Cybercrime Bekämpfung der Cybercrime aus Sicht des BKA KOR Michael Kraus, Mag. rer. publ. BKA - Referat Operative Auswertung Cybercrime 1 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Definition Cybercrime 202a, 202b, 202c StGB 263a StGB 269, 270, 271, 274, 348 303a, 303b StGB Cybercrime umfasst die Straftaten, die sich gegen das Internet weitere Datennetze, informationstechnische Systeme oder deren Daten richten. Bei allen Straftaten denkbar, StGB, UrhG, BDSG, etc. Cybercrime umfasst auch Straftaten, die mittels dieser Informationstechnik begangen werden. 2 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
PKS-Entwicklung Straftaten im im Internet Internet (mit Aufklärungsquote) (mit Aufklärungsquote) 79,8% 75,7% 71,0% 65,1% 60,1% 61,6% 3 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
PKS-Entwicklung Cybercrime im im engeren Sinne (mit Aufklärungsquote) 37,5% 35,2% 33,0% 30,0% 26,5% 25,3% 4 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Dunkelfeld Straftaten werden bereits im Versuchsstadium von Sicherheitssoftware verhindert Broschüre für die Wirtschaft User erkennen oft eine Infektion mit Malware nicht Straftaten werden oft nicht angezeigt, wenn kein bzw. nur ein geringer Schaden vorliegt Firmen befürchten einen Reputationsverlust Konkurrenzaspekte Fehlendes Vertrauen in polizeiliche Arbeit 5 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Übersicht über die Phänomene Computerbetrug Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten Datenveränderung, Computersabotage Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung Ausspähen/Abfangen von Daten 6 09.10.2014 BaFin: Informationsveranstaltung: IT-Aufsicht bei Banken
Phishing im Onlinebanking Ausgangslage 44 % der Deutschen über 18 Jahre (> 27 Mio.) nutzen Online- Banking Bei Privatbanken liegt der Anteil der Online-Banking Konten bei 55% Verschiedene Sicherungsverfahren (TAN, itan, mtan, etan, HBCI, ) In 2013 Steigerung der Fallzahlen um 19% auf 4091 Fälle 7 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Was unternimmt das BKA dagegen? Zentralstellenaufgaben Nationale Koordination von Ermittlungsverfahren Leitertagung Cybercrime Untertstützung der Gremienbefassung KKB/KOK, Politikberatung Nationales Cyber-Abwehrzentrum zentrale Phänomenaufklärung operative Auswertung des SMD Cybercrime Herausgabe von Warnmeldungen G8-Kontaktpunkt für nationale Dienststellen Kooperation mit Privaten (ippp) 8 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Was unternimmt das BKA dagegen? Internationale Zusammenarbeit G8 24/7-Netzwerk Vertrauensvolle Direktkontakte (USA, Ukraine, GB, Niederlande, Frankreich) und ITF BKA-VB Interpol, Europol, EC3, EMPACT, JCAT 9 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
J-CAT (Joint Cybercrime Action Task Force) Start der Pilotphase: 01.09.2014 Teilnehmer: Deutschland, United Kingdom, Australien, USA, Spanien, Frankreich, Niederlande, Kolumbien, Kanada, Italien, Österreich, EUROPOL (EC3) Cyber-Experten als Verbindungsbeamte Selektion und Aufbereitung von Cybercrimefällen Aufbereitung bis zur Ermittlungsreife 10 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
J-CAT (Joint Cybercrime Action Task Force) Aktuelle Themen: Counter Anti Virus Bullet-Proof-Hoster Mobile Malware Kriminelle Cashout-Services Schadsoftware gegen Banken 11
Was unternimmt das BKA dagegen? BKA als Ermittlungsbehörde Originäre Ermittlungszuständigkeiten, 4 I Nr. 5 BKAG Auftragszuständigkeiten Bearbeitung umfangreicher eingehender RHE Ausbau der Cybercrime-Kapazitäten im BKA Stärkung der Operativkompetenzen Cybercrime in der Abteilung SO Integration von Cyberanalysten (Informatiker), sog. Tandem-Lösung Stärkung der Serviceleistungen der Abteilungen KI und KT Umsetzung der Strategie zur Cybercrimebekämpfung 12 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Strategische Ansätze und Maßnahmen hier: präventiv Verantwortungsbewusste Anbieter und Entwickler Verankerung von Sicherheit als Unternehmensziel Einführung von Sicherheit als