Warum Cyberkriminelle noch immer leichtes Spiel haben
Warum Cyberkriminelle noch immer leichtes Spiel haben
Immer häufiger. Immer gieriger. Kriminelle Hacker haben Unternehmen und öffentliche Einrichtungen im Visier und drohen oft damit, auch die Daten von unbeteiligten Kunden zu veröffentlichen. Neben der Elektronikmarktkette MediaMarktSaturn erwischte es nun in den USA auch den Aktien- und Kryptoanlagen-Broker Robinhood, der mit seiner App insbesondere bei jungen Leuten populär ist. Auch der IT-Dienstleister Medatixx, der jede vierte Arztpraxis in Deutschland mit Software beliefert, meldete einen Angriff.
Millionen E-Mail-Adressen und andere sensible Daten im Besitz von Hackern
Wie bei den meisten Cyberattacken der vergangenen Wochen und Monate geht es ums Geld. Die Robinhood-Hacker sind nun nach Angaben des Unternehmens im Besitz der E-Mail-Adressen von rund fünf Millionen Kunden, bei zwei Millionen wurde auch der volle Name erbeutet. Mit dieser Kombination lassen sich wiederum gefährliche Phishing-Mails generieren, um bei den Kunden Passwörter und andere sensible Informationen abzufischen. Der US-Broker kann immerhin seine Dienste weiter in vollem Umfang anbieten, auch wenn die Hackerattacke das Image beschädigt und den eigenen Aktienkurs nach unten gedrückt hat.
Angriff auch auf MediaMarktSaturn - Lösegeld gefordert
Härter hat es die Elektronikmärkte von MediaMarktSaturn getroffen, weil der Angriff das Tagesgeschäft massiv behindert. Der Branchenprimus hatte sich in der Nacht zum 08.11.2021 eine Erpresser-Software eingefangen, die in wenigen Minuten die Daten von über 3.000 Servern verschlüsselte. Damit wurde das komplette Warenwirtschaftssystem der Gruppe lahmgelegt. In den Filialen von Media Markt und Saturn konnte nur noch mit Bargeld bezahlt werden, weil Kartenabbuchungen nicht mehr möglich waren. Geschenkgutscheine konnten nicht eingelöst, Garantiefälle nicht mehr abgewickelt werden. Nach einem unbestätigten Bericht des Onlinemagazin Bleepingcomputer haben die Erpresser mit Hilfe der Schadsoftware Hive für die Freigabe der Daten zunächst 240 Millionen US-Dollar Lösegeld verlangt, dann aber ihre Forderung reduziert. MediaMarktSaturn steht nun vor der Herausforderung, die Systeme aus hoffentlich noch brauchbaren Backups wiederherzustellen.
Ransomware inzwischen gravierendste Bedrohung der Cybersicherheit
Unklar blieb aber, ob die Angreifer die Daten vor der Verschlüsselung auch noch kopiert haben, heißt es in dem Bericht. Hive ist für eine “Double Extortion“ (doppelte Erpressung) bekannt, bei dem die Opfer nicht nur mit den verschlüsselten Daten erpresst werden, sondern auch damit gedroht wird, Kopien der Daten zu veröffentlichen. Sicherheitsexperte Rüdiger Trost von der Firma F-Secure befürchtet Schlimmes: “Man kann davon ausgehen, dass die Angreifer schon sehr lange im Netzwerk aktiv waren und Zeitpunkt und Zielsysteme mit Bedacht gewählt haben.“ Ransomware gilt seit Jahren als die gravierendste Bedrohung der Cybersicherheit, auch weil die Erpressung ein besonders einträgliches Geschäft ist. Abgerechnet wird oft in der Digitalwährung Bitcoin: Nach Angaben des US-Finanzministeriums belief sich der Gesamtwert der verdächtigen Bitcoin-Aktivitäten, die in den ersten sechs Monaten des Jahres 2021 im Zusammenhang mit Ransomware gemeldet wurden, auf 590 Millionen US-Dollar. Dieser Wert liegt höher als die 416 Millionen US-Dollar, die für das gesamte Jahr 2020 gemeldet wurden.
Zahl der Cyber-Attacken nimmt zu
Aber trotz ständiger Hinweise der US-Behörden und des Bundesamtes für Sicherheit (BSI) auf die angespannte Sicherheitslage gelingt es den Kriminellen dennoch, ihre Schlagzahl zu erhöhen. Dafür gibt es mehrere Gründe. Zum einen haben viele Unternehmen und öffentliche Einrichtungen ihre IT-Systeme nicht im Griff. Sicherheitsupdates werden gar nicht oder verspätet eingespielt. Nach einem Cyber-Angriff auf das Berliner Kammergericht empfahlen Experten sogar, die marode IT-Infrastruktur komplett zu ersetzen. “Die Angriffe richten sich zusehends auf große und somit lukrative Ziele“, sagt Experte Trost. Jenseits der großen Unternehmen und Schlagzeilen sehe es aber nicht besser aus. “Im Gegenteil: Der Mittelstand wird immer häufiger angegriffen. Die sind schlechter geschützt und wehren sich nicht so heftig. Und es gibt immer mehr Cyberkriminelle, die Ransomware-Attacken betreiben“. Gleichzeitig müssen die Angreifer auch nicht mehr technische Experten sein, um Cyberattacken zu starten. Ransomware kann man inzwischen als Service im Netz buchen. Dabei teilen die Angreifer das erpresste Geld mit den Hackern, die die Schadsoftware entwickelt haben.
