Bekämpfung von Cybercrime - mittelstandsverband-oberhavel.de · Bekämpfung von Cybercrime 13.04.2018 Wie kann ich mich als Unternehmen vor Cyberangriffen schützen? Landeskriminalamt

Bekämpfung von Cybercrime

13.04.2018

Wie kann ich mich als Unternehmen vor

Cyberangriffen schützen?

Landeskriminalamt - KHK Banik

Mittelstandsverband Oberhavel

15. März 2018

1

Wahrnehmung der „Cybercrime“

Sicherheitsarchitektur – Strafverfolgungsbehörden Land BB

Aktuelle Phänomene

Ausblick

13.04.2018

Agenda

Landeskriminalamt - KHK Banik 2

Wie viele Unternehmen waren prozentual

die letzten beiden Jahren von Cybercrime

betroffen?


Mehr als jedes Dritte!

13.04.2018

Quelle: KPMG, Deutschland, 2017

3

Wie viel Zeit vergeht bis zur Entdeckung eines

„Cyber-Vorfalls“ weltweit?


146 Tage

Und in Europa?

469 Tage

Quelle: FireEye, M-Trends, 2016

13.04.2018 4

13.04.2018

Kriminalitätsbarometer Berlin-Brandenburg 2017

Eine vergleichende Studie zur Belastung der Wirtschaft mit Kriminalität


War Ihr Unternehmen im letzten Jahr (2016) von folgenden Straftaten betroffen?

27,4 %

5

13.04.2018

Kriminalitätsbarometer Berlin-Brandenburg 2017

Eine vergleichende Studie zur Belastung der Wirtschaft mit Kriminalität


Wurde die Straftat angezeigt?

7,3%

6

13.04.2018 Landeskriminalamt - KHK Banik

Bitcom Cybercrime-Studie (Quelle: BITKOM vom 10.10.2017)

Tatausübung:

49 % der deutschen Internetnutzer sind in den letzten 12 Monaten Opfer von Cybercrime geworden

häufigstes Delikt (43 %) ist die Infizierung des Computers mit Schadprogrammen

bei 19 % wurden die Zugangsdaten zu Online-Diensten wie Sozialen Netzwerken oder Online-Shops

gestohlen oder persönliche Daten illegal genutzt (18 %)

etwa 16 % sind beim Online-Shopping oder Online-Banking betrogen worden

Schäden

in 54 % der Fälle ist ein finanzieller Schaden entstanden (z.B. Inanspruchnahme von IT-Experten-

Reparaturdienst (28 %); Kauf von zusätzlicher Hard- oder Software (23 %).

16 % erlitten Schäden wegen nicht bezahlter, online verkaufter Waren bzw. online gekaufter Waren, die

nicht angekommen sind.

4 % haben fremde finanzielle Transaktionen auf ihrem Konto oder mit ihrer Kreditkarte festgestellt.

Anzeigenbereitschaft

65 % der Betroffenen haben nicht auf den Cyber-Vorfall reagiert – davon 45 % der Opfer glauben, dass die Täter ohnehin nicht ermittelt werden.

– 34 % ist der Aufwand einer Anzeige zu hoch.

lediglich 18 % haben Anzeige bei der Polizei oder Staatsanwaltschaft erstattet

7

Cybercrime

Straftaten,

die sich gegen das Internet, weitere

Datennetze, informationstechnische

Systeme oder deren Daten richten,

die mittels dieser Informationstechnik

begangen werden

13.04.2018

Quelle: Umlaufbeschluss der AG Kripo vom 09.08.2012


„Single-Point-of-Contact“ für Wirtschaftsunternehmen

und Behörden

Meldung erkannter Cyber-Attacken und Sicherheitsrisiken

Hinweisprüfung, Koordinierung polizeilicher Ermittlungen

Austausch von Informationen zur Vermeidung von

Cybercrime-Angriffen

Teilnahme der ZAC an regionalen Info-Veranstaltungen

der IHK (z. B. mit KMU, Online-Händlern)

im Landeskriminalamt Brandenburg (LKA 121) - seit 2012

Einige Partner in

der Wirtschaft:

Zentrale Ansprechstelle Cybercrime (ZAC)

13.04.2018 Landeskriminalamt - KHK Banik 9

13.04.2018

Informationswege - Ermittlungszuständigkeiten

Unternehmen/

Behörden

Landeskriminalamt

ZAC - Zentrale Ansprechstelle

Cybercrime für die Wirtschaft

LKA

Cybercrime-

Ermittlungen

Polizeidirektion

Cybercrime-

Ermittlungen

LKA

Wirtschaftskriminalität-

Ermittlungen

LKA

Staatsschutz-

Ermittlungen

z. B. herausragende Fälle

- des Datendiebstahls

- des Angriffs auf IT-Systeme

- i.Z.m. KRITIS-Unternehmen

z. B. sonstige Cybercrimefälle

- Angriff auf Onlinebanking

- Waren-/Warenkreditbetrug

- Veränderung v. Webportalen

z. B.

- Urheberrechtsverstöße

- Softwarepiraterie

- Betrug

z. B.

- Verbreitung politisch mot.

Inhalte auf Webseiten

- Anschläge auf Firmen


BSI-CS 005 | Version 1.20

vom 01.08.2016

Rang Bedrohungen

1 Social Engineering und Phishing

2 Einschleusen von Schadsoftware über Wechseldatenträger und

externe Hardware

3 Infektion mit Schadsoftware über Internet und Intranet

4 Einbruch über Fernwartungszugänge

5 Menschliches Fehlverhalten und Sabotage

6 Internet-verbundene Steuerungskomponenten

7 Technisches Fehlverhalten und höhere Gewalt

8 Kompromittierung von Extranet und Cloud-Komponenten

9 (D)DoS Angriffe

10 Kompromittierung von Smartphones im Produktionsumfeld

Industrial Control System Security Top 10 Bedrohungen 2016


13.04.2018

Waren-/Warenkreditbetrug

Stalking

Cybermobbing, -grooming

Kinder-/Jugendpornografie

Gewalt verherrlichende Inhalte

Propagandadelikte PMK

Digitale Lösegelderpressung

Wirtschaftsspionage

Underground Economy

Abgreifen digitaler Signaturen

WLAN-Hacking

Phänomene PBX-Hacking

Skimming

Phishing / Pharming

Carding

Daten- und Identitätsdiebstahl

Account Takeover

Verbreitung von Schadsoftware

Geldwäsche

DDoS-Angriffe / Botnetze

Angriffe auf Server und Webseiten

Anonymer Kreislauf inkriminierter Waren (Rauschgift, Waffen, …)


13.04.2018

Charakteristika der Phänomene

permanente Fortentwicklung krimineller Geschäftsideen

- Hacking von Webservern, um Malware zu platzieren

hohe Dynamik, Flexibilität, Anonymität, Verschleierung

- Drive-by-Downloads, Übernahme von Rechnern

internationales Zusammenwirken von Tatbeteiligten

- Drive-by Exploits zum Zwecke des Identitätsdiebstahls

neue Tätertypologien

- IT-Fachleute als Dienstleister

hohes Gefährdungspotential für Economy

- DDoS-Angriffe mit Botnetzen

hohes Dunkelfeld

- Unzählige Verseuchung durch Malware-E-Mails


13.04.2018

Höchst unterschiedliche

Tätertypen …

Jugendliche Hacker +++ Extremisten +++ Erpresser +++ Terroristen +++ lose kriminelle Strukturen und Banden

+++ internationale Organisationen +++ Nachrichtendienste anderer Staaten ???

Finanzagenten … angeworben für Geld-/Warentransaktionen (Geldwäsche)

Script-Kiddies … nutzen für Phishing, Social Engineering und Defacement

vorprogrammierte Software-Toolkits

Hacker (IT-Wissen) … strukturierte Attacken (DDoS, Drive-by-exploit, SQL-Injections)

Profi-Hacker … staatlich gelenkte Hacker, terroristische Gruppen, Hacktivisten

Kämpfer gegen Ungerechtigkeit, politische/wirtschaftliche

Interessen von Regierungen, Behörden und Unternehmen


13.04.2018

Infektionswege

E-Mail (E-Mail-Anhang bzw. Download-Link)

Nachrichten innerhalb sozialer Netzwerke

Weiterverbreitung durch Netzlaufwerke, USB-Sticks, …

Drive-by-Exploit (ohne Interaktion)

Drive-by-Download (erfordert Interaktion)

Filesharing

Instant Messages (AOL Instant Messanger -Chat- , Skype, …)


13.04.2018

Diebstahl digitaler Identitäten

Ausspähen und Verändern von privat eingerichteten Accounts u. a. bei

- Geldinstituten (Zugangs-, Konto-, Kreditkartendaten, Mobilfunknummern),

- Online-Zahlungssystemen („ClickandBuy“, „Moneybookers“, „PayPal“),

- sozialen Netzwerken und Kommunikationsplattformen,

- DHL (Packstationen),

- E-Commerce (eBay, Amazon, Apple iTunes, Zalando, etc.),

- diversen E-Mail- bzw. Provider-Premium-Diensten („T-Online“ etc.),

- Online-Spielen (z. B. account-take-over, Diebstahl von Items)

- Online-Wettanbietern


Diebstahl digitaler Identitäten von Internetnutzern

Häufige Tatbegehungsweisen

Installation von

Schadprogrammen

Drive-by-Exploits

Drive-by-Downloads

Einbruch auf Server

von Unternehmen

(Datenbanken)

Einsatz von

Keyloggern

Social Engineering

(Spear)Phishing

Dropzones

Missbrauch für

kriminelle Zwecke

Verkauf über illegale

UE-Plattformen


13.04.2018

PayPal-Phishing mittels E-Mail

Missbrauch des PayPal-Logos und

Verwendung einer gefälschten Absender-

Adresse

Ziel der Täter:

Ausspähen von Kreditkartendaten und

Zugangsdaten zum PayPal-Account des

Geschädigten


13.04.2018

Pharming … z. B. von Zugangs-, Personen-, Konto- und Kreditkartendaten auf

„falschen“ PayPal-Seiten (Beispiel: http://www.paypal-shield.de)



13.04.2018 www.bsi-fuer-buerger.de (Stand: 13.01.2013)

Warnung vor Phishing-

E-Mails mit dem Betreff

„Verifizierung ihrer

Kreditkarte“

Empfänger werden aufge-

fordert, einen in der E-Mail

enthaltenen Link mit der

Bezeichnung „VeriSign“

anzuklicken

angebliche

Sicherheitsüberprüfung

Aufforderung zur Eingabe

von Kreditkartendaten auf

einer gefakten Website




Identity Leak Checker

https://sec.hpi.uni-potsdam.de

© Hasso-Plattner-Institut 2014

21


Digitale Erpressung

Ransomware

22


Digitale Erpressung

… Angreifer/Täter erwirbt mittels gestohlener Daten oder durch Infizierungen

von Computern (z. B. mittels Trojaner) Zugriffsberechtigungen auf sämtliche

PCs und Serversysteme zur Durchsetzung von „Lösegeldforderungen“

Bundesweite Verbreitung von Lösegeld- und Verschlüsselungs-Trojanern

2011

BKA- / Bundespolizei- /

GEMA- / GVU Trojaner

2012 2012

zip-Trojaner [*.zip / *.pdf] /

Ransomware tw. mit Porno

beim Internet-Surfen

2013

Malware verschlüsselt Daten und

mittlerweile ganze Server-Systeme

(CryptoWall, TeslaCrypt, Locky, Petya)

beim Internet-Surfen und

durch E-Mail-Anhänge

2013 2017

beim Internet-Surfen, E-Mail-

Anhänge und Botnetze

23


Grundvarianten der digitalen Erpressung

Ransomware, die keine Verschlüsselung der

Festplatte, sondern lediglich eine Manipulation des

Betriebssystems verursacht und deren Bereinigung

unter Nutzung der im Internet verbreiteten Anleitungen

vergleichsweise einfach ist.

I.

II. Ransomware die die Daten auf Endsystemen oder

Servern tatsächlich verschlüsselt oder löscht.

Zugriff auf die Daten ist, wenn überhaupt, nur durch

Zahlung des geforderten „Lösegeldes“ in einem

vorgegebenen Zeitfenster oder durch Einspielung

eines Backups möglich.

13.04.2018 24

13.04.2018 Landeskriminalamt - KHK Banik Denny Speckhahn – Landeskriminalamt Brandenburg 25 13.04.2018

25


Digitales Lösegeld (zip-Trojaner)

„ausgedachte“ Zahlungsaufforderungen,

Vertragsänderungen sowie

Kündigungsfristen im E-Mail-Anhang

hinter den als „*.zip“ oder „*.pdf“

getarnten „Dateien“ verbergen sich

gefährliche Schadprogramme

(Ausführung als exe-Datei !!!)

beim Öffnen des E-Mail-Anhanges wird

Windows aus „Sicherheitsgründen“

gesperrt - angeblich kann die Sperrung

nach Zahlung eines Strafgeldes wieder

aufgehoben werden (z. B. Ukash)

26


Grundvarianten der digitalen Erpressung

Ransomware, die keine Verschlüsselung der

Festplatte, sondern lediglich eine Manipulation des

Betriebssystems verursacht und deren Bereinigung

unter Nutzung der im Internet verbreiteten Anleitungen

vergleichsweise einfach ist.

I.

II. Ransomware die die Daten auf Endsystemen oder

Servern tatsächlich verschlüsselt oder löscht.

Zugriff auf die Daten ist, wenn überhaupt, nur durch

Zahlung des geforderten „Lösegeldes“ in einem

vorgegebenen Zeitfenster oder durch Einspielung

eines Backups möglich.

13.04.2018 27


Aktuelle Varianten von Krypto-Ransomware

JigSaw - verschlüsselt nicht nur Dateien unter Windows, sondern

löscht diese auch, wenn die Opfer das Lösegeld nicht zahlen

Petya - Bewerbungs-E-Mails von …@net-24.at https://www.dropbox.com/

- Verschlüsselung kompletter Datenträger

Cerber - Opfer dieser Ransomware erhalten eine Sprachmitteilung

über die von der Verschlüsselung betroffenen Dateien

ZCryptor - lagert sich in AUTOSTART ein und verbreitet sich wurmartig über

Laufwerke und USB-Medien verschlüsselte Dateienendung . zcrypt

- Daten bei Nichtzahlung, Löschung Trojaner/Verschlüsselung verloren

Maktub

Locker

- Verbreitung über Mail-Anhänge mit ausführbaren scr-Dateien

- Kryptierung stoppt, wenn Tastaturbelegung in russischer Sprache

- Entschlüsselungs-Key wird nach 15 Tagen bei Nichtzahlung gelöscht

Goldeneye - Bewerbungs-E-Mails (.xls, .pdf) an Behörden und Unternehmen

- Bezug auf offene Stellenausschreibungen von Rolf.Drescher@...

CryptBit - Lösegeld erhöht sich stetig nach der Verschlüsselung (1 BTC/Tag)

- AES-256, Täterkontakt über [email protected]

28


Erstmaßnahmen bei Befall von Krypto-Ransomware

IT-System umgehend vom Stromnetz trennen und vorerst nicht neu starten.

Meldung derartiger Hacker-Attacken an die Strafverfolgungsbehörden

Empfehlung: Keine Lösegeldzahlung leisten!

Chiffrierte Daten bzw. das gesamte Computersystem als Image sichern

(möglicherweise kann eine Datenwiederherstellung noch erfolgen)

Malware identifizieren und Bereinigung der kompromittierten IT-Systeme

Wiederherstellung der Daten mittels eines verfügbaren Dechiffrierungs-Tools

oder

Formatierung der Festplatte und Einspielung einer Datensicherung (Backup)

oder

Neuaufsetzung des Betriebssystems (Daten sind unwiederbringlich verloren!)

29


Schutzmaßnahmen gegen Krypto-Ransomware

Sichern Sie regelmäßig (automatisiert) Ihre Daten auf ein externes

Speichermedium

(z. B. USB-Festplatte, USB-Stick, vertrauenswürdiger Cloud-Speicher)

Verbinden Sie das Speichermedium für Ihre Datensicherungen nicht

dauerhaft mit Ihrem Computer. Bewahren Sie ihre Datensicherung

getrennt von Ihrem Computer an einem geschützten Ort auf.

Wenn Sie Cloud-Dienste für die Datensicherung verwenden möchten,

informieren Sie sich, welchen Schutz Ihrer Daten der Cloud-Betreiber

gewährleistet.

Sorgen Sie dafür, dass Mitarbeiter und Privatanwender sensibilisiert

werden, damit sie das Phänomen Ransomware kennen und somit

verdächtigen Mails oder Links mit Vorsicht und gesundem Misstrauen

begegnen können.

30


weitere Schutzmöglichkeiten:

Darüber hinaus sollten Standardschutzmaßnahmen getroffen werden, bspw.

Software wie Betriebssystem, Browser und Browser-Plugins (Java, Flash,

Adobe-Reader, etc.) und Anti-AV-/Anti-Ransomware aktuell zu halten.

In den Office-Programmen das automatische Laden von Makros deaktivieren.

Administratoren von IT-Systemen sollten Nutzerrechte und Netzwerkfreigaben

begrenzen.

Verwendung sicherer Kennwörter, z. B. bei Benutzerkonten mit Fernzugriff

wenn möglich Remote-Zugriffe ganz deaktivieren oder VPN-Zugänge nutzen

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Krypto-Trojaner_22022016.html

31


Verhaltensregeln im Umgang mit E-Mails

Niemals unverlangt zugeschickte Dateianhänge öffnen! Das gilt auch für

solche, die (scheinbar) von Bekannten oder (echt aussehenden) Firmen kommen.

Im Zweifelsfall beim Absender nachfragen. Er kann Ihnen sagen, ob er Ihnen

eine E-Mail mit Anhang geschickt hat.

Doppelte Dateierweiterungen wie „dateiname.pdf.exe“ oder „dateiname.pdf.scr“

sind grundsätzlich verdächtig und sollten ungelesen gelöscht werden. Es gibt

keinen vernünftigen Grund, eine Datei so zu benennen.

Installieren Sie einen Virenscanner, der auch die ankommenden E-Mails überprüft.

Sorgen Sie dafür, dass der Virenscanner immer auf dem aktuellen Stand ist.

Bei den meisten Produkten geht das automatisch in kurzen Zeitabständen.

32


Prävention und IT-Sicherheit

Öffnen von E-Mails

unbekannter Absender

unterlassen

regelmäßig persönliche Daten

(z. B. Fotos, Dokumente) als Kopie

auf einem externen Datenträger

(passwortgeschützt?) speichern

Kinder/Jugendliche:

- Gefahren des

Internets erklären

- beim „Surfen“ zur

Seite stehen

-„sichere“ Webseiten

mit Kinderschutz und

jugendgerechten

Inhalten nutzen

- Internetzugang zeitlich

begrenzen

- illegales Downloaden

ist strafbar

neuste technische

Sicherungsverfahren beim

Onlinebanking

(z.B. HBCI m. Kartenlesern

der Klasse 3 und chipTAN)

keine Daten-Eingabe bei

gefälschen Web-Seiten

bei festgestellten PC-Sperrungen

und erpresserischen

Zahlungsaufforderungen kein

Lösegeld bezahlen

Unternehmen und Behörden:

