Sicherheitsforschung: Finanzdienstleister weiterhin beliebtes Ziel von Credential-Stuffing- und Webanwendungsangriffen

Zivile Sicherheitsforschung und das Internet – Digital Society Blog

“Das weltweite Internet bietet alle Voraussetzungen, um die in den ersten zehn Artikeln unserer Verfassung verankerten Grundrechte aller Bürger in diesem Land auszuhöhlen. Dies gilt insbesondere für das Recht auf freie Meinungsäußerung und Pressefreiheit in Artikel Fünf – eine wesentliche Grundlage unserer funktionierenden Demokratie – und es gilt letztlich auch für den Kernsatz unserer Verfassung, den Artikel Eins des Grundgesetzes: Die Würde des Menschen ist unantastbar. Um solche Gefahren für unser aller Freiheit künftig richtig einschätzen und Vertrauen in das Medium fördern zu können, müssen wir dem Internet und seinen Nutzern mehr Sensibilität, mehr Aufmerksamkeit und Forschung widmen.” (Joachim Gauck, Februar 2012)

Auch damit unser Bundespräsident mit seinen Ängsten um die Funktionsfähigkeit der Grundrechte nicht alleingelassen wird, hat das Alexander von Humboldt Institut für Internet und Gesellschaft seit Herbst 2013 einen weiteren thematischen Schwerpunkt hinzugewonnen. Angesiedelt ist er im Bereich “Globaler Konstitutionalismus und das Internet”. Im Rahmen eines durch das Bundesministerium für Bildung und Forschung geförderten Projektes beschäftigen sich darin seitdem vier Doktorand_innen und zwei Forschungsstudentinnen mit internetspezifischen Fragen des Rechts der zivilen Sicherheit in Europa. Die vier Kollegiat_innen am HIIG decken dabei die folgenden Bereiche ab:

Kompetenzen von EU und Mitgliedstaaten im Bereich der IT-Sicherheit Sicherheit von Infrastruktur, Netzen und Daten in einem digitalen Europa Datenaustausch und Informationssysteme im Rahmen der polizeilichen und justiziellen Zusammenarbeit der EU Bekämpfung der Internetkriminalität im europäischen Verbund

Das HIIG ist bei diesem Forschungsprojekt einer von vier Netzwerkpartnern im Kompetenznetzwerk für das Recht der zivilen Sicherheit in Europa (KORSE). Sein Ziel ist es, die deutsche rechtswissenschaftliche Sicherheitsforschung auszubauen, zu koordinieren und schließlich europaweit sicht- und fruchtbar zu machen. Während sich die Kollegiat_innen am Centre for Security and Society an der Albrecht-Ludwig Universität in Freiburg allgemeinen Herausforderungen der Sicherheitsforschung widmen, sind dessen Netzwerkpartner mit spezielleren Forschungsbereichen ausgestattet. Die Deutsche Hochschule der Polizei in Münster bearbeitet etwa das Feld der “Vernetzten Sicherheit vernetzter Polizeien” und der Claussen-Simon-Stiftungslehrstuhl für Internationales Recht der Bucerius Law School in Hamburg beschäftigt sich mit der “Maritimen Sicherheit”.

Neben diesen klassischen analogen Aspekten ziviler Sicherheit nimmt die digitale Sicherheit eine besondere und immer wichtiger werdende Rolle in Praxis und Forschung ein. Auch wenn Sie als Leser_innen dieses Blogs sicher nicht mit der gleichen Furcht wie unsere Macht- und Würdenträger_innen auf “das Internet” blicken, rechtfertigen dessen Besonderheiten dennoch auch im sicherheitsrechtlichen Bereich eine eigenständige Betrachtung. Vor allem ergibt sich das daraus, dass nicht nur nahezu sämtliche sicherheitsrelevante Aspekte des täglichen Lebens auch in der digitalen Welt anzutreffen sind und hier sogar unter Umständen eine noch gewichtigere Rolle spielen, sondern auch daraus, dass zusätzliche Gefahren entstanden sind.

