bekämpfung von cybercrime - mittelstandsverband-oberhavel.de · bekämpfung von cybercrime...
Post on 15-Oct-2020
10 Views
Preview:
TRANSCRIPT
Bekämpfung von Cybercrime
13.04.2018
Wie kann ich mich als Unternehmen vor
Cyberangriffen schützen?
Landeskriminalamt - KHK Banik
Mittelstandsverband Oberhavel
15. März 2018
1
Wahrnehmung der „Cybercrime“
Sicherheitsarchitektur – Strafverfolgungsbehörden Land BB
Aktuelle Phänomene
Ausblick
13.04.2018
Agenda
Landeskriminalamt - KHK Banik 2
Wie viele Unternehmen waren prozentual
die letzten beiden Jahren von Cybercrime
betroffen?
Landeskriminalamt - KHK Banik
Mehr als jedes Dritte!
13.04.2018
Quelle: KPMG, Deutschland, 2017
3
Wie viel Zeit vergeht bis zur Entdeckung eines
„Cyber-Vorfalls“ weltweit?
Landeskriminalamt - KHK Banik
146 Tage
Und in Europa?
469 Tage
Quelle: FireEye, M-Trends, 2016
13.04.2018 4
13.04.2018
Kriminalitätsbarometer Berlin-Brandenburg 2017
Eine vergleichende Studie zur Belastung der Wirtschaft mit Kriminalität
Landeskriminalamt - KHK Banik
War Ihr Unternehmen im letzten Jahr (2016) von folgenden Straftaten betroffen?
27,4 %
5
13.04.2018
Kriminalitätsbarometer Berlin-Brandenburg 2017
Eine vergleichende Studie zur Belastung der Wirtschaft mit Kriminalität
Landeskriminalamt - KHK Banik
Wurde die Straftat angezeigt?
7,3%
6
13.04.2018 Landeskriminalamt - KHK Banik
Bitcom Cybercrime-Studie (Quelle: BITKOM vom 10.10.2017)
Tatausübung:
49 % der deutschen Internetnutzer sind in den letzten 12 Monaten Opfer von Cybercrime geworden
häufigstes Delikt (43 %) ist die Infizierung des Computers mit Schadprogrammen
bei 19 % wurden die Zugangsdaten zu Online-Diensten wie Sozialen Netzwerken oder Online-Shops
gestohlen oder persönliche Daten illegal genutzt (18 %)
etwa 16 % sind beim Online-Shopping oder Online-Banking betrogen worden
Schäden
in 54 % der Fälle ist ein finanzieller Schaden entstanden (z.B. Inanspruchnahme von IT-Experten-
Reparaturdienst (28 %); Kauf von zusätzlicher Hard- oder Software (23 %).
16 % erlitten Schäden wegen nicht bezahlter, online verkaufter Waren bzw. online gekaufter Waren, die
nicht angekommen sind.
4 % haben fremde finanzielle Transaktionen auf ihrem Konto oder mit ihrer Kreditkarte festgestellt.
Anzeigenbereitschaft
65 % der Betroffenen haben nicht auf den Cyber-Vorfall reagiert – davon 45 % der Opfer glauben, dass die Täter ohnehin nicht ermittelt werden.
– 34 % ist der Aufwand einer Anzeige zu hoch.
