Internetkriminalität einfach erklärt | Glossar
Kriminalität im Internet, auch Cyberkriminalität, Computerkriminalität oder Cybercrime genannt, ist der Sammelbegriff für ganz unterschiedliche Straftaten, die sich gegen IT-Systeme, Datennetze und das Internet richten. Diese Attacken aus dem Cyberspace können persönlich motiviert sein – wie zum Beispiel bei Cybermobbing –, doch meist ist das Ziel der Kriminellen, schnell an Geld zu kommen.
Von Cybercrime betroffen sind neben Privatpersonen auch Unternehmen, politische und kulturelle Institutionen, Behörden oder Bildungseinrichtungen wie Schulen oder Universitäten. In unserem Glossar haben wir die wichtigsten Begriffe rund um Internetkriminalität gesammelt.
Attacke oder Cyberattacke ist ein gezielter Angriff auf wichtige, meist grössere Rechnernetze. Oft versuchen Cyberkriminelle, bestehende Sicherheitssysteme zu umgehen oder innerhalb des Systems Malware zu hinterlegen, um ein Unternehmen zu erpressen, Informationen zu stehlen oder es zu sabotieren.
Cybermobbing (auch Internet-Mobbing, Online-Mobbing oder Cyber-Bullying) bezeichnet verschiedene Formen der Beleidigung, Verleumdung, Nötigung, Bedrohung oder Belästigung anderer Menschen über Social-Media-Plattformen, Webseiten, Chaträume, Instant Messaging oder per Mobiltelefon. Cybermobbing nimmt immer mehr zu und gehört zu den grössten Gefahren im Umgang mit Internet und sozialen Medien.
Organisierte Cyberkriminalität: Die bösen Neun anstatt des dreckigen Dutzends
Im alten Katz- und Mausspiel zwischen Cybersecurity und Cyberkriminalität kommt es darauf an, wem ein kluger Schachzug einfällt, dem der andere folgen muss. Im Fall der „Bösen Neune“ sind es die Cyberkriminellen, die sich eine gute Idee aus der IT beziehungsweise Security zunutze machen und unverhohlen auf den Zug aufspringen, um ihre Machenschaften massiv auszuweiten: Cybercrime as a Service. Während des Jahres 2022 haben die großen Cybercrime-Gruppen ein ganzes Service-Ökosystem für Kriminelle mit entsprechendem Geldbeutel und weitere Handlanger aufgebaut, das nach heutigem Kenntnisstand und zum Leidwesen der Opfer gut organisiert ist. Mehr noch: der As-a-Service-Ansatz in der Cyberkriminalität hat dazu geführt, dass vergleichsweise unerfahrene Cyberganoven über wirkungsvolle Angriffs-Tools verfügen, die sie ohne diese Services nicht bedienen könnten.
Die „Bösen Neune“ des Jahres 2022 sind:
Access-as-a-Service: Der Zugang zu kompromittierten Konten und Systemen wird einzeln oder in großen Mengen über Untergrunddienste verkauft, einschließlich Zugangsdaten für das Remote-Desktop-Protokoll (RDP) und VPN, Konten, Datenbanken, Web-Shells und ausnutzbaren Sicherheitslücken.
Malware Distribution/Spreading-as-a-Service: Dies bedeutet die Verbreitung von Malware in dedizierten Regionen oder Sektoren oder auch auf breiter Ebene. In den Angeboten, die das Sophos X-Ops Team für derartige Dienste gesehen hat, ist nicht in jedem Fall klar, welche Strategie zum Einsatz kam. Aber zu den möglichen Angriffsvektoren gehören Watering-Hole-Angriffe, die Ausnutzung von Schwachstellen oder die Kombination mit AaaS-Angeboten (Access-as-a-Service).
Phishing-as-a-Service: Hier handelt es sich um Bedrohungsakteure, die einen End-to-End-Service für Phishing-Kampagnen anbieten, einschließlich geklonter Webeseiten, Hosting, präparierter E-Mails zur Umgehung von Spam-Filtern sowie Panels zur Überwachung der Ergebnisse.