Relevanz und Aktualität der vier HIIG/KORSE-Forschungsthemen soll an folgenden kurzen Überlegungen skizziert werden:

Daten werden durch Internet-Nutzer_innen schneller und umfassender preisgegeben, ohne dass diese dadurch zwingend weniger schützenswert sind. Der internationale Austausch von digitalen Informationen zwischen Staaten im Allgemeinen und zwischen Ermittlungsbehörden im Speziellen kann grundsätzlich ohne nennenswerte zeitliche Verzögerung geschehen. Daneben sind digitale Infrastrukturen so wichtig für das Funktionieren moderner Staaten geworden, dass deren genereller effektiver Schutz mehr denn je gewährleistet werden muss um beispielsweise Finanzwesen oder Energie- und Gesundheitsversorgung lückenlos gewährleisten zu können. Schließlich stellen diese Strukturen und digitalen Informationen vor allem auch für Kriminelle lohnenswerte Angriffsziele dar. Neben der kommerziellen Nutzung durch Wirtschaftsunternehmen und der staatlichen Überwachung von persönlichen Daten und digitalen Kommunikationsvorgängen spielt insbesondere auch der strafrechtliche Aspekt sowohl für die Internetnutzer_innen, als auch für die Ermittlungsbehörden eine maßgebliche Rolle.

Die Herangehensweise, auf potenzielle digitale und analoge Bedrohungssituationen vermehrt mithilfe der Nutzung digitaler Technologien zu reagieren, erscheint bisher allerdings selten konsequent zu Ende gedacht. Das führt dann dazu, dass sich die sicherheitsrechtlichen Zielvorstellungen mitunter widersprechen. Selbst wenn man beispielsweise den staatlichen Organen hinsichtlich Mechanismen wie etwa einer Vorratsdatenspeicherung zugute hielte, dass diese sorgsam und in einer verfassungsrechtlich zulässigen Weise mit den gewonnenen Daten verfahren, entstehen riesige zentrale Informationsspeicher. Diese ihrerseits stellen wiederum geeignete Angriffsziele für weniger gutmeinende Nutzergruppen digitaler Technologien dar. Ein Mittel zur Verhütung und Aufklärung von kriminellen Sachverhalten in der digitalen wie auch der analogen Welt entwickelt somit selbst ein (zumindest passives) eigenständiges Gefährdungspotenzial.

Gerade also weil es sich um eine anlasslose Speicherung von Verbindungsdaten handelt, können sich nicht einmal besonders anständige Bürger_innen (wen auch immer man als solche bezeichnen mag), wie der damalige Innen- und aktuelle Finanzminister Dr. Wolfgang Schäuble sicher fühlen. Jener hatte bei seinem Statement wohl lediglich an die Gefahr einer Ausspähung der Bürger_innen durch den Staat gedacht und weitere Nutzungs- und Missbrauchsmöglichkeiten seiner persönlichen Daten nicht in Erwägung gezogen:

“Außerdem bin ich anständig, mir muss das BKA keine Trojaner schicken.” (Dr. Wolfgang Schäuble, Februar 2007)

Die beiden genannten Aussagen von Politikern sind zwar lediglich ein winziger Ausschnitt. Dennoch zeigen sie, dass “das Internet” insbesondere in Politik und Verwaltung in irritierender Weise einerseits als große Gefahr für Sicherheit und Freiheit und andererseits als durchaus willkommenes Instrument im Sicherheitsbereich angesehen wird. Zwar ist ein solches Schwarz-Weiß-Denken in den wenigstens Situationen hilfreich, als Antwort auf Chancen, Risiken und Herausforderungen einer digitalen Welt taugt es jedoch definitiv nicht. Die vier Kollegiat_innen von KORSE am HIIG haben es sich auch deswegen zum Ziel gesetzt, durch eine intensive Zusammenarbeit sowohl untereinander, als auch im transdisziplinären Austausch mit Forscher_innen anderer Fachgebiete die Thematik noch differenzierter und umfassender zu betrachten. Vielleicht kann dann sogar unser Bundespräsident wieder ein wenig ruhiger schlafen.

Quellenhinweise:

Dieser Beitrag ist Teil der regelmäßig erscheinenden Blogartikel der Doktoranden des Alexander von Humboldt Institutes für Internet und Gesellschaft. Er spiegelt weder notwendigerweise noch ausschließlich die Meinung des Institutes wieder. Für mehr Informationen zu den Inhalten dieser Artikel und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de.

Sicherheitsforschung-BDSW.de

Zivile Sicherheitsforschung

Zivile Sicherheitsforschung in Deutschland

Zivile Sicherheitsforschung ist als eigenes Forschungsfeld in Deutschland fest etabliert. Auch der BDSW engagiert sich in mehreren Forschungsprojekten. Die Expertise des Verbandes und seiner Mitglieder trägt so zum einen dazu bei, entscheidende Impulse für die Entwicklung der privaten Sicherheitswirtschaft zu setzen. Zum anderen wird auf diese Weise sichergestellt, dass die Branche auch zukünftig ihren Beitrag zur Gewährleistung der zivilen Sicherheit in Deutschland leisten kann.