Ursprung oft in Russland oder Osteuropa
Die Kriminellen profitieren aber auch davon, dass Ransomware-Attacken nicht entschieden bekämpft werden. Viele Angriffe haben ihren Ursprung in Russland oder Osteuropa. Sicherheitsexperten zufolge kann man aber insbesondere in Russland keine klare Grenze zwischen kriminellen Hackergruppen und staatlich unterstützten Cyberoperationen ziehen. Sie unterstellen der russischen Regierung, sie toleriere oft kriminelle Aktivitäten, solange sie auf das Ausland abzielen. Russlands Präsident Wladimir Putin dementiert das. Nun ist es allerdings Ermittlern aus Europa, den USA und anderen Teilen der Welt gelungen, mutmaßliche Mitglieder der Hackergruppe REvil aufzuspüren, die vor allen in Osteuropa verortet wird.
Sicherheitsexperte Trost: Schlag gegen Hacker-Gruppe REvil stellt Zäsur dar
Das US-Justizministerium teilte mit, in Polen sei ein Ukrainer gefasst worden, der im Verdacht stehe, unter anderem hinter der großen Cyberattacke auf den amerikanischen IT-Dienstleister Kaseya zu stecken. Über eine Schwachstelle bei Kaseya waren Anfang Juli Hunderte Unternehmen in den USA und anderen Ländern mit Erpressungssoftware angegriffen worden. Die Polizeibehörde Europol teilte in Den Haag mit, in Rumänien seien zwei Menschen festgenommen worden, die mit der gleichen Software Attacken begangen haben sollen. Für Sicherheitsexperte Trost ist der Schlag gegen REvil eine Zäsur: “Cyberkriminelle müssen zukünftig aufpassen, nicht zu dreist zu agieren. Über einer bestimmten Schwelle muss man ansonsten mit den USA und ihren Verbündeten rechnen. Und wer will schon weltweit sein Leben lang von den USA gejagt werden?“
BKA stellt beunruhigende Statistik vor: Immer mehr Cyber-Angriffe in Deutschland
Vor allem ab Herbst 2020 wurden laut BKA immer mehr Angriffe auf Unternehmen und öffentliche Einrichtungen registriert, die bei der Bekämpfung der Corona-Pandemie relevant sind. Betroffen waren demnach unter anderem Impf-Portale sowie die gesamte Impfstoff-Lieferkette, teilte Meywirth mit. Aber auch Krankenhäuser, wie das Universitätsklinikum in Düsseldorf rückten ins Visier der Angreifer.
Das ist ein Problem, denn noch immer ist es schwierig, die Täter zur Rechenschaft zu ziehen. Laut Polizeistatistik wurde von den 108.474 Cybercrime-Fällen, die 2020 erfasst wurden, weniger als jeder dritte aufgeklärt. Die Aufklärungsquote blieb damit etwa auf dem Niveau des Vorjahres. Meywirth geht aber davon aus, dass viele Fälle gar nicht erst angezeigt werden. Das Dunkelfeld im Bereich Cyberkriminalität könnte also noch viel größer sein.
Mehr zur aktuellen Kriminalstatistik für 2020 lesen Sie hier.
Cyberangriffe auf Bankkunden – das sind die aktuellen Betrugsmaschen
Wenn es um das Thema Cybersicherheit geht, hören viele schnell weg: Meldungen über erfolgreiche Angriffe, gehackte PCs und verlorenes Geld betreffen doch nur andere und nicht mich. Eine trügerische „Sicherheit“, in der wir uns alle aus Bequemlichkeit nur zu gerne wiegen. Denn die Cyberkriminellen arbeiten hochprofessionell, global vernetzt und nutzen alle Möglichkeiten der Digitalisierung. Das Bundeskriminalamt (BKA) hat im Cybercrime-Lagebericht 2020 eine Zunahme von Cyberkriminalität um 8 Prozent im Vergleich zum Vorjahr festgestellt. Die Kriminalität verlagere sich zunehmend in den digitalen Raum und die Intensität der Angriffe würde steigen. Manche Angriffsformen sind seit Jahren bekannt, werden den neuen technischen Entwicklungen beständig angepasst und dadurch immer ausgefeilter.
Mehr in unserem Lexikon Cyberkriminalität
Phishing-Attacken kommen in regelmäßigen Wellen
Der „Oldtimer“ unter den Betrugsangriffen, aber leider kein Auslaufmodell: Laut BKA ist das durchschnittliche Mail-Spam-Aufkommen im Corona-Jahr 2020 um 17 Prozent gegenüber dem Vorjahr gestiegen. Kriminelle haben die Ausnahmesituation der Pandemie gezielt ausgenutzt, um Internetnutzer auf betrügerische Links zu locken. Geben ahnungslose Internetnutzer hier dann persönliche Daten, Passwörter, Kreditkartennummern oder ähnliches ein, werden diese von den Angreifern unbemerkt „abgefischt“. Im Besitz der sensiblen Informationen versuchen sie, an das Geld der betreffenden Person zu gelangen.
