Cyberkriminalität: ein einträgliches Geschäft

Aus Sicht des Cyberkriminellen vereinen die besten Hacks drei entscheidende Eigenschaften: Sie sind preiswert, einfach und lukrativ. Moderne Malware kann in verschiedensten Varianten auftreten, als Erpressungstrojaner (sogenannte Ransomware), als Internet of Things (IoT-)Botnetz, als mobile Malware oder, momentan sehr aktuell, als Cryptominer (Malware, die auf fremden Rechnern Kryptowährungen schürft). Schadprogramme haben meist ein Ziel: Mit ihnen sollen möglichst hohe illegale Einnahmen generiert werden, welche Cyberkriminelle reich machen. Darum erwarten wir, dass die Gefahr für Firmen im laufenden Jahr noch mal massiv ansteigt.

Es geht um Milliardensummen

Angriffe mit Cryptominern beispielsweise haben Hackern in einem halben Jahr die schier unglaubliche Summe von mehr als 2,5 Milliarden Dollar eingebracht. Ein anderes Beispiel: Copy Cat, eine mobile Schadsoftware, infizierte mehr als 14 Millionen Android-Geräte weltweit. Innerhalb von nur zwei Mo­naten ergaunerten die Hacker über gefälschte Werbung Einnahmen in Höhe von rund 1,5 Millionen US-Dollar. Ein also durchaus lukratives Geschäft, hin­ter dem eine ganze Industrie steht. Die Angriffswerkzeuge der Cyberkriminellen werden immer fortschrittlicher, während die Schutzmechanismen von Orga­ni­sa­ti­onen hinterherhinken. Nach Schät­zung­en geben Angreifer weltweit zehnmal mehr Geld für Tools und Codes aus als Unternehmen für ihre Sicherheit. Neue, hochentwickelte Hacking-Tools – manchmal sogar von Staaten entwickelt und ins Darknet gespeist – treiben gross angelegte, multisektorale Angriffe voran, die hohe Einnahmen für Kriminelle generieren.

Eine Wikileaks-Hacktivisten-Gruppe

enthüllte beispielsweise eine Suite von Cyber-Angriffswerkzeugen, die, so glaubt man, zum Arsenal der Central Intelligence Agency (CIA) gehört. Mit dieser aus­sergewöhnlichen Sammlung von Angriffstools verfügt dessen Besitzer über das gesamte Hacking-Potenzial der CIA. Die darin enthaltene Schadsoftware sowie Dutzende von hochgerüsteten Zero-Day-Exploits (Angriff, der eingesetzt wird, bevor es zur Abwehr einen Patch gibt; Entwickler haben keine Zeit, also «null Tage», die Software zu schützen) könnten bereits gezielt verwendet worden sein. Diese Enthüllung zeigt, in welchem Ausmass staatliche Technologien im Rahmen von Cyber-Attacken der fünften Generation anscheinend eingesetzt werden können. Anfang Oktober 2018 liess eine Recherche von Bloomberg aufhorchen: Chinesischen Militärhackern soll es gelungen sein, Spionage-Chips in Server einzubauen. Die winzig kleinen Bauteile hätten es Angreifern erlaubt, die Kontrolle über die Server zu übernehmen und so Informa­tionen abzugreifen. Mutmasslich betroffene Unternehmen hielten mit ungewöhnlich scharfen Dementis dagegen und bewiesen wurde nichts. Aber ist nicht bei jedem Rauch ein kleines Feuer?

Unbekannte Malware

Ein Cyber-Angriff muss aber nicht zwingend hochkomplex und raffiniert sein. Eine ebenso attraktive wie lukrative Option für Bösewichte ist unbekannte Malware. Sie macht es möglich, mit minimalem Aufwand ein Maximum an PCs und Netzwerken zu infizieren. Zudem ist die Entwicklung unbekannter Malware für Kriminelle einfach und kostengünstig. Vorhandener Schadcode wird gerade so weit modifiziert, dass er konventionelle Antivirus-Programme umgeht. Die Anpassung ist mithilfe von günstigen, im Internet erhältlichen Standard-Tools – inklusive Hotline bei Fragen, sollte der Hacker nicht der Schlauste sein – in Mi­nutenschnelle möglich. Dies führt zu einem explosionsartigen Anstieg und der epi­demischen Verbreitung unbekannter Malware: Im Durchschnitt wird alle vier Sekunden ein unbekannter Malware-Typ in Unternehmensnetzwerke herunter­geladen. Zum Vergleich: Bei bekannter Malware sind es 81 Sekunden. 

