Cyberkriminalität hat sich in den letzten Jahren zu einem hochprofessionellen und lukrativen Geschäftsmodell entwickelt. Die Täter agieren global, passen sich flexibel an technische und gesellschaftliche Entwicklungen an und greifen dort an, wo es sich finanziell lohnt.
Nachdem im letzten Beitrag dargestellt wurde, wie sich der Phänomenbereich Cybercrime bis zum heutigen Stand entwickelt hat, beschäftigt sich der heutige Beitrag mit dem allgemeinen Vorgehen der Tätergruppierungen: Wer oder was sind die Ziele der Angreifer, wie agieren die Täter und wie sind die Täter vernetzt? Dies sind nur einige Fragen, die sich in diesem Zusammenhang stellen.
Zielgruppe der Cyberkriminellen
Während bei der Entstehung bzw. in den frühen ersten Jahren des Cybercrime insbesondere sog. Skript-Kiddies, die lediglich aus spielerischer Neugierde und Langeweile fremde IT-Systeme angriffen, tätig waren, entwickelte sich mit den Hochzeiten des Cybercrime ein höchst lukratives Geschäftsmodell, durch welches nunmehr jährlich deutschlandweit Schäden in dreistelliger Milliardenhöhe verursacht werden.
Hinsichtlich der Zielgruppe ist wie folgt zu differenzieren:
Insbesondere in den 2000er Jahren lag der Fokus der Angreifer auf sog. Streuangriffen. Hierbei konkretisierten die Angreifer ihre Opfer nicht, sondern griffen ungezielt eine Vielzahl an Unternehmen, z.B. durch Ausnutzen einer konkreten Software-Schwachstelle, an. Sofern ein Unternehmen hierbei schlecht abgesichert war und der initiale Angriff erfolgreich war, wurde gegen dieses Unternehmen vorgegangen. Dies führte dazu, dass auch Unternehmen Opfer wurden, die eigentlich gar nicht von den Tätern anzugreifen beabsichtigt waren, z.B. Einrichtungen der Gesundheitsfürsorge. Weiterhin wurden Kleinunternehmen getroffen, die für die Angreifer finanziell nicht besonders lohnenswert waren.
Hieraus entwickelte sich sodann das heute von den Angreifern favorisierte sog. Big Game Hunting, mithin die förmliche Jagd nach großen, lohnenswerten Zielen. Hierzu machen sich die Angreifer Techniken der Open Source Intelligence (OSINT), der Nachrichtengewinnung durch Informationen aus frei verfügbaren, offenen Quellen, zunutze und kundschaften leitende Organe mittelständischer Unternehmen und Global Player aus, um sodann über diese Personen Angriffe auf die Unternehmen zu initiieren.
Auch aktuell finden noch vereinzelt Streuangriffe statt, das prominenteste Beispiel hierzu stellt der WannaCry-Angriff auf Windows-Systeme aus dem Jahre 2017 dar. Betroffen waren hier rund 230.000 Systeme in rund 150 Ländern. Streuangriffe sind jedoch im Business-Kontext rückläufig, während sie im privaten Bereich durch den digitalen Enkeltrick u.a. stark zunehmen.
Organisationsstrukturen & Geschäftsmodelle
Cyberkriminalität ist längst kein lokales, regionales Delikt mehr: Täter und Tätergruppen agieren global und sind hierbei auch global verteilt. Relevant ist daher insbesondere die Betrachtung von Auslandstaten – eine Beschränkung auf Inlandstaten ist wenig zielführend.
Im Wesentlichen haben sich die folgenden Strukturen herausgebildet:
Das Geschäftsmodell des Cybercrime-as-a-Service (CaaS, nachempfunden von Software-as-a-Service als Bezugsmodell für Software aus der Cloud anstelle einer On-Premise-Struktur) bietet auch technisch wenig versierten Anwendern die Möglichkeit, Cyberattacken durchzuführen. Hierbei bieten spezialisierte Akteure arbeitsteilig verschiedene Dienstleistungen, etwa die Entwicklung einer Malware, das Hosting eines Command-and-Control-Servers, bestimmte Geldwäsche-Dienste oder aber auch technischen Support für Angreifer, an.
Die sog. Underground-Economy beschreibt sämtliche täterseitig illegal verwendeten Plattformen und Dienste. Hierunter haben sich spezialisierte Marktplätze herausgebildet, auf denen illegale Waren und Dienstleistungen gehandelt werden, etwa gestohlene Daten bzw. gestohlene Identitäten, Malware, Botnetze zur Miete bzw. die Durchführung von DDoS-Attacken als Dienstleistung.