lediglich 18 % haben Anzeige bei der Polizei oder Staatsanwaltschaft erstattet
7
Cybercrime
Straftaten,
die sich gegen das Internet, weitere
Datennetze, informationstechnische
Systeme oder deren Daten richten,
die mittels dieser Informationstechnik
begangen werden
13.04.2018
Quelle: Umlaufbeschluss der AG Kripo vom 09.08.2012
Landeskriminalamt - KHK Banik 8
„Single-Point-of-Contact“ für Wirtschaftsunternehmen
und Behörden
Meldung erkannter Cyber-Attacken und Sicherheitsrisiken
Hinweisprüfung, Koordinierung polizeilicher Ermittlungen
Austausch von Informationen zur Vermeidung von
Cybercrime-Angriffen
Teilnahme der ZAC an regionalen Info-Veranstaltungen
der IHK (z. B. mit KMU, Online-Händlern)
im Landeskriminalamt Brandenburg (LKA 121) - seit 2012
Einige Partner in
der Wirtschaft:
Zentrale Ansprechstelle Cybercrime (ZAC)
13.04.2018 Landeskriminalamt - KHK Banik 9
13.04.2018
Informationswege - Ermittlungszuständigkeiten
Unternehmen/
Behörden
Landeskriminalamt
ZAC - Zentrale Ansprechstelle
Cybercrime für die Wirtschaft
LKA
Cybercrime-
Ermittlungen
Polizeidirektion
Cybercrime-
Ermittlungen
LKA
Wirtschaftskriminalität-
Ermittlungen
LKA
Staatsschutz-
Ermittlungen
z. B. herausragende Fälle
- des Datendiebstahls
- des Angriffs auf IT-Systeme
- i.Z.m. KRITIS-Unternehmen
z. B. sonstige Cybercrimefälle
- Angriff auf Onlinebanking
- Waren-/Warenkreditbetrug
- Veränderung v. Webportalen
z. B.
- Urheberrechtsverstöße
- Softwarepiraterie
- Betrug
z. B.
- Verbreitung politisch mot.
Inhalte auf Webseiten
- Anschläge auf Firmen
Landeskriminalamt - KHK Banik 10
BSI-CS 005 | Version 1.20
vom 01.08.2016
Rang Bedrohungen
1 Social Engineering und Phishing
2 Einschleusen von Schadsoftware über Wechseldatenträger und
externe Hardware
3 Infektion mit Schadsoftware über Internet und Intranet
4 Einbruch über Fernwartungszugänge
5 Menschliches Fehlverhalten und Sabotage
6 Internet-verbundene Steuerungskomponenten
7 Technisches Fehlverhalten und höhere Gewalt
8 Kompromittierung von Extranet und Cloud-Komponenten
9 (D)DoS Angriffe
10 Kompromittierung von Smartphones im Produktionsumfeld
Industrial Control System Security Top 10 Bedrohungen 2016
13.04.2018 Landeskriminalamt - KHK Banik 11
13.04.2018
Waren-/Warenkreditbetrug
Stalking
Cybermobbing, -grooming
Kinder-/Jugendpornografie
Gewalt verherrlichende Inhalte
Propagandadelikte PMK
Digitale Lösegelderpressung
Wirtschaftsspionage
Underground Economy
Abgreifen digitaler Signaturen
WLAN-Hacking
Phänomene PBX-Hacking
Skimming
Phishing / Pharming
Carding
Daten- und Identitätsdiebstahl
Account Takeover
Verbreitung von Schadsoftware
Geldwäsche
DDoS-Angriffe / Botnetze
Angriffe auf Server und Webseiten
Anonymer Kreislauf inkriminierter Waren (Rauschgift, Waffen, …)
Landeskriminalamt - KHK Banik 12
13.04.2018
Charakteristika der Phänomene
permanente Fortentwicklung krimineller Geschäftsideen
- Hacking von Webservern, um Malware zu platzieren
hohe Dynamik, Flexibilität, Anonymität, Verschleierung
- Drive-by-Downloads, Übernahme von Rechnern
internationales Zusammenwirken von Tatbeteiligten
- Drive-by Exploits zum Zwecke des Identitätsdiebstahls
neue Tätertypologien
- IT-Fachleute als Dienstleister
hohes Gefährdungspotential für Economy
- DDoS-Angriffe mit Botnetzen
hohes Dunkelfeld
- Unzählige Verseuchung durch Malware-E-Mails
Landeskriminalamt - KHK Banik 13
13.04.2018
Höchst unterschiedliche
Tätertypen …
Jugendliche Hacker +++ Extremisten +++ Erpresser +++ Terroristen +++ lose kriminelle Strukturen und Banden
+++ internationale Organisationen +++ Nachrichtendienste anderer Staaten ???