Investition in neueste IT-Security-

Technologien und vorhandene

Sicherungssysteme regelmäßigen

Stresstests sowie Schwachstellen-

analysen der Hard- und Software zu

unterziehen

Betriebssystem, installierte

Programme/Plugins und

Antivirensoftware auf dem

aktuellsten Stand halten

keine offenen WLAN-Netze

33


Notfallplan für den Fall eines Angriffs

Geschäftsprozesse listen

Handlungsanweisungen

„Darksites“

DV-Systeme und -Netzwerke

vor unauthorisierten Zugriffen schützen (innen/außen)

Rechtevergabe für Mitarbeiter

Soft-/Hardwarelösungen

IT-Security (Virenschutz, Firewall…)

IT-Vernetzung von modernen Maschinen und Anlagen

Neue Angriffspunkte für Unternehmen?

Mobile Sicherheit

Nutzung privater Endgeräte

auch für Geschäftsprozesse in Firmen

Einbindung in die IT-Umgebung des Unternehmens?

Frühwarnsystem

Beobachtung von User-Bloggs,

Google-Suggests,

Internetauftritten von Geschäftspartnern

Datenschutz

Personenbezogene Daten zu Kunden und Mitarbeitern

Prinzip der Datensparsamkeit

Sensibilisierung der Mitarbeiter vor Phishing-Attacken

E-Mails / SMS

Soziale Netzwerke

Gefälschte Webseiten

Handlungsempfehlungen

in der

Unternehmenssicherheit

34

13.04.2018

Tendenzen

Vernetzung „Internet der Dinge“ in Unternehmen und im Home-Bereich

vergrößert auch die Angriffsflächen für Cyberkriminelle

Verbreitung von Schadsoftware stellt für alle Internetnutzer eine große

Bedrohung dar (Social Engineering, Verschlüsselung, Anonymisierung!)

Täter verfügen meist nicht über spezielle Fachkenntnisse und beziehen

Malwareprogramme bzw. die komplette kriminelle Infrastruktur aus der UE

Ausweitung der kriminellen Aktivitäten in den Bereichen der Erlangung

digitaler Identitäten, betrügerischer Onlinebestellungen, der digitalen Erpressung

i. V. m. Krypto-Ransomware, Vernetzung in UE-Foren und „illegalen

Marktplätzen“ und Ausnutzung von Schwachstellen in VoIP-Telefonanlagen

Phänomene der Cybercrime bzw. die Verlagerung krimineller Aktivitäten in

das Darknet werden zukünftig weitere Kriminalitätsbereiche (z. B. OK, RG)

durchdringen

35 Landeskriminalamt - KHK Banik

Umgang mit IT-Vorfällen

ggf. Zusammenkunft

weitere Verfahrensweise, IT-Mitarbeiter, externe Stellen, fester Ansprechpartner mit Prokura, Klärung Presse etc.

Information Geschäftsleitung Notfallplan?

Kontakt ZAC

Erfolgreicher Abschluss

koordinierte Maßnahmen

13.04.2018 36 Landeskriminalamt - KHK Banik

Landeskriminalamt - KHK Banik 13.04.2018 37

Zentrale Ansprechstelle Cybercrime

für Unternehmen und Behörden

Polizeipräsidium

Landeskriminalamt Brandenburg, LKA 121

Telefon: 03334 388 8686

E-Mail: [email protected]

13.04.2018 37

http://www.bka.de/ http:// www.polizei-praevention.de/

https://www.allianz-fuer-cybersicherheit.de/

Brandenburg

Polizeipräsidium Brandenburg

Landeskriminalamt

LKA 120 - Cyber Competence Center

Tramper Chaussee 1

16225 Eberswalde

03334 / 388 - 1001

[email protected]

http://www.polizei-dein-partner.de/

13.04.2018 38 Landeskriminalamt - KHK Banik

Documents

Bekämpfung von Cybercrime - mittelstandsverband-oberhavel.de · Bekämpfung von Cybercrime 13.04.2018 Wie kann ich mich als Unternehmen vor Cyberangriffen schützen? Landeskriminalamt