Cybercrime - Angriffsformen, Schutzmaßnahmen und Notfallmaßnahme
Cyber-Angriffsformen
Phishing
Cyber-Kriminelle verschicken betrügerische Nachrichten per E-Mail, über Messenger oder über soziale Netzwerke. Sie fordern Nutzerinnen und Nutzer dazu auf, vertrauliche Informationen wie Passwörter, Zugangsdaten oder Kreditkartennummern preiszugeben. Angeschriebene sollen auf einen Link klicken. … Sie Zahlungsdaten weitergegeben haben: Sperren Sie Ihr Bankkonto. Kontrollieren Sie die Umsätze Ihres Bankkontos und setzen Sie sich mit Ihrer Bank in Verbindung. Nutzen Sie nach der Entsperrung ausschließlich neue Passwörter und PINs für Ihr Konto. Die Gefahr: Die angegebenen Links führen auf gefälschte Internetseiten, auf denen die Daten abgegriffen werden. Die Nachrichten wirken täuschend echt, die Absender seriös. Viele Empfänger schöpfen daher keinen Verdacht und geben ihre Daten den Kriminellen preis.
Ransomware und Verschlüsselungstrojaner
Von Ransomewareangriffen spricht man, wenn Täter sich über Schadsoftware Zugang zu Unternehmensdaten verschaffen, diese für das Unternehmen verschlüsseln und nur gegen ein Lösegeld wieder freigeben.
Um Zugriff auf die IT-Infrastruktur eines Unternehmens zu erlangen, nutzen Cyberkriminelle alle typischen Verbreitungswege von Schadsoftware. Oftmals versenden die Täter zahlreiche E-Mails mit Anhängen an Mitarbeitende des Unternehmens. Manchmal kommt es zuvor auch zu Anrufen, in denen der Versand einer Datei angekündigt wird, um das Misstrauen gegenüber den unbekannten Absendern im Vorweg abzubauen.
Die Anhänge haben meist unverfängliche Dateinamenserweiterungen wie .zip, .doc oder .pdf. Hierbei kommt der Schadsoftware zu Gute, dass Windows per Voreinstellung die Dateinamenserweiterung bei bekannten Dateitypen ausblendet. Eine Datei mit dem Namen xxx.doc.exe wird somit als xxx.doc dargestellt. Nach dem Deaktivieren dieser Windows-Funktionalität erkennt man die tatsächlichen Dateiendungen, die oftmals auf ausführbare Dateien hinweisen (.exe, .com, .js, .bat, .vbs,…).
Eine Zeit lang wurden diese Verschlüsselungstrojaner als sehr echt wirkende Bewerbungsschreiben versendet. Mittlerweile ist eine Vielzahl von Spam-Emails mit unterschiedlichsten Betreff-Angaben und Inhalten bekannt.
Durch das Öffnen des Anhangs werden die Daten des Rechners und erreichbare Netzwerklaufwerke verschlüsselt und können bis auf weiteres nicht mehr genutzt werden. Ziel der Täter ist es, ein Lösegeld zu erpressen. Bei Bezahlung des Lösegelds wird die Übersendung des Entschlüsselungscodes in Aussicht gestellt.
Häufig verschlüsseln die Täter allerdings nicht direkt die Daten des Rechners, sondern verschaffen sich nach und nach Zugriff zu weiteren Teilen der IT-Infrastruktur des Unternehmens. So waren Täter in bekannten Ransomware-Fällen nicht selten Wochen und Monate unbemerkt im Netzwerk der betroffenen Unternehmen, bevor die Daten verschlüsselt und die Lösegeldforderung gestellt wurden.
Wie Sie sich vor solchen Angriffen schützen können
- Achten Sie auch bei scheinbar korrekten Emails beim Öffnen von Anhängen oder Anklicken von Links auf die tatsächliche Dateiendung oder deaktivieren Sie ggf. die automatische Ausblendung der Dateinamenserweiterung in Windows.