OPSEC-as-a-Service: Diesen Dienst hat Sophos X-Ops in einem kriminellen Forum zusammen mit Cobalt Strike gesehen. Der Verkäufer bietet den Interessenten an, sie mit einem OPSEC-Service (Operations Security) zu unterstützen, der entweder einmalig eingerichtet oder monatlich abonniert werden kann und dazu dient, Cobalt-Strike-Infektionen zu verbergen und das Risiko der Entdeckung und Zuordnung zu minimieren.
Crypting-as-a-Service: Dieser Cybercrime-Service ist ein gängiger Dienst, der in vielen Foren zum Kauf angeboten wird. Er verschlüsselt die Malware so, dass sie nicht erkannt wird – insbesondere nicht von Windows Defender und SmartScreen und in geringerem Maße auch nicht von traditionellen Antivirusprodukten. Der Dienst wurde beispielsweise für die einmalige Nutzung zu einem Preis von 75 US-Dollar oder für 300 US-Dollar für ein einmonatiges Abonnement angeboten, das eine unbegrenzte Nutzung des Dienstes beinhaltete.
Scamming-as-a-Service: Das Sophos X-Ops Team sah einige Beispiele für “Scamming-Kits”, insbesondere im Zusammenhang mit Kryptowährungsbetrug, die in kriminellen Foren beworben wurden. Es war nicht immer klar, was genau verkauft wurde, aber eine Anzeige bot eine fertige “Elon Musk Giveaway BTC Scampage” für 450 $ an. Dies ist eine beliebte Betrugsmasche auf Twitter und hat sogar in einem gefälschten Video die Runde gemacht.
Vishing-as-a-Service: Dies ist ein Voice-Phishing-Dienst (“Vishing”), bei dem ein Bedrohungsakteur ein Sprachsystem zur Entgegennahme von Anrufen zu mieten anbietet. Und das zusammen mit einem “KI-System”, so dass der Mieter sich dafür entscheiden kann, dass seine Opfer mit einem Bot statt mit einem Menschen sprechen.
Spamming-as-a-Service: Spamming-as-a-Service ist ein alter Favorit, aber in kriminellen Foren immer noch weit verbreitet. Er bietet Massen-Spamming über eine Vielzahl von Mechanismen, einschließlich SMS und E-Mail. In einigen Fällen bieten die Cyberkriminellen an, die gesamte Infrastruktur von Grund auf neu einzurichten; in anderen Fällen betreiben sie die Infrastruktur und nutzen sie zum Versenden benutzerdefinierter Spam-Nachrichten.
Scanning-as-a-Service: Dieser kriminelle Service bietet den Nutzern Zugang zu einer Reihe legitimer kommerzieller Tools – darunter Metasploit, Invikti, Burp Suite, Cobalt Strike und Brute Ratel –, um Schwachstellen zu finden (und vermutlich auszunutzen). Die gesamte Infrastruktur wird nach Untersuchungen von Sophos X-Ops offenbar vom Verkäufer erstellt und gewartet, der an anderer Stelle behauptet, dass “Sie“ nur auf das Scan-Ergebnis im Postfach warten müssen”.
Das wars? Eher nicht!
Für 2023 und darüber hinaus ist damit zu rechnen, dass die Professionalisierung der Cyberkriminalität weiter fortschreitet. Die Industrialisierung von Ransomware hat bereits die Entwicklung von Ransomware-“Affiliates” zu professionelleren, auf die Ausbeutung spezialisierten Unternehmen ermöglicht. Durch den Einsatz professioneller und offensiver Cybercrime-as-a-Services sind die Cyberkriminellen nicht mehr eindeutig mit spezifischen Ransomware-Operationen, staatlich organisierter Spionage oder anderen spezifischen Motiven in Verbindung zu bringen. Die professionalisierten Gruppen haben sich darauf spezialisiert, allen motivierten Akteuren, die bereit sind zu zahlen, Zugang zu kriminellen Handlungen zu verschaffen. Diese Gruppen haben in vielerlei Hinsicht die Geschäftsmodelle der Cloud- und Web-Service-Branche nachgeahmt. Ähnlich wie IT-Abteilungen in Unternehmen das “As-a-Service”-Modell für immer mehr Operationen übernommen haben, kann heute fast jeder Aspekt der Cyberkriminalität ebenfalls an “Crime-as-a-Service”-Anbieter ausgelagert werden. Tendenz steigend.