Seit Juni 2018 läuft das nunmehr dritte Rahmenprogramm der Bundesregierung „Forschung für die zivile Sicherheit 2018-2023“, das vom Bundesministerium für Bildung und Forschung (BMBF) gefördert wird. Pro Jahr stehen hier jeweils 60 Millionen Euro für die Forschungsförderung zur Verfügung

Dabei trägt das Programm auch der Bedeutung der privaten Sicherheitswirtschaft für die Ausgestaltung der Sicherheitsarchitektur in Deutschland umfassend Rechnung. So ist es auch ein erklärtes Ziel „Rahmenbedingungen [zu] schaffen, um innovative Dienstleistungen und Produkte zur Erhöhung der zivilen Sicherheit in die Praxis zu bringen“. Insbesondere die Fördermaßnahmen „Anwender-innovativ“ und „KMU-innovativ“ bieten privaten Sicherheitsdienstleistern Möglichkeiten, die Umsetzung eigener Forschungsideen zu realisieren.

Die förderfähigen Forschungsthemen ergeben sich aus den drei Programmsäulen

• „Schutz und Rettung von Menschen”

• „Schutz Kritischer Infrastrukturen”

• „Schutz vor Kriminalität und Terrorismus”

sowie den hierin integrierten Querschnittsthemen

• „Technologische Entwicklungen“ und

• „Gesellschaftliche Entwicklungen“.

Weitere übergeordnete Querschnittsthemen sind „Strukturbildung, Praxistransfer und Kompetenzaufbau” sowie „Internationale Kooperationen”.

Über aktuelle Entwicklungen der zivilen Sicherheitsforschung informiert der BDSW auch in der Rubrik „Sicherheitsforschung“ des DSD Der Sicherheitsdienst.

Ansprechpartnerin:

Kirsten Wiegand

Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Sicherheitsforschung: Finanzdienstleister weiterhin beliebtes Ziel von Credential-Stuffing- und Webanwendungsangriffen

Forscher von Akamai und WMC haben mehrere Phishing-Kits untersucht, darunter „Kr3pto“

Akamai Technologies, Inc. hat heute den „State of the Internet“-Sicherheitsbericht zum Thema Phishing im Finanzwesen veröffentlicht. Dieser enthält Traffic-Analysen von Webanwendungs- und Credential-Stuffing-Angriffen, die sowohl branchenübergreifende Zahlen als auch einen gezielten Blick auf die Finanzdienstleistungsbranche bieten. Dabei zeigt sich ein deutlicher Anstieg von Angriffen zwischen 2019 und 2020.

Für diesen Bericht haben sich die Forscher von Akamai zudem mit WMC Global zusammengetan, um zwei spezielle Phishing-Kits zu untersuchen: Kr3pto und Ex-Robotos. Kr3pto fielen Kunden von elf britischen Bankmarken zum Opfer und Ex-Robotos kam bei gezielten Angriffen auf Unternehmensmitarbeiter zum Einsatz.

In Zahlen

Im Jahr 2020 verzeichnete Akamai weltweit 193 Milliarden Credential-Stuffing-Angriffe, von denen 3,4 Milliarden auf Finanzdienstleister abzielten. Dies entspricht einem Anstieg in diesem Sektor von mehr als 45 Prozent im Vergleich zum Vorjahr.

Darüber hinaus beobachtete Akamai im Jahr 2020 fast 6,3 Milliarden Webanwendungsangriffe, von denen mehr als 736 Millionen auf Finanzdienstleister abzielten. Dies entspricht einem Anstieg von 62 Prozent gegenüber dem Jahr 2019.

SQLi-Angriffe (SQL Injection) blieben weltweit in allen Geschäftsbereichen an der Spitze und machten im Jahr 2020 68 Prozent aller Webanwendungsangriffe aus, wobei LFI-Angriffe (Local File Inclusion) mit 22 Prozent an zweiter Stelle kamen. Jedoch waren LFI-Angriffe 2020 in der Finanzdienstleistungsbranche mit 52 Prozent die Nummer eins bei Webanwendungsangriffen. SQLi und Cross-Site Scripting lagen jeweils bei 33 bzw. neun Prozent.

In den vergangenen drei Jahren (2018–2020) hat Akamai eine Zunahme von DDoS-Angriffen auf den Finanzdienstleistungssektor um 93 Prozent festgestellt. Dies deutet darauf hin, dass Kriminelle bei ihren Angriffen auf geschäftskritische Services und Anwendungen weiterhin auf systemische Störungen setzen.