Bis vor wenigen Jahren waren Exploit Kits die am häufigsten genutzten Schadprogramme. Exploit Kits setzen auf die Ausnutzung von Schwachstellen in Soft- oder Hardware und erlauben den Angreifern, auch ohne grosse technische Kenntnisse, schwerwiegende Attacken auszuführen. Die meisten Unternehmen, auch KMU, schützen sich aber mittlerweile erfolgreich davor, sodass der Aufwand zur Anpassung und Nutzung von Exploit Kits steigt. Updates sind schneller verfügbar und werden häufiger eingespielt, dies verkürzt den Lebenszyklus einer Schwachstelle.

Die virtuellen Baukästen sind damit weniger lukrativ für die Hintermänner und schwieriger zu vermarkten. Zudem verfügen immer mehr Hersteller und Organisationen über Bug-Bounty-Programme (man erhält eine Belohnung, wenn man Schwachstellen meldet), die eine finanzielle Alternative zur Erstellung von Exploit Kits darstellen. Das Kosten-Nutzen-Verhältnis hat sich somit für die Internet-Kriminellen erheblich verschlechtert. 

Erpressung und Diebstahl

Darum haben Angreifer ihre Schwerpunkte hin zu anderen Tools wie Ransomware oder Cryptominern verlagert. Laut einer Erhebung unseres Research-Teams haben sich die Ransomware-Angriffe im EMEA-Raum (Wirtschaftsraum Europa, Naher Osten und Afrika) aufgrund hochentwickelter Schadsoftware, die nun auch von Hackern mit wenig Know-how verbreitet werden kann, nahezu verdoppelt.  Wir erinnern uns: 2017 hat sich die At­tacke mit «Wanna Cry» aufgrund ihrer Reichweite und der Geschwindigkeit ihrer Verbreitung zu einem der bemerkenswertesten jüngsten Cyberangriffe entwickelt. 

Die Erpressungsversuche können ganz skurrile Blüten treiben. Im Internet bot ein «Dr. Shifro» Hilfe bei der Entsperrung von Daten an. In Wirklichkeit steckte er mit den Hackern unter einer Decke – das Lösegeld und die «Beratungsgebühr» wurden freundschaftlich aufgeteilt. Die Zunahme der Angriffe mit Cryptominern ist zum einen dem gestiegenen Interesse an Kryptowährungen (trotz Kursverlusten) geschuldet, zum anderen aber auch den erhöhten Sicher­heitsbemüh­ungen bei der Abwehr von anderen Angriffsvektoren. Cyberkriminelle verfolgen dabei mehrere Ziele. Sie «schürfen» Kryptowährungen, indem sie arglosen Opfern Rechenleistung stehlen. Das mag auf den ersten Blick nicht be­­­­­­sonders bedrohlich wirken. Aber bei Cloud-­Lösungen, bei denen die Leistung automatisch erhöht wird, kann die Rechnung Ende Monat dadurch erschreckend hoch sein. Zudem haben sich Cryptominer in der letzten Zeit extrem weiter­entwickelt und sind in der Lage, bekannte Sicherheitslücken auszunutzen und die Sand­box-Technologien zu umgehen, um so ihre Infektionsraten zu steigern.

Abwehr von Attacken

Eine Abwehr, auch von ausgeklügelten Attacken, ist möglich oder man kann zumindest deren Auswirkungen stark einschränken. Hierfür müssen die Organisationen aber die Dynamik der Angreifer ver­stehen und ihre Sicherheitsme­cha­nis­men entsprechend aufstellen. Sie müs­­-sen ihre Netzwerke und Daten am End­punkt, mobil wie auch in der Cloud vor verschie­densten Bedrohungen schützen. Ein um­fas­sendes Sicherheitsmodell kombiniert Threat Prevention in Echtzeit sowie Shared Intelligence. 

Aber nicht nur das eigene Netzwerk muss geschützt werden, sondern auch Partner oder externe Firmen, die digital angebunden sind, müssen Auflagen zur Sicherheit erfüllen – um den Angreifern nicht eine Hintertür offen zu lassen. Damit die Cybersicherheitsstrategie erfolgreich sein kann, muss sie sich kontinuierlich weiterent­wickeln, um mit den sich wandelnden Strategien und Technologien der Hacker Schritt halten zu können. Denn Cyberkriminelle verfeinern ihre Fähigkeiten ständig und entwickeln ihre Werkzeuge und Taktiken weiter. Echte Cybersicherheit erfordert daher einen sich weiterentwickelnden, ganzheitlichen Ansatz, der sich auf Prävention und nicht auf Erkennung konzentriert.