Cybercrime - Angriffsformen und Schutzmaßnahmen

Gängige Angriffsformen und Schutzmaßnahmen

• Phishing
  Cyber-Kriminelle verschicken betrügerische Nachrichten per E-Mail, über Messenger oder über soziale Netzwerke. Sie fordern Nutzerinnen und Nutzer dazu auf, vertrauliche Informationen wie Passwörter, Zugangsdaten oder Kreditkartennummern preiszugeben. Angeschriebene sollen auf einen Link klicken. … Sie Zahlungsdaten weitergegeben haben: Sperren Sie Ihr Bankkonto. Kontrollieren Sie die Umsätze Ihres Bankkontos und setzen Sie sich mit Ihrer Bank in Verbindung. Nutzen Sie nach der Entsperrung ausschließlich neue Passwörter und PINs für Ihr Konto. Die Gefahr: Die angegebenen Links führen auf gefälschte Internetseiten, auf denen die Daten abgegriffen werden. Die Nachrichten wirken täuschend echt, die Absender seriös. Viele Empfänger schöpfen daher keinen Verdacht und geben ihre Daten den Kriminellen preis.

  
  
• USB-Sticks im Unternehmen

  Der echte Fall

  Im Unternehmen werden einem mit der Betreuung von Auszubildenden beauftragten Mitarbeiter schriftliche Arbeitsergebnisse der Auszubildenden, welche diese zu Hause gefertigt haben, mit deren privaten USB-Sticks auf den Arbeitsplatzrechner übertragen. In der Folge kam es zur Auslösung der Antivirensoftware, da sich offensichtlich Schadsoftware von den ungenügend geschützten Privatrechnern der Auszubildenden auf deren USB-Sticks übertragen hatte. Es war nur Glück und Zufall, dass hier kein größerer Schaden im Unternehmen entstanden war.

  Hinweise zur sicheren Benutzung von USB-Devices

  • Trennen Sie persönliche und geschäftliche USB-Laufwerke. Verwenden Sie keine privaten USB-Sticks oder private externe USB-Festplatten an Firmencomputern. 
  • Nutzen Sie Sicherheitssoftware und halten Sie diese auf dem neuesten Stand. Verwenden Sie eine Firewall, Antiviren-Software und eine Anti-Spyware.
  • Schließen Sie an einem PC keinesfalls ein USB-Laufwerk an, dessen Herkunft für Sie unklar ist. Es sind Fälle bekannt, dass Besucher absichtlich einen mit Schadsoftware versehenen Stick verloren haben.
  • Vermeiden Sie den Einsatz von Werbegeschenken auf „USB-Basis“, wie Kaffeetassenwärmern, Schwanenhalslüftern o.ä. Es sind auch hier Fälle bekannt, dass in der USB-Hardware Schadsoftware verbaut war.
  • Verwenden Sie eine passwortgeschützte Verschlüsselung auf Ihrem USB-Laufwerk, um Ihre Daten vor dem Zugriff Unbefugter zu schützen.

  Quelle: Wirtschaftsschutz-Info Juni 2018, Wirtschaftsschutz des Verfassungsschutzes Niedersachsen.
• Umgang mit mobilen Endgeräten im Ausland
  Bei dienstlichen Reisen ins Ausland müssen Geschäftsreisende stets wachsam sein. Denn: Ausländische Nachrichtendienste könnten versuchen, Unternehmensgeheimnisse des Reisenden in Erfahrung zu bringen.

  Insbesondere die Nutzung von mobilen Kommunikationsmitteln/mobiler Informationstechnik birgt das Risiko, dass ungewollt durch

  • Mithören von Mobil-Telefonaten,
  • Mitlesen von E-Mails,
  • Auslesen und Verändern aller gespeicherten Daten und
  • Mithören von Gesprächen in der Umgebung

  Dritte Kenntnisse von unternehmensinternen Geheimnisse erlangen und dadurch dem jeweiligen Unternehmen schaden können.

