IT- Sicherheit und Cybercrime

Fragen zu Cybercrime beantwortet die Zentrale Ansprechstelle Cybercrime (ZAC).

IT- Sicherheit und Cybercrime

Die Zentrale Ansprechstelle Cybercrime (ZAC) des LKA 54 ist Ihr kompetenter Ansprechpartner zu sämtlichen Fragen im Bereich Cybercrime.

LKA 543 – ZAC
Zentrale Ansprechstelle Cybercrime
Bruno-Georges-Platz 1
22297 Hamburg
Tel.: 040 4286 75455
Fax: 040 427 999 141
E-Mail: zac {ät} polizei.hamburg.de
Website: www.polizei.hamburg/zac

Im LKA 54 arbeiten kriminalpolizeiliche Ermittler und Informatiker in drei Sachgebieten eng zusammen. Im Ermittlungsbereich liegt der Schwerpunkt auf Verfahren, bei deren Bearbeitung ein hohes technisches Fachwissen erforderlich ist. Daneben gehören zum LKA 54 aber auch die Bereiche „Digitale Forensik“, „technische Ermittlungsunterstützung“ und „ZAC“.

Aktuell werden derzeit die folgenden Delikte bearbeitet, welche eine hohe Relevanz für die Hamburger Wirtschaft haben:

CEO-Fraud

Beim CEO-Fraud (auch Geschäftsführerbetrug oder Enkeltrick 4.0) versuchen die Täter, sich gegenüber einem Mitarbeiter der Buchhaltung als Geschäftsführer auszugeben und hierdurch Zahlungen zu initiieren. Hierzu legen sie in der Regel E-Mailadressen an, die der Originaladresse des Geschäftsführers sehr ähnlich sind oder treffen andere Maßnahmen, um die falsche Absenderadresse zu verschleiern. Die Täter nutzen hierfür Informationen, die Unternehmen in Wirtschaftsberichten, im Handelsregister, auf ihrer Homepage oder in Werbebroschüren veröffentlichen. Ihr Augenmerk liegt insbesondere auf Angaben zu Geschäftspartnern und künftigen Investments und E-Mail-Erreichbarkeiten. Soziale Netzwerke, in denen Mitarbeiter ihre Funktion und Tätigkeit oder persönliche Details preisgeben, stellen ebenfalls eine wichtige Informationsquelle dar. Auf diese Weise verschaffen sich die Täter das für den Betrug erforderliche Insiderwissen über das betreffende Unternehmen.

Als weiteres Phänomen wird die E-Mailkommunikation zwischen Unternehmen von Tätern abgefangen und der Inhalt der Mails dahingehend manipuliert, dass unter verschiedenen Vorwänden neue Kontoverbindungen genannt werden oder die Kontodaten in Rechnungen manipuliert werden. Dieses Phänomen wird als Payment Diversion Fraud bezeichnet.

Verschlüsselungstrojaner

Seit Ende 2015 wurden vermehrt Verschlüsselungstrojaner vornehmlich als E-Mailanhang versendet. Bei Unternehmen trafen diese in der Regel als Bewerbungs-E-Mails ein und hatten oftmals einen Bezug zu aktuellen Stellenausschreibungen. Wurde ein solcher Anhang geöffnet, so begann die Schadsoftware damit zahlreiche Dateien auf dem Computer des Nutzers sowie verbundenen Netzlaufwerken zu verschlüsseln und ein Lösegeld für den Entschlüsselungsschlüssel zu fordern. Während große Unternehmen mit einer eigenen IT-Abteilung und professionellen Backuplösung hierdurch zumeist nur geringe Einschränkungen hatten, trafen diese Angriffe gerade kleine Unternehmen mit unzureichenden Backuplösungen oftmals sehr hart.

Mit den Programmen WannaCry und Not-Petya traten im Jahr 2017 zwei neue Schadsoftwarevarianten in die IT-Welt, welche ein weit größeres Schadpotential hatten. Bei diesen Programmen wird der Computer des Nutzers nicht sofort verschlüsselt. Stattdessen versucht die Schadsoftware sich soweit wie möglich im Netzwerk des Betroffenen zu verbreiten und weitere Computer zu infizieren, um zu einem bestimmten Zeitpunkt möglichst gleichzeitig alle Computer unbrauchbar zu machen. Es ist zu erwarten, dass Angriffe dieser Art weiter zunehmen werden, da der hierdurch aufgebaute Druck sehr groß ist und somit oftmals zu einer Zahlung des Lösegeldes seitens des Betroffenen führt.

DDoS-Angriffe (Angriffe auf die Verfügbarkeit von Webseiten, Internetdiensten und Netzwerken).

So genannte Distributed Denial of Service Angriffe bedeuten, dass Täter das Internetangebot eines Unternehmens mit zahllosen Anfragen überlasten, so dass legitime Nutzer und Kunden hierauf nicht mehr zugreifen können. Anschließend wird von dem Unternehmen ein „Schutzgeld“ gefordert, damit solche Angriffe sich nicht wiederholen. Während aktuell vornehmlich Onlineshops von Angriffen dieser Art betroffen sind, ist es denkbar, dass die Täter zukünftig auch andere Unternehmensbereiche, bei denen sie eine hohe Abhängigkeit von einer funktionierenden Internetverbindung erwarten, in den Fokus nehmen. Hierbei nützt es den Tätern, dass die Zahl der mit dem Internet verbundenen Geräten so genannten IoT’s (Internet of Things) stetig steigt. Diese sind oftmals unzureichend gegen Angriffe abgesichert und können so von den Tätern für diese Art von Angriffen missbraucht werden, indem sie, wie aktuell auch normale Computer, zu sogenannten Botnetzen zusammengefasst werden.

DDoS-Angriffe gehören zu den am häufigsten beobachteten Sicherheitsvorfällen im Cyber-Raum. Kriminelle haben hieraus bereits entsprechende Geschäftsmodelle entwickelt und vermieten Botnetze verschiedener Größen. Gerade im wettbewerbsintensiven Marktsegment Internet können Nichterreichbarkeit von Vertriebsportalen zu erheblichen wirtschaftlichen Schäden führen. Die Täter verfolgten in der Regel rein monetäre Interessen (Erpressung).

Während sich im Bereich der Clouddienste die Begriffe SaaS (Software as a Service) oder IaaS (Infrastructure as a Service) etabliert haben, ist mittlerweile auch der Begriff des CaaS (Crime as a Service) eine gängige Abkürzung. Hierunter ist zu verstehen, dass sich potentielle Cyberkriminelle nicht mehr mit IT auskennen müssen, sondern sich Angriffstools wie Botnetze, Schadsoftware oder Sicherheitslücken in zahllosen Internetshops oder Foren kaufen können. Dieses umfangreiche Angebot führt dazu, dass die Zahl der potentiellen Angreifer mutmaßlich weiter wachsen wird.

Zur IT-Sicherheit bzw. zum IT-Grundschutz stehen umfangreiche Publikationen und Broschüren beim Bundesamt für Sicherheit in der Informationstechnik (BSI) über deren Internetportal www.bsi.bund.de für jedermann und jedes Unternehmen zur Verfügung.