Cyberkriminalität als Geschäftsmodell

Informationssicherheit wird immer wichtiger, weil die Hacker immer besser werden

Datum
13. März 2017
Autor

Zusammenfassung

Die Hacker von heute haben wenig mit den Hackern von früher zu tun. Sie wollen keine Schwachstellen aufdecken oder brisante Informationen enthüllen, sie wollen Geld erpressen. Sie sind professionell organisiert, teilen sich ihre Aufgaben auf und bieten ihren Kunden eine Servicequalität wie legitime Firmen. Geld-zurück-Garantie inklusive.

Die „guten“ alten Zeiten

Früher knackten Hacker Computer und Netzwerke, weil sie es konnten. Und um zu zeigen, dass sie es konnten. Wie Kevin Mitnick, bis heute wohl der bekannteste Hacker der Welt. Mitnick gehörte in den 1980er-Jahren unter dem Decknamen Condor zur Roscoe Gang. Er soll über 100 Mal in das Netzwerk des US-Verteidigungsministeriums und einige Male in das NSA-Netzwerk eingedrungen sein. Dafür wurde er 1988 zu zwölf Monaten Einzelhaft und einer dreijährigen Bewährungsstrafe verurteilt. Mitnick nutzte mit Social Engineering menschliche Schwächen aus (siehe „Der Mensch als Schwachstelle im System“). Heute ist er Buchautor und Sicherheitsberater …

400 Milliarden Dollar Schaden im Jahr

Seit Mitnick haben sich die Hacker verändert. Das bestätigte Trustwave-CEO Robert J. McCullen, als er im Frühjahr 2016 den „Trustwave Global Security Report“ vorstellte: „Die Cyberkriminellen organisieren sich seit Jahren. 2015 haben sie angefangen, sich zu professionalisieren und organisieren sich wie legitime Organisationen“. Die Zeiten, als Hacker aus Spaß an der Herausforderung Netzwerke knackten, sind endgültig vorbei. Cyberkriminalität ist heute ein lukratives Geschäft. In ihrer Studie „Taking the Offensive – Working together to disrupt digital crime“ schätzen KPMG und BT den Schaden durch Cyberkriminelle allein im Jahr 2015 auf rund 400 Milliarden Dollar.

Fünf Dollar für eine DDoS-Attacke

Die Cyberkriminellen haben sich ihre Arbeit aufgeteilt. Die einen suchen nach Schwachstellen und entwickeln Angriffsstrategien, die anderen programmieren Werkzeuge, um die Schwachstellen auszunutzen. Ihre Programme verkaufen sie auf dem Schwarzmarkt als Malware-as-a-Service. Eine DDoS-Attacke beispielsweise kostet im Durchschnitt rund fünf Dollar pro Stunde. Dafür bieten immer mehr Cyberkriminelle ihren Kunden einen professionellen Service: Ihre Webseiten haben Support- oder FAQ-Seiten und Kontaktmöglichkeiten, Anfragen werden an 365 Tagen im Jahr rund um die Uhr beantwortet. Es gibt sogar Hacker, die eine Geld-zurück-Garantie bieten.

Die Spur des Geldes

Rund um die Hacker hat sich ein Ökosystem entwickelt. Es gibt spezialisierte Cyberkriminelle, die Personal rekrutieren, aus- und weiterbilden, Treuhanddienstleistungen anbieten oder Lösegeld waschen. Die Spur des Geldes war die Achillesferse der ersten Hacker, die Firmen erpressten. In ein Netzwerk eindringen war für sie einfacher als das Geld kassieren und alle Spuren verwischen. Das hat sich mit Kryptowährungen wie Bitcoin schlagartig verändert. Die Lösegeldzahlungen sind anonym, die Ermittler finden keine Spuren, die sie verfolgen können. Das ist einer der Gründe, warum die Zahl der Erpressungen mit Ransomware in den letzten Jahren massiv gestiegen ist.

Zahlen oder nicht

Ein anderer Grund ist, dass Cyberkriminelle einfache Ziele bevorzugen. Früher mussten sie Käufer suchen. Heute verkaufen sie die Daten oder Kontrolle über die Systeme zurück an die Geschädigten. Viele Opfer zahlen lieber. Das ist meist einfacher, wie das Beispiel des Hollywood Presbyterian Medical Center zeigt. 2016 verschlüsselten Hacker alle Dateien und verlangten 9000 Bitcoins Lösegeld. Die Krankenhausleitung weigerte sich, das Lösegeld zu bezahlen, die Mitarbeitenden mussten sämtliche Formulare handschriftlich ausfüllen. Das ging nicht lange gut, das Krankenhaus einigte sich schließlich auf eine Lösegeldzahlung von 40 Bitcoins (siehe „Das Ransomware-Dilemma„).

Vorbeugen ist besser als heilen

Weil es so einfach ist, ein Netzwerk anzugreifen und beispielsweise Lösegeld zu erpressen, sind im Prinzip alle Firmen und Organisationen gefährdet. Darum sollten sich alle Gedanken machen, wie sie ihre Systeme, Prozesse und Daten schützen. Das beginnt mit einer Analyse, welche Daten gefährdet sind und wie sie wirtschaftlich und angemessen geschützt werden. Die Ergebnisse der Analyse sind die Basis für das Sicherheitskonzept und alle Maßnahmen. Je besser die Basisabsicherung, desto geringer die Gefahr von Attacken, weil Hacker gerne den Weg des geringsten Widerstands gehen. Das funktioniert aber nur, wenn Konzept und Maßnahmen regelmäßig kontrolliert und optimiert werden.

Agieren statt reagieren

Ein Managementsystem für Informationssicherheit nach ISO 27001 legt eine solide Basis für den strukturierten und umfassenden Schutz von Netzwerken, Systemen und Daten. Besonders wichtig ist die personelle Sicherheit. Wie zu Kevin Mitnicks Zeiten ist immer noch der Mensch die größte Schwachstelle. Darum ist es wichtig, alle Mitarbeitenden für das Thema Informationssicherheit zu sensibilisieren.

Mit wenigen einfachen Maßnahmen kann jeder das Risiko von Angriffen minimieren:

  • Alle Daten regelmäßig und redundant sichern
  • Betriebssystem und Applikationen laufend aktualisieren
  • Virenschutz mit Firewall installieren und regelmäßig aktualisieren