Finanzagenten … angeworben für Geld-/Warentransaktionen (Geldwäsche)
Script-Kiddies … nutzen für Phishing, Social Engineering und Defacement
vorprogrammierte Software-Toolkits
Hacker (IT-Wissen) … strukturierte Attacken (DDoS, Drive-by-exploit, SQL-Injections)
Profi-Hacker … staatlich gelenkte Hacker, terroristische Gruppen, Hacktivisten
Kämpfer gegen Ungerechtigkeit, politische/wirtschaftliche
Interessen von Regierungen, Behörden und Unternehmen
Landeskriminalamt - KHK Banik 14
13.04.2018
Infektionswege
E-Mail (E-Mail-Anhang bzw. Download-Link)
Nachrichten innerhalb sozialer Netzwerke
Weiterverbreitung durch Netzlaufwerke, USB-Sticks, …
Drive-by-Exploit (ohne Interaktion)
Drive-by-Download (erfordert Interaktion)
Filesharing
Instant Messages (AOL Instant Messanger -Chat- , Skype, …)
Landeskriminalamt - KHK Banik 15
13.04.2018
Diebstahl digitaler Identitäten
Ausspähen und Verändern von privat eingerichteten Accounts u. a. bei
- Geldinstituten (Zugangs-, Konto-, Kreditkartendaten, Mobilfunknummern),
- Online-Zahlungssystemen („ClickandBuy“, „Moneybookers“, „PayPal“),
- sozialen Netzwerken und Kommunikationsplattformen,
- DHL (Packstationen),
- E-Commerce (eBay, Amazon, Apple iTunes, Zalando, etc.),
- diversen E-Mail- bzw. Provider-Premium-Diensten („T-Online“ etc.),
- Online-Spielen (z. B. account-take-over, Diebstahl von Items)
- Online-Wettanbietern
Landeskriminalamt - KHK Banik 16
Diebstahl digitaler Identitäten von Internetnutzern
Häufige Tatbegehungsweisen
Installation von
Schadprogrammen
Drive-by-Exploits
Drive-by-Downloads
Einbruch auf Server
von Unternehmen
(Datenbanken)
Einsatz von
Keyloggern
Social Engineering
(Spear)Phishing
Dropzones
Missbrauch für
kriminelle Zwecke
Verkauf über illegale
UE-Plattformen
13.04.2018 Landeskriminalamt - KHK Banik 17
13.04.2018
PayPal-Phishing mittels E-Mail
Missbrauch des PayPal-Logos und
Verwendung einer gefälschten Absender-
Adresse
Ziel der Täter:
Ausspähen von Kreditkartendaten und
Zugangsdaten zum PayPal-Account des
Geschädigten
Landeskriminalamt - KHK Banik 18
13.04.2018
Pharming … z. B. von Zugangs-, Personen-, Konto- und Kreditkartendaten auf
„falschen“ PayPal-Seiten (Beispiel: http://www.paypal-shield.de)
Diebstahl digitaler Identitäten
Landeskriminalamt - KHK Banik 19
13.04.2018 www.bsi-fuer-buerger.de (Stand: 13.01.2013)
Warnung vor Phishing-
E-Mails mit dem Betreff
„Verifizierung ihrer
Kreditkarte“
Empfänger werden aufge-
fordert, einen in der E-Mail
enthaltenen Link mit der
Bezeichnung „VeriSign“
anzuklicken
angebliche
Sicherheitsüberprüfung
Aufforderung zur Eingabe
von Kreditkartendaten auf
einer gefakten Website
Diebstahl digitaler Identitäten
Landeskriminalamt - KHK Banik 20
13.04.2018 Landeskriminalamt - KHK Banik
Identity Leak Checker
https://sec.hpi.uni-potsdam.de
© Hasso-Plattner-Institut 2014
21
13.04.2018 Landeskriminalamt - KHK Banik
Digitale Erpressung
Ransomware
22
13.04.2018 Landeskriminalamt - KHK Banik
Digitale Erpressung
… Angreifer/Täter erwirbt mittels gestohlener Daten oder durch Infizierungen
von Computern (z. B. mittels Trojaner) Zugriffsberechtigungen auf sämtliche
PCs und Serversysteme zur Durchsetzung von „Lösegeldforderungen“
Bundesweite Verbreitung von Lösegeld- und Verschlüsselungs-Trojanern
2011
BKA- / Bundespolizei- /
GEMA- / GVU Trojaner
2012 2012
zip-Trojaner [*.zip / *.pdf] /
Ransomware tw. mit Porno
beim Internet-Surfen
2013
Malware verschlüsselt Daten und
mittlerweile ganze Server-Systeme
(CryptoWall, TeslaCrypt, Locky, Petya)
beim Internet-Surfen und
durch E-Mail-Anhänge
2013 2017
beim Internet-Surfen, E-Mail-
Anhänge und Botnetze
23
Landeskriminalamt - KHK Banik
Grundvarianten der digitalen Erpressung
Ransomware, die keine Verschlüsselung der
Festplatte, sondern lediglich eine Manipulation des
Betriebssystems verursacht und deren Bereinigung
unter Nutzung der im Internet verbreiteten Anleitungen
vergleichsweise einfach ist.