Mehr dazu im Sophos Threat Report 2023.
Besserer Schutz vor Cyberkriminalität
Phishing Mails, Spionage und Betrug – Cyberkriminalität ist ein wachsendes Problem. Wie kann ich mich schützen? Ein IT-Sicherheitsexperte gibt Tipps.
SWR2 Impuls-Moderatorin Christine Langer spricht mit Prof. Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen.
Betrügerische E-Mails sind nicht mehr leicht zu erkennen. Früher gab es zum Beispiel nur ein „Hallo“ als Anrede, man wurde nicht mit dem Namen angesprochen. Auch die vielen Fehler im Text weckten sofort Zweifel, die gesamte Gestaltung der E-Mail wirkte nicht besonders professionell. Nun muss man ganz genau hingucken, um die betrügerischen E-Mails zu entlarven. Ziel ist es häufig, an die Zugangsdaten der Phishing-Opfer zu kommen.
Tipps vom Sicherheitsexperten:
Misstrauen in E-Mails, die persönliche Daten abfragen
Vertrauensunwürdige Dateianhänge am besten nicht öffnen
Zweifelhafte Absendeadressen kontaktieren und Echtheit der E-Mail bestätigen lassen (z. B. von der Bank)
System-Software stets auf dem aktuellen Stand halten
Keine unbekannten Programme herunterladen
Was sind denn die häufigsten Maschen von Cyberkriminellen?
Prof. Dennis-Kenji Kipker: „Cyberkriminalität“ – Das ist ein wirklich schillernder Begriff. Es gibt die verschiedensten Arten, wie digitale Angreifer vorgehen. Und bei vielen erfolgreich durchgeführten Cyber-Angriffen ist es so, dass eine gewisse Sorglosigkeit des Nutzers dem ganzen zugrunde liegt: Indem er zum Beispiel seine IT-Systeme nicht aktuell hält, sorglos Daten teilt oder eben auch Dateien öffnet oder Verbindungen herstellt. Cyber-Angreifer nutzen das auf verschiedenem Wege aus.
Sie können natürlich technische Schwachstellen im Programm ausnutzen – die gibt es zuhauf. Aber man versucht eben auch, über Phishing-Attacken an Passwörter zu gelangen oder eben auch Schadsoftware, wie zum Beispiel Ransomware, auf dem Rechner zu installieren.
Und, was mittlerweile auch eine sehr gängige Masche ist, ist, dass versucht wird, erstmal sozialen Kontakt zum Opfer herzustellen, damit das Opfer sicherheitsrelevante Informationen preisgibt, die für spätere Angriffe genutzt werden können.
Das heißt, ich kriege zum Beispiel einen Anruf und jemanden nimmt Kontakt auf?
Prof. Dennis-Kenji Kipker: Das kann auch über soziale Netzwerk gehen, wenn ein Cyberkrimineller beispielsweise sieht, dass Sie für ein bestimmtes Unternehmen arbeiten.
Dann kann es sein, dass da einfach mal jemand ankommt, Sie anschreibt, ein paar Details abfragt und fragt, wie es so geht. Und so nach und nach, vielleicht auch über einen Zeitraum von mehreren Wochen, Vertrauen aufbaut und dann versucht, über Sie an Informationen über die Unternehmensorganisation zu gelangen.
Es passiert oft schneller, als man denkt: Durch einen Internet-Betrug greifen Cyberkriminelle die Daten von Privatpersonen oder Unternehmen ab. IMAGO Westend61
Ein Tipp ist also, grundsätzlich skeptisch zu sein. Aber wie schütze ich mich noch?