- Führen Sie regelmäßige Datensicherungen durch und kontrollieren Sie diese auf Verfügbarkeit. Achten Sie darauf, dass die Schadsoftware nicht auf die Datensicherung zugreifen kann (z.B. durch eine physikalische Trennung nach Abschluss der Sicherung).
- Falls Sie einen Befall bemerken, trennen Sie den betroffenen Rechner schnellstmöglich vom Netzwerk.
- Konfigurieren Sie Ihre Office-Programme so, dass Makros nicht oder erst nach Rückfrage ausgeführt werden.
- Versuchen Sie, alle Programme auf Ihren Systemen zeitnah mit Updates zu versorgen.
- Aktualisieren Sie regelmäßig und in kurzen Abständen Ihren Virenscanner.
Versuchte Erpressung durch angedrohte DDos-Attacken
Ein DoS (Denial of Service) kann verschiedene Gründe haben. Physische nicht-Erreichbarkeit ist ebenso eine mögliche Ursache, wie eine ungewollte Überlastung des Systems oder aber ein mutwilliger Angriff.
Eine mutwillige Überlastung wird meist unter Zuhilfenahme eines Botnetzes hervorgerufen. Dabei werden vom Täter vorher gekaperte IT-Systeme zusammengeschlossen und zeitgleich auf das Ziel losgelassen. Sollte es sich bei dem Ziel um einen Host handeln, so verursacht die große Menge von Anfragen eine sehr langsame Reaktionszeit. Die Dienste oder Webseiten des Hostes sind in diesem Falle für legitime Nutzer - wenn überhaupt - nur mit starken Verzögerungen erreichbar. Dies bezeichnet man als DDoS (Distributed Denial of Service).
In einigen Fällen setzen Angreifer nicht nur auf die schiere Masse von Anfragen, sondern versuchen gezielt Programmfehler im Zielsystem auszunutzen. So werden die Ziele nicht nur verlangsamt sondern können Fehlverhalten bis hin zu Abstürzen erleiden.
CEO-Fraud
Bei dieser Variante geben sich die Betrüger als Geschäftsführer der Firma aus und fordern Mitarbeiter der Buchhaltung per E-Mail auf, schnell und diskret eine Überweisung auszuführen. In einer neuen Variante wird die Nummer des Telefonanschlusses des Geschäftsführers im Display angezeigt.
In Zeiten der IP-Telefonie ist es einfach, einen Telefonanschluss so zu manipulieren, dass beim Angerufenen eine andere Telefonnummer als die tatsächliche angezeigt wird. Das nennt man Call-ID-Spoofing. Betrüger geben sich auch als Polizisten aus, als Mitarbeiter der Deutschen Rentenversicherung, der Verbraucherzentrale oder von Microsoft oder eben als Geschäftsführer. Die Anrufer arbeiten aber tatsächlich bei keiner der genannten Einrichtungen, sondern meist in einem Call-Center und agieren in der Regel in betrügerischer Absicht. Denkbar ist auf diese Art und Weise auch ein nachrichtendienstlicher Angriff zum Zwecke der Ausforschung von Mitarbeitern sowie Unternehmen.
Diese Betrugsmasche ist leider schon seit geraumer Zeit in verschiedensten Ausprägungen sehr erfolgreich. Deshalb sollten Sie beim geringsten Zweifel über den Anrufer, diesen über die ihnen bekannte Nummer zurückrufen. Aber nutzen Sie nicht die Rückruffunktion ihres Telefons, sonst könnten Sie wieder bei dem Angreifer landen. Sie müssen die Telefonnummer händisch selbst eingeben.
Zum Schutz vor dieser Betrugsmasche rät das LKA 54:
- Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich sind bzw. wo und was Sie und Ihre Mitarbeiter im Zusammenhang mit Ihrem Unternehmen publizieren.
- Gehen Sie in sozialen Netzwerken und Karriereportalen restriktiv mit persönlichen Daten um. Dies gilt insbesondere dann, wenn Sie in leitender Funktion eines Unternehmens tätig sind oder über Zahlungsberechtigungen verfügen.