Lesen Sie weiter: Tipps zum Schutz vor Phishing im Netz.
Warum die Phishing-Attacken trotz aller Sensibilisierungsmaßnahmen erfolgreich sind, liegt in der Natur des Menschen begründet: Wir sind neugierig. Gerade Informationen, die reißerisch aufgemacht sind und Ängste schüren oder bedienen, erscheinen besonders interessant. Deshalb hat die globale Pandemie unzählige Anknüpfungspunkte für neue Phishing-Mails-Inhalte geboten. Doch es müssen gar nicht ausgeklügelte oder besonders polemische Fake-News sein, ganz sachliche Nachrichten – zum Beispiel die Information einer Versandbestätigung zur Online-Bestellung – verführen uns zum schnellen und unüberlegten Klicken. „Think before you click“ kann dazu beitragen, nicht in eine Cyberfalle zu tappen.
„Falsche Bankmitarbeiter“ – Anrufe reißen nicht ab
Auch diese Betrugsmasche ist nicht neu, und dennoch gibt es regelmäßig neue Opfer: Kriminelle kontaktieren Bankkundinnen und -kunden per Telefon und geben sich als Bankangestellte aus. Oftmals wurde die Telefonnummer so manipuliert, dass es so aussieht, als würde tatsächlich von der Bank angerufen (siehe Call-ID-Spoofing). Häufig werden bei diesen Anrufen Sicherheitsgründe vorgeschoben, um persönliche Daten, Kontoinformationen oder Passwörter für den Online-Banking-Zugang zu erschleichen. Die Anrufenden arbeiten dabei höchst geschickt, teilweise werden die Anrufe vorab per Brief angekündigt, um die scheinbare Seriosität des Anrufs zu erhöhen.
Alle Alarmglocken sollten klingeln, wenn der Anrufer – mit welcher Begründung auch immer – verlangt Zugriff über den PC mittels einer Fernwartungssoftware zu bekommen. Wird dies zugelassen, ist das vergleichbar mit einer sperrangelweit geöffneten Haustür: eine Einladung für Diebe, hereinzuspazieren. Ohne Wissen der Besitzerin oder des Besitzers kann auf diesem Weg eine Spionagesoftware auf den Computer installiert werden, die später persönliche Daten mitliest bzw. ausspioniert.
Hier gibt es mehr Infos zu der Betrugsmasche mit „Techniker-Anrufen“
Der beste Tipp ist hier der einfachste: Auflegen und sich nicht unter Druck setzen lassen. Natürlich werden in Service-Hotlines einer Bank auch persönliche Daten (Name, Straße, Geburtsdatum) zur Identifizierung des Anrufenden abgeglichen. Aber Angestellte einer Bank werden in keinem Fall eine komplette Telefon-Banking-PIN, die Onlinebanking-PIN oder eine Transaktionsnummer (TAN) erfragen.
Im Zweifel ist es ratsam, die Bank selbst telefonisch zu kontaktieren und nachzufragen. Dabei aber nicht die Rückruftaste drücken, denn bei einer manipulierten Nummernanzeige wird die korrekte Nummer vorgegaukelt (siehe Call-ID-Spoofing). Am besten von der Website oder aus den eigenen Unterlagen die korrekte Telefonnummer der Bank raussuchen und die Nummer selbst wählen.
Mehr Infos zum Schutz vor angeblichen Bankmitarbeitern finden Sie hier.
Anlagebetrug über betrügerische Handelsplattformen
Diese Betrugsform scheint in den letzten Monaten in Deutschland an Fahrt aufgenommen zu haben: Gefakte Anzeigen mit Prominenten weisen auf angeblich enorme Gewinne mit Geldanlagen zum Beispiel in Kryptowährungen hin. Klicken Interessierte auf solche Anzeigen, geraten sie schnell auf betrügerische Online-Trading-Portale. Nach einer Registrierung folgt in Kürze der Anruf eines angeblichen „Brokers“ oder persönlichen „Anlageberaters“. Tatsächlich versucht dieser nichts anderes, als die interessierte Person von anfangs kleinen Anlagen zu immer größeren Investitionen zu überreden. Die Website der Handelsplattformen sind dabei so professionell aufgezogen, dass hohe Gewinne vorgegaukelt werden.
Das Betrugssystem ist sehr ausgeklügelt und perfide: Durch die regelmäßigen Anrufe wird ein persönlicher Kontakt oder gar eine Vertrauensbeziehung aufgebaut, dies wird kombiniert mit professionellem Cyberbetrug. Dennoch gibt es eine Reihe von Warnsignalen, die Anleger davon abhalten können, auf diese Betrüger hereinzufallen.
Hier erfahren Sie mehr über die Betrugsmasche: So werden Anlagesuchende geködert