  Unter dem Begriff "mobile Informationstechnik" werden hier neben Notebooks, PDAs, Handys und Smartphones auch Speichermedien wie USB-Sticks, CDs und DVDs verstanden.

  Weitere Gefahren bergen Einschränkungen und Verbote des Gastlandes hinsichtlich des Umgangs mit mobiler IT (z. B. Handyverbot, Fotografierverbot). Verstöße gegen diese Vorschriften können ausländischen Nachrichtendiensten weitere Angriffe auf die Unternehmensgeheimnisse ermöglichen.

  Aus diesem Grund hat der Verband für Sicherheit in der Wirtschaft Norddeutschland e.V. ein Merkblatt für den Umgang mit mobiler Informationstechnik, vorrangig in Ländern mit besonderem Sicherheitsrisiko (PDF-Datei · 23 KB) herausgegeben.

  Informieren Sie sich außerdem auf der Internetplattform des Bundesamtes für Sicherheit in der Informationstechnik über die Standards der IT-Sicherheit nach BSI-Grundschutz. 
• Ransomware und Verschlüsselungstrojaner
  Von Ransomewareangriffen spricht man, wenn Täter sich über Schadsoftware Zugang zu Unternehmensdaten verschaffen, diese für das Unternehmen verschlüsseln und nur gegen ein Lösegeld wieder freigeben.

  Wege der Schadsoftware ins Unternehmen

  Um Zugriff auf die IT-Infrastruktur eines Unternehmens zu erlangen, nutzen Cyberkriminelle alle typischen Verbreitungswege von Schadsoftware. Oftmals versenden die Täter zahlreiche E-Mails mit Anhängen an Mitarbeitende des Unternehmens. Manchmal kommt es zuvor auch zu Anrufen, in denen der Versand einer Datei angekündigt wird, um das Misstrauen gegebenüber den unbekannten Absendern im Vorweg abzubauen.

  Die Anhänge haben meist unverfängliche Dateinamenserweiterungen wie .zip, .doc oder .pdf. Hierbei kommt der Schadsoftware zu Gute, dass Windows per Voreinstellung die Dateinamenserweiterung bei bekannten Dateitypen ausblendet. Eine Datei mit dem Namen xxx.doc.exe wird somit als xxx.doc dargestellt. Nach dem Deaktivieren dieser Windows-Funktionalität erkennt man die tatsächlichen Dateiendungen, die oftmals auf ausführbare Dateien hinweisen (.exe, .com, .js, .bat, .vbs,…).

  Eine Zeit lang wurden diese  Verschlüsselungstrojaner als sehr echt wirkende Bewerbungsschreiben versendet. Mittlerweile ist eine Vielzahl von Spam-Emails mit unterschiedlichsten Betreff-Angaben und Inhalten bekannt.

  Durch das Öffnen des Anhangs werden die Daten des Rechners und erreichbare Netzwerklaufwerke verschlüsselt und können bis auf weiteres nicht mehr genutzt werden. Ziel der Täter ist es, ein Lösegeld zu erpressen. Bei Bezahlung des Lösegelds wird die Übersendung des Entschlüsselungscodes in Aussicht gestellt.

  Häufig verschlüsseln die Täter allerdings nicht direkt die Daten des Rechners, sondern verschaffen sich nach und nach Zugriff zu weiteren Teilen der IT-Infrastruktur des Unternehmens. So waren Täter in bekannten Ransomware-Fällen nicht selten Wochen und Monate unbemerkt im Netzwerk der betroffenen Unternehmen, bevor die Daten verschlüsselt und die Lösegeldforderung gestellt wurden.

