Quelle: BSI-CS 107 Version 2.0 vom ) Verbreitung von Schadprogrammen - Trend: Schadprogramme in Apps - Die Infektion von mobilen Endgeräten mit Schadprogrammen erfolgt über - Links in s oder SMS (z.b. vom Banking-Trojaner des infizierten PC) - schadhafte Apps im App-Store (z.b. über unbekannte App-Stores) - direkte Downloads im Web - Drive-by-Exploits - (vor-) infizierte Neueräte 89

90 Trends (Quelle: BSI-CS 107 Version 2.0 vom ) Infektionsmöglichkeiten von vielfältigen Geräte-Typen Neue Malware-Bedrohungen durch die Kopplung von Netzen und Geräten Mobile Betriebssysteme (z.b. Android) findet neben dem Einsatz in Mobiltelefonen auch Verwendung in - Tablets (62% aller verkauften Tablets in 2013 wurden mit Android ausgeliefert) - Fotokameras (z.b. Samsung Galaxy Kamera) - Spielkonsolen /z.b. Ouya) - Autos (Android Car) - Telefonanlagen - Automaten (z.b. Spiel-, Geld- und Fahrscheinautomaten) - Kassensystemen - medizinischen Messgeräten und Sensoren 90

91 Grundlagen Drive-by-Exploits 91

92 Drive-by-Exploits (BSI-CS 078 Version 2.00 vom ) Definition - Sogenannte Drive-by-Expoits bezeichnen die automatisierte Ausnutzung von Sicherheitslücken auf einem PC im Vorbeisurfen. - Dabei werden beim Betrachten einer Webseite ohne eine weiter notwendige Anwenderinteraktion Schwachstellen im Browser, in Browser-Plug-ins oder Betriebssystem ausgenutzt, um Schadprogramme wie etwa Trojaner unbemerkt auf dem PC des Webseiten-Besuchers zu installieren. 92

93 Drive-by-Exploits (BSI-CS 078 Version 2.00 vom ) Bedeutung - Drive-by-Exploits stellen aus Sicht von Cyber-Kriminellen eine effiziente Möglichkeit dar, um eine große Anzahl von PCs mithilfe von präparierten Webseiten oder Werbebannern automatisiert mit Schadprogrammen zu infizieren. - Es ist laut dem länderspezifischen Microsoft Security Intelligence Report (SIR) Nr. 16 davon auszugehen, dass in Deutschland hochgerechnet etwa 2,1 % aller Webseiten eine Gefahr für die Webseiten Besucher darstellen. - Darunter befinden sich Phishing-Webseiten, Webseiten zur Speicherung von Schadprogrammen sowie Drive-by-Exploit-Webseiten. Inzwischen sind nicht nur dubiose, sondern überwiegend legitime Webseiten betroffen. - Neben auf Masse zielenden Angriffen existieren die sogenannten Watering-Hole-Angriffe, bei denen gezielt Webseiten präpariert werden, die für eine anzugreifende Organisation von besonderem Interesse sind und regelmäßig von Mitarbeitern besucht werden. Dies ist ein gefährliches Einfallstor, durch das die Angreifer in das interne Netz einer Organisation eindringen und dort weitere Angriffe starten können. - Die EU-Agentur ENISA identifizierte in dem ENISA Threat Landscape Report 2013 Driveby-Exploits wie bereits im Jahr zuvor als die größte Cyber-Bedrohung. 93

94 Drive-by-Exploits (BSI-CS 078 Version 2.00 vom ) Abbildung: Beispiel einer Schadprogramm-Infektion per Drive-by-Exploit (Quelle: BSI) 94

95 Drive-by-Exploits (BSI-CS 078 Version 2.00 vom ) Infektionsarten - Infektionen über kompromittierte Webseiten - Die Beobachtungen in den letzten Monaten und Jahren haben gezeigt, dass Drive-by- Exploits kein ausschließliches Problem von dubiosen Webseiten sind, sondern legitime Webseiten ebenso betroffen sind - Infektionen über kompromittierte Werbebanner 95