Angriffsvektoren
Angriffsvektor meint einen spezifischen Angriffsweg bzw. ein mehrstufiges Verfahren zur Kompromittierung eines Dienstes oder Netzwerks. Von den Angreifern bevorzugt verwendet wird das Social Engineering als Vorbereitung für Spam und (Spear-) Phishing sowie das Ausnutzen von Schwachstellen.
Social-Engineering
Social-Engineering stellt eine der effektivsten Methoden für Cyberkriminelle dar, um an vertrauliche Informationen zu gelangen. Dabei wird der “Faktor Mensch” als vermeintlich schwächstes Glied der Sicherheitskette ausgenutzt. Social-Engineering beschreibt dabei zwischenmenschliche Beeinflussungen mit dem Ziel, die Zielperson zu einem bestimmten Verhalten zu veranlassen. Dies äußert sich im Regelfalle in der Preisgabe vertraulicher, unternehmens- oder behördeninterner Informationen (etwa Anruf mittels Call-ID-Spoofing unter Nutzung der Rufnummer einer Polizeidienststelle bei einer anderen Dienststelle mit dem Ziel, Informationen aus polizeiinternen Datenbanken (InPOL / PolAS) zu erlangen). Social-Engineering wird zudem verwendet, um Informationen zu einer konkreten Zielperson, die sodann im Wege des Spear-Phishings attackiert wird, zu erlangen.
Ausnutzen von Schwachstellen
Cyberkriminelle suchen aktiv nach Sicherheitslücken in gängiger Software. Sobald eine Schwachstelle entdeckt wird, entwickeln sie sog. Exploits, um diese auszunutzen. Diese Exploits werden in der Underground Economy höchstbietend bzw. höchstzahlend im Rahmen des Cybercrime-as-a-Service veräußert.
Vorbereitung der Angriffe
Konnten die Angreifer Informationen erlangen bzw. Schwachstellen ausfindig machen, so werden diese zur Vorbereitung der eigentlichen Attacken verwendet.
Spam
Konnten Informationen wie etwa E-Mail-Adressen ausfindig gemacht werden, können diese Adressen unter anderem zum Spamming, der unerwünschten, massenhaften Verbreitung von Nachrichten, die dem Empfänger unverlangt zugestellt werden, verwendet werden. Neben rein belästigenden Inhalten können auch hier Dateien und Links beigefügt werden, die Schadsoftware enthalten bzw. über die Schadsoftware heruntergeladen wird.
(Spear-) Phishing
Weitaus relevanter ist jedoch das Phishing in seinem konkreten Gewand. Hierbei wird allgemein zwischen Phishing und Spear-Phishing differenziert. In Bezug auf das konkrete Vorgehen bestehen sodann Unterscheidungen hinsichtlich des Angriffsweges.
Phishing meint allgemein den Versuch, sich in der elektronischen Kommunikation als vertrauenswürdiger Kommunikationspartner auszugeben und so an Zugangsdaten und weitere sensible Informationen zu gelangen. Dies geschieht einerseits über Spam-Mails als Attacke auf eine breite Masse von Empfängern. Andererseits werden auch bewusst einzelne, besonders lohnenswerte Ziele wie ein bestimmter CEO als sog. „High Value Target“ attackiert. In diesem Falle liegt eine Spear-Phishing-Attacke vor.
Hinsichtlich des Angriffsweges wird wie folgt differenziert:
Erfolgt das Phishing klassisch per E-Mail, bleibt es bei dem gewöhnlichen Begriff des Phishings.
Erfolgt das Phishing per Anruf bzw. über die Stimme, handelt es sich um sog. Vishing.
Zunehmend tritt Phishing auch per SMS auf, wobei insbesondere Links zu gefälschten Anmeldeseiten als Kurzlink verbreitet werden. Hierbei handelt es sich um Smishing.
Zuletzt treten – insbesondere im Bereich des Micropayments wie etwa an Parkautomaten oder an E-Ladestationen – Fälle des Phishings über manipulierte QR-Codes auf. In diesen Fällen handelt es sich um Quishing.
Ausblick
Cybercrime ist ein äußerst dynamischer Phänomenbereich – daher ist zu erwarten, dass Künstliche Intelligenz und Machine Learning verstärkt von Cyberkriminellen eingesetzt werden, um Angriffe und etwaige Vorfeldmaßnahmen zu automatisieren und zu professionalisieren. Auch ist anzunehmen, dass die Täter ihre Methoden weiter diversifizieren und sich schnell an neue Sicherheitsmaßnahmen anpassen werden. Dies unterstreicht die Notwendigkeit einer kontinuierlichen Weiterentwicklung von Cybersicherheitsstrategien.
Im nächsten Teil der Beitragsreihe…
… erfahren Sie mehr über die unterschiedlichen Erscheinungsformen des Cybercrime, beginnend mit der Darstellung des Phänomenbereichs Ransomware. Bleiben Sie gespannt!