  BSI warnt vor Emotet-Angriffen

  Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält nach wie vor viele Meldungen zu schwerwiegenden IT-Sicherheitsvorfällen, die im Zusammenhang mit der Schadsoftware Emotet stehen. In Einzelfällen ist es bei den Betroffenen durch Ausfälle der kompletten IT-Infrastruktur zu Einschränkungen kritischer Geschäftsprozesse gekommen, die Schäden in Millionenhöhe nach sich ziehen. Daneben sind dem BSI weitere Fälle mit weniger schwerem Verlauf gemeldet worden, bei denen Malware-Analysten des BSI Emotet-Infektionen nachweisen konnten. Emotet wird derzeit weiterhin über groß angelegte Spam-Kampagnen verteilt und stellt daher eine akute Bedrohung für Unternehmen, Behörden und Privatanwender dar. Im Folgenden finden Sie umfangreiche Informationen zur Bedrohung sowie eine Übersicht über mögliche Schutzmaßnahmen.

  Wie Sie sich vor solchen Angriffen schützen können

  Zum Schutz vor diesem Angriff rät das LKA 54:

  • Achten Sie auch bei scheinbar korrekten Emails beim Öffnen von Anhängen oder Anklicken von Links auf die tatsächliche Dateiendung oder deaktivieren Sie ggf. die automatische Ausblendung der Dateinamenserweiterung in Windows.
  • Führen Sie regelmäßige Datensicherungen durch und kontrollieren Sie diese auf Verfügbarkeit. Achten Sie darauf, dass die Schadsoftware nicht auf die Datensicherung zugreifen kann (z.B. durch eine physikalische Trennung nach Abschluss der Sicherung).
  • Falls Sie einen Befall bemerken, trennen Sie den betroffenen Rechner schnellstmöglich vom Netzwerk.
  • Konfigurieren Sie Ihre Office-Programme so, dass Makros nicht oder erst nach Rückfrage ausgeführt werden.
  • Automatisieren Sie die Erkennung von Krypto-Trojanern durch entsprechendes Monitoring auf Ihren Fileservern.
  • Versuchen Sie, alle Programme auf Ihren Systemen zeitnah mit Updates zu versorgen.
  • Aktualisieren Sie regelmäßig und in kurzen Abständen Ihren Virenscanner.

  Wenden Sie sich bei Auffälligkeiten oder Fragen an die örtliche Polizeidienststelle oder an die Zentrale Ansprechstelle Cybercrime im LKA 54:

  LKA 54
  Zentrale Ansprechstelle Cybercrime
  Bruno – Georges – Platz 1
  22297 Hamburg
  Telefon: 040 4286 754 55
  E-Mail: zac@polizei.hamburg.de
• Versuchte Erpressung durch angedrohte DDos-Attacken

  Versuchte Erpressung durch angedrohte DDos-Attacken

  Fast jedes Unternehmen ist heute im Internet präsent, insbesondere Onlineshops sind auf einen funktionierenden Internetservice angewiesen. Kriminelle Gruppen versuchen immer wieder, mit angekündigten DDoS Angriffen, Unternehmen zu erpressen. Im Mai 2016 geschah dieses im Namen von Robin Hood, später wurde die Gruppe Kadyrovtsy in den Medien publik.

  Ob die angedrohten DDoS-Angriffe umgesetzt werden, hängt von der jeweiligen kriminellen Gruppe ab und lässt sich nicht im Voraus prognostizieren.

  Das BSI  - Bundesamt für Sicherheit in der Informationstechnik  -  hat zu diesem Thema folgende Ratschläge veröffentlicht.

  Bei Auffälligkeiten oder Fragen können Sie sich außerdem an das Landeskriminalamt Hamburg wenden:

  LKA 543
  Zentrale Ansprechstelle Cybercrime
  Bruno – Georges – Platz 1
  22297 Hamburg
  Telefon: 040 4286 754 55
  E-Mail:zac@polizei.hamburg.de
• CEO-Fraud
  Bei dieser Variante geben sich die Betrüger als Geschäftsführer der Firma aus und fordern Mitarbeiter der Buchhaltung per E-Mail auf, schnell und diskret eine Überweisung auszuführen. In einer neuen Variante wird die Nummer des Telefonanschlusses des Geschäftsführers im Display angezeigt.