Prof. Dennis-Kenji Kipker: Genau, also einen wichtigen Punkt haben Sie ja gerade angesprochen: Misstrauen – Das ist das Wichtigste im Netz. Alles, was man nicht kennt, was einem irgendwie seltsam vorkommt, da ist meist irgendwo auch so ein bisschen ein Haken dran.
Gerade bei Phishing-Mails wird man stark unter Druck gesetzt. Da wird dann gesagt: „Ich muss jetzt sofort einen Link anklicken in den nächsten zwei Stunden.“ Ansonsten werden vielleicht alle Nachrichten gelöscht oder Ähnliches.
Und dann gibt es natürlich noch technische Maßnahmen. Das ist einfacher, als man denkt. Unter Cyber-Sicherheit stellen sich viele sowas komplexes vor, was eben nur Experten machen können. Das gibt es auch.
Aber wenn wir jetzt gerade an den Bereich Verbraucherschutz denken, dann ist es eben auch wichtig, die System-Software stets auf dem aktuellsten Stand zu halten und keine unbekannten Programme herunterzuladen.
Das gilt natürlich auch für Programme, die ich irgendwo im Smartphone-App Store finde. Denn auf Cyber-Sicherheit werden die meistens nicht geprüft und auch nicht auf Datenschutz.
Und wenn man unbekannte E-Mails bekommt, wo irgendwelche Daten abgefragt werden, oder irgendwelche Dateianhänge drin sind, die man nicht kennt? Da sollte man sich im Zweifelsfall durch einen schnellen Anruf bestätigen lassen, ob tatsächlich diejenige Stelle, die die E-Mail versandt hat, auch in Wirklichkeit diejenige ist, für die- sie sich ausgibt.
Das heißt: Vertrauensunwürdige Dateianhänge am besten nicht öffnen und noch mal nachfragen – sicherheitshalber.
Es gab vor Kurzem den Fall, dass bei WhatsApp weltweit Kundendaten gestohlen wurden. Was bedeutet das? Womit muss ich als Nutzer rechnen?
Prof. Dennis-Kenji Kipker: Aus Deutschland sind etwa sechs Millionen Daten gestohlen wurden. Manch einer behauptet jetzt, dass die Daten veraltet sind. Aber grundsätzlich spielt das erst einmal keine Rolle, weil so groß wie der Datensatz ist, sind da immer brauchbare Daten dabei.
Unter anderem die E-Mail-Adresse und die Telefonnummer sind geleakt worden. Und da hat mich schon manch einer gefragt: „Was will man denn jetzt mit einer E-Mail-Adresse und Telefonnummer anfangen? Darüber läuft doch erst einmal gar nicht so viel, damit habe ich ja nicht automatisch Zugriff auf den Computer oder auf irgendwelche Cloud-Computing-Dienste.“
Aber man hat ja mit einer privaten E-Mail-Adresse und einer privaten Handynummer schon einen Zugang zu einer Person, den man sonst nicht ohne Weiteres erhält. Und der eignet sich natürlich dafür, Menschen zu manipulieren, zu beeinflussen.
Ein Beispiel kurz nach dem Datenleck: Es wurde darüber berichtet, dass Personen über WhatsApp von ihren angeblichen Enkeln angeschrieben wurden, die in einer Notsituation sind und dringend Bargeld benötigen. Das ist natürlich alles gelogen durch Cyberkriminelle und soll unbedarfte, gutgläubige Nutzer dazu bewegen, ihr Erspartes an Cyber-Angreifer zu überweisen.
Eine beliebte Masche: Der sogenannte Enkeltrick. IMAGO Westend61
Zur Kriminalität im Netz gehören auch Hacker-Angriffe auf Unternehmen: Wie oft kommt sowas vor?
Prof. Dennis-Kenji Kipker: Oft – also sehr oft, und gerade dieses Thema Lösegeld. Da sprechen wir von Ransomware, das hat sich seit 2015 bis heute zu einem regelrechten Beruf entwickelt.
Ransomware ist deswegen ein lukratives Geschäftsmodell geworden, weil viele Unternehmen und auch Privatpersonen den Ransom Amout, also das Geld, was von den Tätern gefordert wird, zahlen.