96 Drive-by-Exploits (BSI-CS 078 Version 2.00 vom ) Watering-Hole-Angriffe - Watering-Hole-Angriffe verfolgen das Ziel, eine ganz bestimmte Organisation mithilfe von Drive-by-Exploits zu infizieren, um in das interne Netz einzudringen. - Dazu ermitteln die Cyber-Kriminellen, Wirtschaftsspione oder staatlichen Stellen/Dienste zunächst Webseiten, die für die anvisierte Organisation relevant sind. - Im Anschluss analysieren die Angreifer, inwiefern die ausgewählten Webseiten verwundbar sind, um sie mit Drive-by-Exploits zu versehen. Es ist insbesondere bei einem mangelhaften Patch-Management auf den Client-Systemen der Organisation nur eine Frage der zeit, bis eine Infektion eines Mitarbeiter-Rechners erfolgt. - Die Drive-by-Exploits sind bei diesen gezielten Angriffen häufig so programmiert, dass sie nur genau auf die anzugreifende Organisation abzielen. Dazu können die Angreifer die Ausführung der Exploits auf bestimmte Rahmenbedingungen einschränken, etwa welche Quell-IP-Adresse die Organisation verwendet, welcher Browser inkl. Erweiterungen zum Einsatz kommt oder von welcher Webseite aus die Verlinkung erfolgt (Prüfung des HTTP- Referers). 96

97 Drive-by-Exploits (BSI-CS 078 Version 2.00 vom ) Watering-Hole-Angriffe - Gelingt es den Angreifern mittels eines Watering-Hole-Angriffs, einen PC in der Organisation zu infizieren, befinden sie sich bereits im internen Netz und können von dort aus weitere Angriffe durch die Ausnutzung von lokalen Schwachstellen starten, etwa eine Privilegieneskalation zum Erlangen weitergehender Zugriffsrechte. - Ablauf eines Watering-Hole-Angriffs - Identifikation der für die Organisation relevanten Webseiten, - Schwachstellen-Scan der ausgewählten Webseiten, - Manipulation der verwundbaren Webseiten mit Drive-by-Exploits, - Kompromittierung von ausgewählten Webseitenbesuchern. 97

98 Grundlagen Identitätsdiebstahl 98

99 Identitätsdiebstahl (Quelle: BSI-CS 101 Version 2.0 vom ) Begriff - In der Informationstechnik kann die Identität einer Person als eine Menge von Daten definiert werden - Die Menge umfasst die kennzeichnenden Merkmale dieser Person und ist abhängig von den herrschenden Rahmenbedingungen - Die Person ist durch die kennzeichnenden Merkmale von anderen Personen unterscheidbar - Die Identität einer natürlichen Person im Internet wird je nach den herrschenden Rahmenbedingungen z.b. durch folgende Informationstypen repräsentiert: - Nutzername und Passwort - Bank- oder Kreditkarteninformationen - PIN-TAN-Kombinationen - -Adressen - Zertifikate 99

100 Identitätsdiebstahl (Quelle: BSI-CS 101 Version 2.0 vom ) Begriff - - Verschafft sich ein Täter Zugang zu solchen Daten, so spricht man von Identitätsdiebstahl obwohl genau genommen die Daten nur kopiert werden und das Opfer seine (Online-) Identität in der Regel weiter verwenden kann. - Werden die Daten nicht nur gestohlen, sondern im entsprechenden Kontext vom Täter eingesetzt, spricht man von Identitätsmissbrauch. 100

101 Identitätsdiebstahl (Quelle: BSI-CS 101 Version 2.0 vom ) Methoden - Installation von Schadprogrammen über Drive-by-Exploits - Phishing (z.b. Fälschung von Webseiten oder s) - Einbruch auf Servern und Kopieren der Anmeldeinformationen - Pharming (Änderung von Informationen des Domain Name Systems zwecks Umleitung auf einen Server des Angreifers) - Nutzung von Keyloggern oder Spyware (vgl. Schadprogramme) 101