  Unbekannte Täter haben Niederlassungen eines niedersächsischen Unternehmens angerufen und sich als Geschäftsführer ausgegeben. Zur vermeintlichen Legitimation und Reputationserhöhung wurde die Telefonnummer des echten Geschäftsführers übermittelt. Im vorliegenden Fall sprach der Anrufer Deutsch mit osteuropäischem Akzent. Es wurde von den angerufenen Mitarbeitern jedoch rechtzeitig erkannt, dass hier ein Betrüger am Werk ist.

  Hinweise zur Art dieses Angriffsvektors

  In Zeiten der IP-Telefonie ist es einfach, einen Telefonanschluss so zu manipulieren, dass beim Angerufenen eine andere Telefonnummer als die tatsächliche angezeigt wird. Das nennt man Call-ID-Spoofing. Betrüger geben sich auch als Polizisten aus, als Mitarbeiter der Deutschen Rentenversicherung, der Verbraucherzentrale oder von Microsoft oder eben als Geschäftsführer. Die Anrufer arbeiten aber tatsächlich bei keiner der genannten Einrichtungen, sondern meist in einem Call-Center und agieren in der Regel in betrügerischer Absicht. Denkbar ist auf diese Art und Weise auch ein nachrichtendienstlicher Angriff zum Zwecke der Ausforschung von Mitarbeitern sowie Unternehmen.

  Fazit und Schutzhinweise

  Diese Betrugsmasche ist leider schon seit geraumer Zeit in verschiedensten Ausprägungen sehr erfolgreich. Deshalb sollten Sie beim geringsten Zweifel über den Anrufer, diesen über die ihnen bekannte Nummer zurückrufen. Aber nutzen Sie nicht die Rückruffunktion ihres Telefons, sonst könnten Sie wieder bei dem Angreifer landen. Sie müssen die Telefonnummer händisch selbst eingeben.

  Zum Schutz vor dieser Betrugsmasche rät das LKA 54:

  • Achten Sie darauf, welche Informationen über Ihr Unternehmen öffentlich sind bzw. wo und was Sie und Ihre Mitarbeiter im Zusammenhang mit Ihrem Unternehmen publizieren.
  • Gehen Sie in sozialen Netzwerken und Karriereportalen restriktiv mit persönlichen Daten um. Dies gilt insbesondere dann, wenn Sie in leitender Funktion eines Unternehmens tätig sind oder über Zahlungsberechtigungen verfügen.
  • Führen Sie klare Abwesenheitsregelungen und interne Kontrollmechanismen ein.
  • Sensibilisieren Sie die Mitarbeiter Ihres Unternehmens dahingehend, keine hausinternen Telefondurchwahlen oder persönliche E-Mail-Adressen der Geschäftsführung oder der Zahlungsberechtigten preiszugeben.
  • Führen Sie immer Plausibilitätsprüfungen durch, bevor Sie sensible Daten an Dritte übermitteln. Seriöse Anrufer können sich durch Angabe eines tatsächlich existierenden Aktenzeichens oder einer Rechnungsnummer legitimieren.
  • Gehen Sie in sozialen Netzwerken und Karriereportalen restriktiv mit persönlichen Daten um. Dies gilt insbesondere dann, wenn Sie in leitender Funktion eines Unternehmens tätig sind oder über Zahlungsberechtigungen verfügen.
  • Entwickeln Sie in Ihrem Unternehmen Standards, welche die Verfahrensweise bei atypischen und ungewöhnlichen Zahlungsaufforderungen beschreiben. Die Einführung des Vier-Augen-Prinzips wäre beispielsweise eine geeignete Möglichkeit.

  Kontakt

  Wenden Sie sich bei Auffälligkeiten oder Fragen an die örtliche Polizeidienststelle oder an das LKA 54:

  LKA 543
  Zentrale Ansprechstelle Cybercrime
  Bruno – Georges – Platz 1
  22297 Hamburg
  Telefon: 040 4286 754 55
  E-Mail: zac@polizei.hamburg.de