I.
II. Ransomware die die Daten auf Endsystemen oder
Servern tatsächlich verschlüsselt oder löscht.
Zugriff auf die Daten ist, wenn überhaupt, nur durch
Zahlung des geforderten „Lösegeldes“ in einem
vorgegebenen Zeitfenster oder durch Einspielung
eines Backups möglich.
13.04.2018 24
13.04.2018 Landeskriminalamt - KHK Banik Denny Speckhahn – Landeskriminalamt Brandenburg 25 13.04.2018
25
13.04.2018 Landeskriminalamt - KHK Banik
Digitales Lösegeld (zip-Trojaner)
„ausgedachte“ Zahlungsaufforderungen,
Vertragsänderungen sowie
Kündigungsfristen im E-Mail-Anhang
hinter den als „*.zip“ oder „*.pdf“
getarnten „Dateien“ verbergen sich
gefährliche Schadprogramme
(Ausführung als exe-Datei !!!)
beim Öffnen des E-Mail-Anhanges wird
Windows aus „Sicherheitsgründen“
gesperrt - angeblich kann die Sperrung
nach Zahlung eines Strafgeldes wieder
aufgehoben werden (z. B. Ukash)
26
Landeskriminalamt - KHK Banik
Grundvarianten der digitalen Erpressung
Ransomware, die keine Verschlüsselung der
Festplatte, sondern lediglich eine Manipulation des
Betriebssystems verursacht und deren Bereinigung
unter Nutzung der im Internet verbreiteten Anleitungen
vergleichsweise einfach ist.
I.
II. Ransomware die die Daten auf Endsystemen oder
Servern tatsächlich verschlüsselt oder löscht.
Zugriff auf die Daten ist, wenn überhaupt, nur durch
Zahlung des geforderten „Lösegeldes“ in einem
vorgegebenen Zeitfenster oder durch Einspielung
eines Backups möglich.
13.04.2018 27
13.04.2018 Landeskriminalamt - KHK Banik
Aktuelle Varianten von Krypto-Ransomware
JigSaw - verschlüsselt nicht nur Dateien unter Windows, sondern
löscht diese auch, wenn die Opfer das Lösegeld nicht zahlen
Petya - Bewerbungs-E-Mails von …@net-24.at https://www.dropbox.com/
- Verschlüsselung kompletter Datenträger
Cerber - Opfer dieser Ransomware erhalten eine Sprachmitteilung
über die von der Verschlüsselung betroffenen Dateien
ZCryptor - lagert sich in AUTOSTART ein und verbreitet sich wurmartig über
Laufwerke und USB-Medien verschlüsselte Dateienendung . zcrypt
- Daten bei Nichtzahlung, Löschung Trojaner/Verschlüsselung verloren
Maktub
Locker
- Verbreitung über Mail-Anhänge mit ausführbaren scr-Dateien
- Kryptierung stoppt, wenn Tastaturbelegung in russischer Sprache
- Entschlüsselungs-Key wird nach 15 Tagen bei Nichtzahlung gelöscht
Goldeneye - Bewerbungs-E-Mails (.xls, .pdf) an Behörden und Unternehmen
- Bezug auf offene Stellenausschreibungen von Rolf.Drescher@...
CryptBit - Lösegeld erhöht sich stetig nach der Verschlüsselung (1 BTC/Tag)
- AES-256, Täterkontakt über torrenttracker@india.com
28
13.04.2018 Landeskriminalamt - KHK Banik
Erstmaßnahmen bei Befall von Krypto-Ransomware
IT-System umgehend vom Stromnetz trennen und vorerst nicht neu starten.
Meldung derartiger Hacker-Attacken an die Strafverfolgungsbehörden
Empfehlung: Keine Lösegeldzahlung leisten!
Chiffrierte Daten bzw. das gesamte Computersystem als Image sichern
(möglicherweise kann eine Datenwiederherstellung noch erfolgen)
Malware identifizieren und Bereinigung der kompromittierten IT-Systeme
Wiederherstellung der Daten mittels eines verfügbaren Dechiffrierungs-Tools
oder
Formatierung der Festplatte und Einspielung einer Datensicherung (Backup)
oder
Neuaufsetzung des Betriebssystems (Daten sind unwiederbringlich verloren!)
29
13.04.2018 Landeskriminalamt - KHK Banik
Schutzmaßnahmen gegen Krypto-Ransomware
Sichern Sie regelmäßig (automatisiert) Ihre Daten auf ein externes
Speichermedium
(z. B. USB-Festplatte, USB-Stick, vertrauenswürdiger Cloud-Speicher)
Verbinden Sie das Speichermedium für Ihre Datensicherungen nicht
dauerhaft mit Ihrem Computer. Bewahren Sie ihre Datensicherung
getrennt von Ihrem Computer an einem geschützten Ort auf.
Wenn Sie Cloud-Dienste für die Datensicherung verwenden möchten,
informieren Sie sich, welchen Schutz Ihrer Daten der Cloud-Betreiber
gewährleistet.
Sorgen Sie dafür, dass Mitarbeiter und Privatanwender sensibilisiert
werden, damit sie das Phänomen Ransomware kennen und somit
verdächtigen Mails oder Links mit Vorsicht und gesundem Misstrauen
begegnen können.
30
13.04.2018 Landeskriminalamt - KHK Banik
weitere Schutzmöglichkeiten:
Darüber hinaus sollten Standardschutzmaßnahmen getroffen werden, bspw.
Software wie Betriebssystem, Browser und Browser-Plugins (Java, Flash,
Adobe-Reader, etc.) und Anti-AV-/Anti-Ransomware aktuell zu halten.
In den Office-Programmen das automatische Laden von Makros deaktivieren.
Administratoren von IT-Systemen sollten Nutzerrechte und Netzwerkfreigaben
begrenzen.
Verwendung sicherer Kennwörter, z. B. bei Benutzerkonten mit Fernzugriff
wenn möglich Remote-Zugriffe ganz deaktivieren oder VPN-Zugänge nutzen
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Krypto-Trojaner_22022016.html
31
13.04.2018 Landeskriminalamt - KHK Banik
Verhaltensregeln im Umgang mit E-Mails
Niemals unverlangt zugeschickte Dateianhänge öffnen! Das gilt auch für
solche, die (scheinbar) von Bekannten oder (echt aussehenden) Firmen kommen.
Im Zweifelsfall beim Absender nachfragen. Er kann Ihnen sagen, ob er Ihnen
eine E-Mail mit Anhang geschickt hat.
Doppelte Dateierweiterungen wie „dateiname.pdf.exe“ oder „dateiname.pdf.scr“
sind grundsätzlich verdächtig und sollten ungelesen gelöscht werden. Es gibt
keinen vernünftigen Grund, eine Datei so zu benennen.
Installieren Sie einen Virenscanner, der auch die ankommenden E-Mails überprüft.
Sorgen Sie dafür, dass der Virenscanner immer auf dem aktuellen Stand ist.
Bei den meisten Produkten geht das automatisch in kurzen Zeitabständen.
32
13.04.2018 Landeskriminalamt - KHK Banik
Prävention und IT-Sicherheit
Öffnen von E-Mails
unbekannter Absender
unterlassen
regelmäßig persönliche Daten
(z. B. Fotos, Dokumente) als Kopie
auf einem externen Datenträger
(passwortgeschützt?) speichern
Kinder/Jugendliche:
- Gefahren des
Internets erklären
- beim „Surfen“ zur
Seite stehen
-„sichere“ Webseiten
mit Kinderschutz und
jugendgerechten
Inhalten nutzen
- Internetzugang zeitlich
begrenzen
- illegales Downloaden
ist strafbar
neuste technische
Sicherungsverfahren beim
Onlinebanking
(z.B. HBCI m. Kartenlesern
der Klasse 3 und chipTAN)
keine Daten-Eingabe bei
gefälschen Web-Seiten
bei festgestellten PC-Sperrungen
und erpresserischen
Zahlungsaufforderungen kein
Lösegeld bezahlen
Unternehmen und Behörden:
Investition in neueste IT-Security-
Technologien und vorhandene
Sicherungssysteme regelmäßigen
Stresstests sowie Schwachstellen-
analysen der Hard- und Software zu
unterziehen
Betriebssystem, installierte
Programme/Plugins und
Antivirensoftware auf dem
aktuellsten Stand halten
keine offenen WLAN-Netze
33
13.04.2018 Landeskriminalamt - KHK Banik
Notfallplan für den Fall eines Angriffs
Geschäftsprozesse listen
Handlungsanweisungen
„Darksites“
DV-Systeme und -Netzwerke
vor unauthorisierten Zugriffen schützen (innen/außen)
Rechtevergabe für Mitarbeiter
Soft-/Hardwarelösungen
IT-Security (Virenschutz, Firewall…)
IT-Vernetzung von modernen Maschinen und Anlagen
Neue Angriffspunkte für Unternehmen?
Mobile Sicherheit
Nutzung privater Endgeräte
auch für Geschäftsprozesse in Firmen
Einbindung in die IT-Umgebung des Unternehmens?
Frühwarnsystem
Beobachtung von User-Bloggs,
Google-Suggests,
Internetauftritten von Geschäftspartnern
Datenschutz
Personenbezogene Daten zu Kunden und Mitarbeitern
Prinzip der Datensparsamkeit
Sensibilisierung der Mitarbeiter vor Phishing-Attacken
E-Mails / SMS
Soziale Netzwerke
Gefälschte Webseiten
Handlungsempfehlungen
in der
Unternehmenssicherheit
34
13.04.2018
Tendenzen
Vernetzung „Internet der Dinge“ in Unternehmen und im Home-Bereich
vergrößert auch die Angriffsflächen für Cyberkriminelle
Verbreitung von Schadsoftware stellt für alle Internetnutzer eine große
Bedrohung dar (Social Engineering, Verschlüsselung, Anonymisierung!)
Täter verfügen meist nicht über spezielle Fachkenntnisse und beziehen
Malwareprogramme bzw. die komplette kriminelle Infrastruktur aus der UE
Ausweitung der kriminellen Aktivitäten in den Bereichen der Erlangung
digitaler Identitäten, betrügerischer Onlinebestellungen, der digitalen Erpressung
i. V. m. Krypto-Ransomware, Vernetzung in UE-Foren und „illegalen
Marktplätzen“ und Ausnutzung von Schwachstellen in VoIP-Telefonanlagen
Phänomene der Cybercrime bzw. die Verlagerung krimineller Aktivitäten in
das Darknet werden zukünftig weitere Kriminalitätsbereiche (z. B. OK, RG)
durchdringen
35 Landeskriminalamt - KHK Banik
Umgang mit IT-Vorfällen
ggf. Zusammenkunft
weitere Verfahrensweise, IT-Mitarbeiter, externe Stellen, fester Ansprechpartner mit Prokura, Klärung Presse etc.
Information Geschäftsleitung Notfallplan?
Kontakt ZAC
Erfolgreicher Abschluss
koordinierte Maßnahmen
13.04.2018 36 Landeskriminalamt - KHK Banik
Landeskriminalamt - KHK Banik 13.04.2018 37
Zentrale Ansprechstelle Cybercrime
für Unternehmen und Behörden
Polizeipräsidium
Landeskriminalamt Brandenburg, LKA 121
Telefon: 03334 388 8686
E-Mail: ZAC@polizei.brandenburg.de
13.04.2018 37
http://www.bka.de/ http:// www.polizei-praevention.de/
https://www.allianz-fuer-cybersicherheit.de/
Brandenburg
Polizeipräsidium Brandenburg
Landeskriminalamt
LKA 120 - Cyber Competence Center
Tramper Chaussee 1
16225 Eberswalde
03334 / 388 - 1001
cybercrime.lka@polizei.brandenburg.de
http://www.polizei-dein-partner.de/
13.04.2018 38 Landeskriminalamt - KHK Banik
top related