Vergabestandart Support für Kunden Veröffentlichung von Sicherheitslücken Verpflichtung der Nutzer zu aktueller AV-Software und Firewalls in AGB 13 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Strategische Ansätze und Maßnahmen hier: präventiv Kompentente private/professionelle Anwender Gemeinsame Plattform im Internet zur Aufklärung Sensibilisierung nicht nur über das Internet, sondern auch über klassische Medien PC-Führerschein Einführung eines Mindeststandards für den IT-Grundschutz für Private und Mittelstandsunternehmen 14 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Strategische Ansätze und Maßnahmen hier: repressiv Optimaler Informationsaustausch Intensivierung der internationalen Kooperationen Nationales Cyberabwehrzentrum (BSI, BBK, BfV, BKA, BPol, ZKA, BW) Nationale Kooperationsstelle Cybercrimebekämpfung Zentrale Ansprechstellen in Bund und Ländern Leitertagung Cybercrime Verpflichtung zur Information bei Angriffen auf Daten 15 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Strategische Ansätze und Maßnahmen hier: repressiv Wirksame Kriminalitätsbekämpfung Einrichtung von Fachdienststellen Qualifizierung der Justiz Fortentwicklung des Rechts 16 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Einrichtung einer ippp Strategie der Bekämpfung der Cybercrime: Wirtschaft bemängelte fehlende zentrale polizeiliche Ansprechpartner und mangelnden Informationsaustausch Auftrag aus der Innenministerkonferenz: Einrichtung einer zentralen Stelle auf Bundesebene zur institutionalisierten Zusammenarbeit (ippp) Vereinsgründung durch 3 Banken am 07.11.2013 Zeichnung der Kooperationsvereinbarung am 21.01.2014 17 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
G4C - German Competence Center against Cyber Crime Unterzeichnung der Kooperationsvereinbarung am 21.01.2014 18 09.10.2014 BaFin: Informationsveranstaltung: IT Aufsicht bei Banken
Eine Strafanzeige lohnt sich - Kenntnis nur wenn nötig - Bestreben der Polizei im Rahmen der Ermittlungs- und Tatortarbeit jede unnötige Erregung von Aufmerksamkeit (firmenintern und/oder öffentlich) zu vermeiden - Eine Vielzahl von Rechtsnormen ermöglichen eine verdeckte Informationsbeschaffung - Die verdeckte Ermittlungsphase umfasst in komplexen Verfahren oft lange Zeiträume bis hin zu mehreren Jahren -> bei Eintritt in die offene Phase ist oftmals kein gesteigertes mediales Interesse an dem Sachverhalt mehr vorhanden - Die Geschäftsleitung ist erster Ansprechpartner - Befragungen/ Vernehmungen können zur Wahrung der Diskretion wahlweise am Arbeitsplatz oder einem neutralen Ort erfolgen - Datensicherung: Die Hardware muss hierbei nicht zwingend sichergestellt bzw. beschlagnahmt werden -> Spiegelung der Daten ohne Betriebsabläufe wesentlich zu beeinträchtigen 19 09.10.2014 BaFin: Informationsveranstaltung: IT-Aufsicht bei Banken
Eine Strafanzeige lohnt sich - Der Aspekt Imageschaden ist der Polizei bekannt > es wird versucht, diesem durch die Anpassung der polizeilichen Maßnahmen zu begegnen. - Z.B. Nur so viele Beamte vor Ort wie nötig - Wenn es vermeidbar ist, wird auf den Einsatz uniformierter Beamter verzichtet - Während laufender Ermittlungen erfolgt durch Polizei bzw. Staatsanwaltschaft in der Regel keine Öffentlichkeitsarbeit - Die Polizei kann Straftaten nur aufklären, von denen sie Kenntnis erhält - Die Identifizierung, ggf. Festnahme und Anklage von Straftätern entfaltet neben der individualpräventiven auch eine abschreckende Wirkung auf die kriminelle Community, insb. auf potenzielle Nachahmungstäter - Darüber hinaus dienen die Erkenntnisse aus Straftaten als Grundlage zur Optimierung bestehender und Endwicklung neuer Präventions- und Bekämpfungsstrategien 20 09.10.2014 BaFin: Informationsveranstaltung: IT-Aufsicht bei Banken
Vielen Dank für Ihre Aufmerksamkeit! Michael Kraus Kriminaloberrat Stellvertretender Leiter SO 41 Tel.: 0611/55-15535 E-Mail: michael.kraus@bka.bund.de BKA, 65173 Wiesbaden 21 09.10.2014 BaFin: Informationsveranstaltung: IT-Aufsicht bei Banken