- Führen Sie klare Abwesenheitsregelungen und interne Kontrollmechanismen ein.
- Sensibilisieren Sie die Mitarbeiter Ihres Unternehmens dahingehend, keine hausinternen Telefondurchwahlen oder persönliche E-Mail-Adressen der Geschäftsführung oder der Zahlungsberechtigten preiszugeben.
- Führen Sie immer Plausibilitätsprüfungen durch, bevor Sie sensible Daten an Dritte übermitteln. Seriöse Anrufer können sich durch Angabe eines tatsächlich existierenden Aktenzeichens oder einer Rechnungsnummer legitimieren.
- Gehen Sie in sozialen Netzwerken und Karriereportalen restriktiv mit persönlichen Daten um. Dies gilt insbesondere dann, wenn Sie in leitender Funktion eines Unternehmens tätig sind oder über Zahlungsberechtigungen verfügen.
- Entwickeln Sie in Ihrem Unternehmen Standards, welche die Verfahrensweise bei atypischen und ungewöhnlichen Zahlungsaufforderungen beschreiben. Die Einführung des Vier-Augen-Prinzips wäre beispielsweise eine geeignete Möglichkeit.
Checklisten für den Ernstfall vom BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auf seiner Seite verschiedenen Checklisten und weiterführende Links rund ums das Thema “Was tun im Ernstfall?” zusammen gestellt.
Kontakt zum Service Center (Hotline)
Über die kostenfreie Hotline-Nummer erhalten Betroffene Unterstützung. Hier wird Ihnen geholfen, den IT-Sicherheitsvorfall richtig einzuschätzen und am richtigen Glied der Digitalen Rettungskette einzusteigen.
Montag bis Freitag von 08:00-18:00 Uhr
Telefon: 0800 274 1000
E-Mail: service-center@bsi.bund.de
Über die kostenfreie Hotline-Nummer erhalten Betroffene Unterstützung. Hier wird Ihnen geholfen, den IT-Sicherheitsvorfall richtig einzuschätzen und am richtigen Glied der Digitalen Rettungskette einzusteigen.
Montag bis Freitag von 08:00-18:00 Uhr
Telefon: 0800 274 1000
E-Mail: service-center@bsi.bund.de
Das BSI hat verschiedene Pläne für IT-Sicherheitsvorfälle. Anbei der Schnelleinstieg auf die Übersichtseite des BSI.
Weitere Listen des BSI sind:
Vorfall - Checkliste Organisatorisches
Vorfall - Checkliste Technik
Erste Hilfe bei einem schweren IT-Sicherheitsvorfall
Hilfe vom Cyber-Sicherheitsnetzwerk (Suche nach IT-Sicherheitsdienstleister oder Ersthelfern nach PLZ)
Weitere Listen des BSI sind:
Vorfall - Checkliste Organisatorisches
Vorfall - Checkliste Technik
Erste Hilfe bei einem schweren IT-Sicherheitsvorfall
Hilfe vom Cyber-Sicherheitsnetzwerk (Suche nach IT-Sicherheitsdienstleister oder Ersthelfern nach PLZ)
Notfallnummer der Polizei - Zentrale Ansprechstelle Cybercrime
LKA 543 - ZAC
Zentrale Ansprechstelle Cybercrime
Bruno – Georges - Platz 1
22297 Hamburg
Tel.: 040 4286 75455
Fax: 040 427 999 141
E-Mail: zac@polizei.hamburg.de
Sie sind ein Unternehmen aus Hamburg und sind angegriffen worden, dann melden Sie sich bei der ZAC.
Zentrale Ansprechstelle Cybercrime
Bruno – Georges - Platz 1
22297 Hamburg
Tel.: 040 4286 75455
Fax: 040 427 999 141
E-Mail: zac@polizei.hamburg.de
Sie sind ein Unternehmen aus Hamburg und sind angegriffen worden, dann melden Sie sich bei der ZAC.