Zusammenarbeit im Bereich Threat Intelligence

Für diesen Bericht hat Akamai mit dem Threat Intelligence-Unternehmen WMC Global zusammengearbeitet. Die Forscher bei WMC Global sind Experten für SMS-Phishing („Smishing“) und Toolkits, die von Kriminellen für Angriffe entwickelt werden. Im Rahmen dieser Zusammenarbeit wurden zwei spezielle Phishing-Kits untersucht: Kr3pto und Ex-Robotos.

„Die anhaltende, starke Zunahme von Credential Stuffing steht in direktem Zusammenhang mit dem Phishing in der Finanzdienstleistungsbranche“, so Steve Ragan, Sicherheitsforscher bei Akamai und Autor des „State of the Internet“-Sicherheitsberichts. „Kriminelle verwenden eine Vielzahl von Methoden, um ihren Bestand an Anmeldedaten zu erweitern, und Phishing ist eines der wichtigsten Tools in ihrem Arsenal. Durch gezielte Angriffe auf Bankkunden und Mitarbeiter in dieser Branche erhöhen Kriminelle den Pool ihrer potenziellen Opfer exponentiell.“

Das Phishing-Kit Kr3pto, mit dem Finanzinstitute und ihre Kunden per SMS angegriffen wurden, hat seit Mai 2020 nachweislich tausende Domains im Bankenwesen gespooft. WMC Global hat im ersten Quartal 2021 über einen Zeitraum von 31 Tagen mehr als 4.000 Kr3pto-Kampagnen verfolgt, bei denen die Opfer per SMS angegriffen wurden.

Ex-Robotos ist ein Phishing-Kit, das hauptsächlich auf Unternehmenskonten abzielt, während Kr3pto dafür bekannt ist, Verbraucher ins Visier zu nehmen. Ex-Robotos stammt von einem Bedrohungsakteur, der in den letzten Monaten eine Reihe von Phishing-Kits für Unternehmen entwickelt und veröffentlicht hat und in Sachen Phishing von Unternehmensdaten neue Maßstäbe setzt. Nach Daten der Akamai Intelligent Edge Platform gab es über einen Zeitraum von 43 Tagen mehr als 220.000 Zugriffe auf die API-IP-Adresse von Ex-Robotos. Tatsächlich erreichte der Traffic zu dieser Adresse zwischen dem 31. Januar und dem 5. Februar 2021 einen Höchstwert von Zehntausenden Zugriffen pro Tag.

„Kr3pto und Ex-Robotos sind nur zwei von vielen Kits, mit denen Unternehmen und Verbraucher aktuell angegriffen werden“, so Jake Sloane, Senior Threat Hunter bei WMC Global. „Wir müssen bedenken, dass Mitarbeiter auch Verbraucher sind. Im Zuge der Verbreitung von Homeoffice und der Nutzung von Mobilgeräten in Unternehmensumgebungen sind Kriminelle immer aktiver geworden. So lässt sich auch die jüngste Zunahme von SMS-basierten Phishing-Angriffen erklären.“

„Durch die Zusammenarbeit mit WMC Global konnten wir unsere Berichterstattung zur Finanzbranche ausbauen und noch mehr Details zu den Angriffen ausarbeiten, denen Finanzunternehmen täglich ausgesetzt sind“, so Ragan.

Bei ihren Beobachtungen stellen die Sicherheitsforscher von Akamai fest, dass Phishing-Kits wie Ex-Robotos und Kr3pto nur die Spitze des Eisbergs sind. Das Modell Phishing als Ganzes wächst von Jahr zu Jahr exponentiell, da Entwickler dieselben Web-Technologien und Techniken nutzen, die es Unternehmen ermöglichen, agil und den Angreifern voraus zu sein.

Kriminelle haben es dabei vor allem auf Unternehmen abgesehen, die keine Maßnahmen für den Authentifizierungsschutz wie MFA und 2FA nutzen. Mehrschichtige Verteidigungsmaßnahmen und Segmentierung machen Webangriffe für Angreifer kostspielig, was sie dazu veranlasst, sich andere Ziele zu suchen. Finanzdienstleister sollten die neuesten Technologien und Konzepte wie “Zero Trust” nutzen, um sicherzustellen, dass sie den Angreifern im Jahr 2021 einen Schritt voraus sind.

Lesen Sie den Akamai „State of the Internet“-Sicherheitsbericht 2021 zum Thema Phishing im Finanzwesen auf unserer „State of the Internet“-Seite.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels