1. Startseite
  2. Rhein-Main

„Die Opfer von Cybercrime sind überwiegend Unternehmen“

Erstellt:

Von: Claudia Kabel

Kommentare

Felix Gräser ist Sachgebietsleiter der Zentralen Ansprechstelle Cybercrime für die Wirtschaft (ZAC) beim Hessischen Landeskriminalamt.
Felix Gräser ist Sachgebietsleiter der Zentralen Ansprechstelle Cybercrime für die Wirtschaft (ZAC) beim Hessischen Landeskriminalamt. © HLKA

Felix Gräser vom LKA über die Hintergründe von Hackerangriffen und die Motive der Kriminellen.

Herr Gräser, Sie sind Sachgebietsleiter der Zentralen Ansprechstelle Cybercrime für die Wirtschaft beim Hessischen Landeskriminalamt und haben kürzlich beim Cybersicherheitsgipfel in Wiesbaden darüber referiert, was hinter Cyberangriffen steckt. Wer sind die bösen Buben?

Bei Cybercrime handelt es sich um einen vielfältigen Deliktsbereich mit ungezählten Tatmöglichkeiten – und damit auch unterschiedlichen Tätertypen. Die Polizei unterscheidet zwischen Cybercrime im engeren Sinne und Cybercrime im weiteren Sinne. Unter Cybercrime im weiteren Sinne versteht man Straftaten, die mittels Informationstechnik begangen werden, beispielsweise Betrügereien auf Ebay. Cybercrime im engeren Sinne umfasst Straftaten, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten. Das ist das vorrangige Tätigkeitsfeld der Zentralen Ansprechstelle Cybercrime des HLKA.

Was ist aktuell die größte Herausforderung?

Die derzeit größte Herausforderung stellt das Phänomen Ransomware dar – eine besondere Form der Erpressung, die insbesondere Unternehmen an den Rand der Existenz bringen kann, denn oftmals werden Forderungen in Millionenhöhe gestellt.

Ein solcher Angriff fand im Juni in Darmstadt statt. Was passiert dabei?

Bei einem Ransomware-Angriff werden die IT-Systeme eines Betriebs verschlüsselt. Das bedeutet, mit zunehmender Digitalisierung wachsen auch die potenziellen Angriffsziele. Im schlimmsten Fall ist jeder Unternehmensbereich betroffen. Weder Telefone, die meist über Voice-over-IP betrieben und zentral verwaltet werden, funktionieren, noch können Computer zielführend verwendet werden. Wurden die Daten verschlüsselt, werden hohe Lösegeldsummen gefordert und im Gegenzug eine Entschlüsselung der Daten in Aussicht gestellt. Auch kann mit der Veröffentlichung des erfolgreichen Hacks und der abgeflossenen Daten gedroht werden.

Wie kommen die Täter an das Geld?

In aller Regel werden finanzielle Forderungen in Form von Kryptowährungen gestellt, sodass sich die Täter als solche offenbaren müssen. Hier darf man sich jedoch nicht eine Menschengruppe vorstellen, die konspirativ zusammen in einem Raum sitzt. Die Gruppe eint lediglich das gemeinsame Ziel, auf das in Arbeitsteilung hingearbeitet wird. Verwendet werden dafür verschiedene Malware, also Verschlüsselungsprogramme.

Jeder könnte diese Programme nutzen?

Das Bild der Underground-Economy, also Prozesse analog denen herkömmlicher Wirtschaftsunternehmen, ist nach derzeitigem Kenntnisstand realistisch. So wird Cybercrime-as-a-Service, also eine käuflich zu erwerbende kriminelle Dienstleistung, zunehmend präsenter.

Wollen sich Hacker nur bereichern oder sind sie auch politisch motiviert?

Es existieren staatliche Akteure, staatlich gelenkte Akteure oder aber monetär motivierte Täter und sogenannte „Hacktivisten“. Zu beobachten ist, dass die Grenzen zwischen den Aktivitäten dieser verschiedenen Akteure zunehmend verschwimmen, was eine Herausforderung darstellt. Bei offensichtlichen Bereicherungstaten, wie es bei Ransomware-Angriffen regelmäßig der Fall ist, existieren in Einzelfällen Hinweise auf mögliche Staatsfinanzierung mit den erzielten Gewinnen. Vordergründig erkennbar bleibt in den meisten Fällen jedoch nur die Bereicherungsabsicht.

Wie wählen Hacker ihre Ziele aus?

Regelmäßig werden bekannt gewordene Sicherheitslücken ausgenutzt. Prominentes Beispiel aus der jüngeren Vergangenheit stellt die „Log4j-Schwachstelle“ dar, welche eine Vielzahl an Systemen potenziell gefährdete. (Anm. d. Red.: Log4j ist eine Programmbibliothek, in der Anwendungsmeldungen dokumentiert werden) Täter schneiden einen Angriff auf eine bestimmte Sicherheitslücke zu und verbreiten sie automatisiert. Alle Systeme, die nicht abgesichert wurden, können dann angegriffen werden. Vereinfacht dargestellt geht die Schadsoftware von Tür zu Tür und nutzt die Sicherheitslücke, um Zugang zum System zu erlangen.

Manchmal hat ein Angriff unerwartete Folgen...

Kollateralschäden, wie sie beim Angriff auf die Satellitensteuerung Viasat zu beobachten waren, lassen sich schwer vermeiden. Vom Ausfall des Viasat-Systems waren deutsche Windkraftanlagen betroffen, das primäre Ziel waren sie nach derzeitigem Kenntnisstand jedoch nicht.

Aber es gibt auch gezielte Angriffe?

Gezielte Angriffe, größtenteils auf große Unternehmen, werden als „Big Game Hunting“ bezeichnet, wobei die Ziele unter Verwendung unterschiedlichster Taktiken attackiert werden. Die Methoden reichen von „Social-Engineering-Angriffen“ über Auskundschaften der IT bis hin zum Versuch der Akquise von Mitarbeitern des Unternehmens als Innentäter.

Wer sind typischerweise die Opfer?

Die Opfer von Cybercrime im engeren Sinne sind überwiegend Wirtschaftsunternehmen, in jüngerer Vergangenheit zunehmend auch Behörden und öffentliche Einrichtungen.

Wie hat sich die Gefahrenlage seit Beginn des Ukraine-Kriegs verändert?

An der generellen Bedrohungslage hat sich wenig verändert, sie war in Deutschland bereits vor diesem einschneidenden Ereignis hoch. Das Bundesamt für Sicherheit in der Informationstechnik und das hessische Pendant, das Hessen CyberCompetenceCenter (Hessen3C) rufen Unternehmen, Organisationen und Behörden weiterhin dazu auf, ihre IT-Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls anzupassen.

Können die Täter überhaupt geschnappt werden?

Festnahmen sind im Deliktsbereich Cybercrime nicht das einzige Ermittlungsziel. So kommt der von den Tätern eingesetzten Infrastruktur eine besondere Bedeutung zu. Wenn es, wie beispielsweise 2021 bei der Schadsoftware Emotet, gelingt, die Infrastruktur auszuschalten, sind ganze Ransomware-Gruppen zumindest für einen unbestimmten Zeitraum handlungsunfähig.

Interview: Claudia Kabel

Wurde im Juni von einem Hacker-Angriff getroffen: der Darmstädter Energieversorger Entega. R.Hoyer
Wurde im Juni von einem Hacker-Angriff getroffen: der Darmstädter Energieversorger Entega. R.Hoyer © Renate Hoyer

Auch interessant

Kommentare