Cybercrime-Experte des LKA: „Müssen Hackern die Anonymität nehmen“
2012 hat Niedersachsens Landeskriminalamt (LKA) im Dezernat 38, zuständig für Cyberkriminalität, eine neue Abteilung geschaffen: die Zentrale Ansprechstelle Cybercrime (ZAC). Dort arbeiten derzeit zwei Kriminalbeamte und drei Informatiker. Christian Pursche ist einer der Beamten und spricht mit Isabel Christian über den Schutz vor Hackerangriffen.
Rundblick: Herr Pursche, welche Rolle spielt die ZAC in der Ermittlungsarbeit zur Internetkriminalität?
Pursche: Wir fungieren als Ansprechpartner für die Wirtschaft, Behörden und Verbände bei Cybercrime-Vorfällen. Also, wenn sie gehackt worden sind oder vermuten, Opfer eines Angriffs geworden zu sein. Wir stehen aber auch präventiv zur Verfügung und halten etwa Vorträge, um die Mitarbeiter auf die Problematik aufmerksam zu machen und für das Vorgehen der Hacker zu sensibilisieren. Die Unternehmen können sich auch von uns beraten lassen, wie sie für mehr Sicherheit sorgen können. Da wir zur Polizei gehören, kostet das auch kein Geld. Zentrale Ansprechstellen wie unsere gibt es in jedem Landeskriminalamt und beim Bundeskriminalamt.
Rundblick: Wen greifen Hacker besonders oft an?
Pursche: Das kann man nicht genau sagen. Im Prinzip wird einfach alles angegriffen, was möglich ist. Denn es sind weniger Lücken in der Technik, es ist vielmehr der Mitarbeiter, der in den meisten Fällen die Hacker hereinlässt. Indem er etwa gutgläubig auf die Anhänge in Spammails klickt, die Schadsoftware enthalten. Spammails sind besonders gefährlich, die machen das größte Schadenspotenzial aus. Die E-Mail-Adressen der Empfänger werden durch automatisierte Programme aus dem Internet gesucht. Davon sind große Konzerne, mittelständische Unternehmen und kleine Firmen genauso betroffen wie jede Privatperson.
Cebit 2017 – lesen Sie auch:
- Feature: Digitalisierung bedeutet das Aus für die „Ersatzreligion Spaltmaß“
- Kommentar: CeBIT: Die Ruck-Messe
Rundblick: Was wollen die Täter?
Pursche: Letztendlich wollen sie nur eins: Geld. Unterschiedlich sind nur die Vorgehensweisen. Viele versuchen, sich durch den Diebstahl von Daten zu bereichern. Andere nutzen dieses vor ein paar Jahren entstandene Phänomen der Ransomware. Dabei wird ein Verschlüsselungsprogramm dazu missbraucht, die Datensätze des Opfers zu verschlüsseln. Anschließend erpressen die Hacker das Unternehmen, nur gegen einen Betrag X die Daten wieder lesbar zu machen.
Rundblick: Mit der Ransomware-Masche haben Hacker vergangenes Jahr ein Krankenhaus in Neuss weitgehend lahmgelegt. Auch hier geriet das Virus über einen gutgläubig angeklickten Link ins interne System. Glücklicherweise hatte die Klinik ein umfangreiches Backup angelegt. Setzen Hacker nach solchen Rückschlägen immer noch auf Ransomware, oder haben sie schon eine neue Masche entwickelt?
Pursche: Die neuen Maschen ergeben sich aus der Strategie, wie Ransomware verteilt wird. Die Ransomware ist es nach wie vor, die uns Tag und Nacht mit Arbeit versorgt. Da ist das Schadenspotenzial für die Wirtschaft immens. Aber wie diese Ransomware angeboten wird, wie das Opfer überredet wird, diese Schadsoftware selbst zu öffnen, das ist sehr unterschiedlich. Eine neue Masche ist zum Beispiel die Bewerbung. Bei Arbeitsagenturen werden Ausschreibungen von Unternehmen abgegriffen. Die darauf angegebenen Ansprechpartner für die Stelle bekommen eine E-Mail mit dem Hinweis, im Anhang befände sich der Lebenslauf. Völlig normal. Aber in diesem Lebenslauf steckt die Schadsoftware. Und obwohl das IT-System vor verdächtigen Inhalten warnt, wird der Anhang trotzdem geöffnet. Weil dem Mitarbeiter die Sensibilisierung fehlt. Das ist schon oft passiert.
———————–
Vier Hackangriffe, die es wirklich gab
- Auf dem Parkplatz eines Unternehmens lagen eines Morgens Unmengen von USB-Sticks herum. Die Mitarbeiter freuten sich über das unerwartete Präsent und nahmen die Datenträger mit. Einige wollten gleich sehen, was darauf gespeichert war und schlossen den USB-Stick an ihren Bürocomputer an. Und damit waren die Hacker im System.
- Glück im Unglück hatte eine andere Firma. Der Geschäftsführung fiel noch rechtzeitig auf, dass eine ungewöhnliche Transaktion angeordnet worden war. Unterschrieben mit der Signatur des Prokuristen. Die Internetrecherche ergab, dass eine PDF-Datei gestohlen und ins Netz gestellt worden war, auf dem die Unterschrift des Prokuristen für jeden sichtbar abgebildet war.
- Wer glaubt, Hacker sitzen nur in düsteren Kellerräumen und verlassen nie ihren Schreibtisch, der irrt. Ein beliebter Weg ins Firmennetz ist das WLAN. Steht der Router an einem gut zugänglichen Ort und das Passwort wurde nie geändert, so ist es quasi schon eine Einladung an den Hacker, die Router-Box bei einem Besuch hochzuheben, ein Foto vom darunter klebenden Passwort zu machen und sich einzuloggen.
- Die Geschäftspartner sind sich einig, die Medien haben schon über den Deal berichtet, da bekommt der Leiter der Rechnungsabteilung einen Anruf von einem netten Mann, der sich als Mitarbeiter der Partnerfirma vorstellt. Die Kontonummer habe sich kurzfristig geändert, bitte überweisen Sie das Geld für die Transaktion auf folgende Bankverbindung. Nichts bei gedacht, und schon sind die Millionen auf einem Offshore-Konto Krimineller und damit weg. Social Engineering sagt man in Fachkreisen, wenn Hacker sich gründlich über ihre Opfer informieren und dann Mitarbeiter für ihre Zwecke manipulieren.
———————–
Rundblick: Wie können sich Unternehmen am besten vor solchen Angriffen schützen?
Pursche: Das A und O ist und bleibt die Sensibilisierung der Mitarbeiter. Wie Kanzlerin Merkel gerade am Montag auf der Cebit gesagt hat, dass man bei der Digitalisierung jeden Bürger mitnehmen muss, müssen Unternehmen jeden Mitarbeiter mitnehmen. Und jeden Mitarbeiter heißt, jeden, der an einem Computer arbeitet. Ihm muss klargemacht werden, was im IT-System passiert und warum, und er muss auch für die Strategien der Hacker sensibilisiert werden, damit er die Schadsoftware nicht unwissentlich hereinlässt.
Rundblick: Warum ist es so schwer, die Täter ausfindig zu machen?
Pursche: Es gibt viele Aspekte, die da hineinzählen. Zum einen ist das Internet international und kennt keine Grenzen. In der Realität haben wir aber Ländergrenzen. Wenn ich eine IP-Adresse aus bestimmten Ländern habe, die mir auf ein justizielles Auskunftsschreiben keine Antwort geben, dann ist es schwer, Ermittlungen zu führen. Zum anderen gibt es einfache Anonymisierungsmöglichkeiten, die viele Menschen im Netz nutzen, wie etwa TOR-Netzwerke oder VPN-Clients. Auch die machen es uns schwer, eine brauchbare IP-Adresse und damit einen Täter zu ermitteln. Aber es gibt auch viele erfolgreiche Ermittlungsansätze. Einer ist, nicht aus den Augen zu verlieren, was die Täter wollen – nämlich Geld. Dann kommt das uralte kriminalistische Mittel „Follow the Money“ zum Einsatz. Wenn Täter oder Täterstrukturen glauben, sie könnten sich hinter Anonymisierungswerkzeugen verstecken, dann liegen sie damit definitiv falsch.
https://soundcloud.com/user-385595761/cebit-thema-cybercrime-das-fordert-das-landeskriminalamt
Rundblick: Was kann die Politik tun, um Cyberkriminalität wirksamer zu bekämpfen und Ihnen die Arbeit zu erleichtern?
Pursche: Das ist kein alleiniges Thema für die Landes- oder Bundespolitik. International muss sich die Politik noch intensiver darum kümmern, wie es mit der Anonymisierung im Internet weitergeht und mit der Verfolgbarkeit von Straftätern im Netz. Es ist ein altes Argument, aber es macht sich ja auch keiner darüber Gedanken, mit einem Autokennzeichen im Straßenverkehr herumzufahren. Natürlich kann man ein Kennzeichen auch nachmachen. Aber wenn man sich irgendwo aufhält, und das trifft auch gerade auf das Internet zu, wo massenhaft Schaden angerichtet werden kann, muss man identifizierbar sein können. Zurzeit sieht es so aus, dass sich jeder 14-Jährige, der ein bisschen internetaffin ist und ein paar Youtube-Videos anguckt, in Teilbereichen anonymisieren kann. Der kann bei mir in der Nachbarschaft im Keller sitzen und Straftaten begehen, und ich sehe eine IP-Adresse aus Russland und kann damit nichts anfangen. Da muss sich die internationale Politik Gedanken machen, wie sie mit der Anonymisierung zukünftig umgeht. Aber das wird ein Mammutprojekt.
https://soundcloud.com/user-385595761/sascha-lobo-man-muss-schaffen-sich-voranzuscheitern