Hinzu kommt, dass man keine große technische Ahnung mehr haben muss, um erfolgreiche Angriffe durchzuführen. Es gibt mittlerweile Softwarepakete, die Ransomware-Angriffe ermöglichen: Im Netz, als vorgefertigte Lösung. Das kann ich nehmen als Angreifer und ich zahle dann dementsprechend Provision an den Programmierer.
Wir haben in Fernost, Indien oder beispielsweise auch in Osteuropa ganze Firmen, die Büros angemietet haben, wo sozusagen eine vernünftige Geschäftsorganisation da ist. Da gehen die Leute morgens zur Arbeit, gehen abends nach Hause. Der Unterschied zum normalen Bürojob: Sie greifen Computer an und verlangen Lösegeld.
Hierzulande diskutiert man viel darüber, ob man jetzt diese Lösegeldzahlungen von Unternehmen wegen Förderung einer kriminellen Vereinigung unter Strafe stellt. Ich persönlich halte davon nicht so viel. Denn meistens sind die Unternehmen nach dem Ransomware-Angriff schon selbst genügend bestraft.
Da muss viel mehr der Staat ansetzen und weitere Mittel zur Prävention und Aufklärung bereitstellen, damit es gar nicht erst so weit kommt.
Die Verfolgung der Täterinnen und Täter ist im Internet oft kaum möglich. Viele Menschen gehen auf Lösegeldzahlungen ein. IMAGO imago/allOver-MEV
Wer ist denn eigentlich für die Cyber-Sicherheit in Deutschland zuständig?
Prof. Dennis-Kenji Kipker: In Deutschland haben wir das föderale System und als zentrale Behörde für Cybersicherheit haben wir das Bundesamt für Sicherheit in der Informationstechnik.
Darüber hinaus gibt es aber noch ganz unterschiedliche Cyber-Zuständigkeiten. Wir haben zum Beispiel beim Bundeskriminalamt und den Landeskriminalämtern Abteilungen, die sich allein mit der Verfolgung von Cyber Crime beschäftigen. Das Bundesamt für Verfassungsschutz, und die Landesämter für Verfassungsschutz sind ebenfalls an dem Thema dran.
Und überall da, wo Datensicherheit eine Rolle spielt, sind wir auch beim Thema Datenschutz. Das heißt auch, dass die Datenschutz-Behörden ebenfalls dafür zuständig sind, Unternehmen dabei zu unterstützen, dass sie vernünftige Schutzmaßnahmen in technischer Hinsicht für die Datensicherheit ergreifen.
Die Gefahr zum Opfer von Cyberkriminalität zu werden, ist in Deutschland laut des aktuellen Lagebericht des Bundesamts für Sicherheit in der Informationstechnik so hoch wie nie. Das Bundesinnenministerium will laut Ministerin Faeser deshalb seine Cyber-Sicherheitsagenda vorantreiben. IMAGO Bernd Elmenthaler
Was müssen wir machen, damit die Cyber-Sicherheit besser wird?
Prof. Dennis-Kenji Kipker: In erster Linie müssen wir von dieser Verantwortungsdiffusion weg. Wenn man sich mal anschaut, wie viele Zuständigkeiten wir im Einzelnen haben – auf Bundesebene, auf Landesebene. Wie schwer diese teilweise auch voneinander abgrenzbar sind. Dann ist es schon schwierig für Betroffene, überhaupt einen vernünftigen Ansprechpartner zu finden.
Gerade im Bereich Datensicherheit spielt Vertrauen eine ganz große Rolle. Und dieses Vertrauen – von den Behörden und teils auch von den Bürgern – in öffentliche Institutionen aufzubauen, ist ein Punkt, wo der Staat noch sehr, sehr viel zu leisten hat.
Das heißt, es geht um ein anderes Verständnis und um eine andere Wahrnehmung der Institutionen. Dass sich auch staatliche Einrichtungen, Bürger und Unternehmen mehr auf der Ebene der Gleichordnung gegenübertreten, als das bislang im Bereich des Cybersicherheit der Fall ist.