Große Gefahren durch Cyberkriminalität

„Das Bundeskriminalamt hat gemeinsam mit anderen Polizeibehörden in Europa ein weltweites ‚Botnetz‘ zerschlagen. Zu dem Netzwerk gehörten nach Angaben des BKA 3,2 Millionen Computer, die mit Schadsoftware infiziert sind.“

Vor kurzem ging diese Meldung durch die Medien und schaffte es sogar bis in die Tagesschau. Das ist ein deutliches Zeichen: Bei Cyberkriminalität handelt es sich nicht um eine Petitesse. Bevorzugtes Ziel der Angriffe von Cyberkriminellen sind die häufig schlecht geschützten Computer von Privatleuten.

Zielgerichtete Angriffe

Doch Rechner und Netzwerke in Unternehmen sind nicht weniger gefährdet, zum Beispiel durch direkte Angriffe mit Schadsoftware. Eine weitere Gefahr sind Denial-Of-Service-Attacken, bei denen mit Schadsoftware verseuchte Privat-PCs solange auf Webserver zugreifen, bis diese überlastet sind.

In einem aktuellen Trendbericht zur Cyberkriminalität haben die Sicherheitsexperten von ESET einige Informationen über die größten Risiken zusammengetragen. Ein bereits andauernder Trend sind sogenannte Advanced Persistent Threats (APTs), zielgerichtete Attacken, die sich von traditionellen Cyberangriffen in Bezug auf die Auswahl der Ziele, die Dauer und Diskretion unterscheiden.

So sind bei APTs die anvisierten Opfer durch den Zweck des Angriffs vorbestimmt, während sich traditionelle Attacken gegen mehr oder weniger beliebige Unternehmen richten können, um ihre Ziele zu erreichen. Zudem werden APTs darauf programmiert, so lange wie möglich unentdeckt zu bleiben. Für die Infizierung wird hierbei oftmals gezieltes Social Engineering betrieben oder auf 0-Day-Exploits gesetzt.

Ein immer interessanter werdendes Ziel für Cyberkriminelle sind Online-Bezahlsysteme wie Bitcoin. Sie lassen mehr und mehr Geld im Netz zirkulieren, so dass es im vergangenen Jahr zu einigen recht spektakulären Angriffen kam. So berichteten Nutzer des Bezahlsystems Dogecoin von unberechtigten Abhebungen. Die Geldmenge macht Angriffe attraktiv: Vor einem Jahr hatte Dogecoin eine Marktkapitalisierung von mehr als 61 Mio. US-Dollar.

Doch auch herkömmliche Bezahlsysteme sind Ziel von Angriffen, zum Beispiel POS-Terminals, die häufig noch auf dem veralteten Windows XP basieren. Hierfür gibt es spezialisierte Schadsoftware, die sich auf bestimmte Terminals spezialisiert hat. In der Vergangenheit kam es bereits zu Attacken, bei denen die Daten von mehreren Dutzend Millionen Kreditkarten gestohlen wurden.

Erpressung durch Malware

Ein dritter großer Trend bei Cyberangriffen ist die sogenannte „Ransomware“. Dies sind Schadprogramme, die den Computer (inzwischen auch Smartphones und Tablets) ganz oder teilweise für den Anwender sperren und eine Art Lösegeld erpressen. So etwas gibt es auch im großen Stil: Mit gehackten Adservern von bekannten Werbevermarktern wurden 2014 Millionen von Rechnern geblockt. Experten vermuten, dass bei diesen Angriffen „Gewinne“ von gut 25.000 Dollar pro Tag erwirtschaftet wurden.

Weitere neuartige Typen von Angriffen sind bereits am Horizont sichtbar, auch wenn man hier noch nicht von einem Trend reden kann. Zum Beispiel sind Geräte im Internet der Dinge durchaus das Ziel von Cyberangriffen. So wurde auf einer Sicherheitskonferenz gezeigt, dass Autos relativ problemlos manipuliert werden können. Ein interessantes Beispiel: Ein Sicherheitsexperte zeigte, dass beim Elektroauto Tesla S die Türen während der Fahrt mithilfe des Remote-Zugriffs zu öffnen sind.

Zurzeit sind solche Angriffe eher theoretischer Natur. Doch mit zunehmender Verbreitung von vernetzten Geräten im Haushalt, in der Kleidung, im Auto sowie an vielen anderen Orten werden sie sicherlich zunehmend auftreten. Ein ausgedachtes Beispiel: So wäre es zum Beispiel denkbar, mit dem Internet verbundene Smart-Home-Systeme zu hacken, Zugriff auf eine Alarmanlage zu bekommen und damit einen leichten Einbruch zu ermöglichen.

ESET-Trendbericht zur Cyberkriminalität
APTnotes Repository sammelt öffentlich verfügbare Dokumente zu APT-Angriffen

Bildquelle: Thinkstock/ iStock