Cyber-Kriminalität
Organisierte Kriminalität und die deutsche Wirtschaft
Die plakative Aussage des Bitkom, die deutsche Wirtschaft würde von Cyberkriminellen verstärkt angegriffen werden, kann zu falschen Rückschlüssen führen. Richard Werner zeigt differenziert auf, wie die Lage tatsächlich ist.
Save to Folio
Der Bitkom erklärt in seinem diesjährigen Bericht zum
Die plakative Aussage des Bitkom, die deutsche Wirtschaft würde von Cyberkriminellen verstärkt angegriffen werden, kann zu falschen Rückschlüssen führen. Richard Werner zeigt differenziert auf, wie die Lage tatsächlich ist.
Der Branchenverband Bitkom veröffentlichte seine diesjährige Untersuchung zum Thema Cybersecurity unter dem Titel „Organisierte Kriminalität greift verstärkt die deutsche Wirtschaft an“. Darin heißt es: „Die deutsche Wirtschaft ist ein hoch attraktives Angriffsziel für Kriminelle und uns feindlich gesonnene Staaten. Die Grenzen zwischen organisierter Kriminalität und staatlich gesteuerten Akteuren sind dabei fließend.“ Dieser Einschätzung kann ich zwar teilweise zustimmen, doch führt sie zu falschen Rückschlüssen.
Organisierte Kriminalität nimmt seit Jahren zu und Angriffe auf Deutschland auch. Allerdings geschieht dies bei uns keineswegs überproportional und auch nicht aufgrund eines speziellen Fokus. Natürlich ist die deutsche Wirtschaft als Ziel interessant. Wir haben jede Menge mittelständische Unternehmen, die zum Teil in ihrem Bereich auf dem Weltmarkt führend sind. Und die besitzen für Kriminelle interessante Daten, aber verfügen leider nicht immer über Sicherheitsmaßnahmen von Großkonzernen. Diese Gegebenheiten machen die Unternehmen zum Ziel und nicht – wie man dem Bitkom-Bericht entnehmen könnte --, dass sie „deutsch“ sind. Würden sie ihren Firmensitz ins Ausland verlegen, wäre da kein Unterschied bei der Zahl der Angriffe zu erwarten.
Europa und Nordamerika sind von Cyberkriminalität und speziell von Ransomware im Durchschnitt häufiger betroffen als der Rest der Welt. Das hat mit der Wirtschaftskraft und auch mit der politischen Einstellung zu tun. Gerade bezüglich Ransomware ist Russisch die Verkehrssprache aller einschlägigen Foren und der Großteil der bekannten Täter ist russischsprachig. Dass es dann vermehrt auch Länder trifft, die in Opposition zu Russland stehen, ist logisch.
Dabei sind bestimmte Verbrechensarten in verschiedenen Ländern jeweils unterschiedlich häufig vertreten. Das liegt teilweise an der Organisation der Täter aber häufig auch einfach nur daran, dass Sprachen oft eine wichtige Rolle spielen. Tatsächlich werden englischsprachige Nationen besondere die Vereinigten Staaten und Großbritannien deutlich häufiger angegriffen. Deutsch ist selbst für Übersetzungsprogramme eine im Verhältnis schwer zu beherrschende Sprache, weshalb viele Phishing Angriffe noch relativ deutlich als solche erkannt werden können. Mit der Einführung von Konversations-KI dürfte dieser Vorteil mehr und mehr verschwinden, und wir erwarten deshalb eher eine Zunahme der Taten hierzulande.
Deutschland liegt bezüglich RaaS-Angriffen im Ländervergleich eher im Mittelfeld. Nach der jüngsten Untersuchung von Trend Micro zu den Angriffen in der ersten Hälfte 2023 gehören wir nicht zu den Top 5 der am häufigsten angegriffenen Länder). Neben dem immer wieder Ersten USA werden aktuell die Türkei und auch Kuwait häufiger von RaaS Gruppen angegriffen als Deutschland. Bemerkenswert ist, dass beide Länder auf den Leak Sites der Kriminellen nicht auftauchen. Diese Sites werden von RaaS-Gruppen zum Zwecke der Erpressung zahlungsunwilliger Opfer betrieben. Dort werden gestohlene Daten positioniert, um die betroffenen Unternehmen zusätzlich unter Druck zu setzen. Deutschland ist auf den Leak Sites hinter den englischsprachigen Ländern USA, Großbritannien und Kanada auf Rang vier, eng gefolgt von Frankreich. Auch liegt die Anzahl der tatsächlichen Opfer in Deutschland im Verhältnis zu Größe und Wirtschaftskraft nicht höher als in den englischsprachigen Ländern.
Ein weiterer Punkt sollte auch nicht unerwähnt bleiben. Die „Zahlungsmoral“ der Opfer korreliert direkt mit der Häufigkeit von Angriffen. Deutschland gehört nach unseren Zahlen zu den Ländern, die bei Verschlüsselungen am seltensten zahlen, was auch die im Verhältnis vielen Erpressungen über Leak Sites erklärt.
„Organisierte Kriminalität“
Die Ausführung der Angriffe sind Straftaten -- Diebstahl, Sabotage und Erpressung. Bei der Klassifizierung der Tätergruppen jedoch ist das nicht mehr so einfach. Klar gibt es diejenigen, die vorgeben, hinter Geld her zu sein. Aber ob das tatsächlich das einzige Motiv ist, darf bezweifelt werden. Die bis dahin erfolgreichste Ransomware-Gruppe Conti erklärte im Februar 2022 offen ihre Unterstützung der russischen Seite. Im Mai des gleichen Jahres löste sie sich auf. Zahlungen an sie wurden als Unterstützung der russischen Kriegsanstrengungen gewertet. Versicherungen aber auch viele Opfer lehnten das ab. Sie wollten nicht die russischen Kriegsbemühungen unterstützen. Auch mögliche Strafen aufgrund der amerikanischen OFAK Bestimmungen – zum Handel entgegen Embargo Vorschriften - mögen eine Rolle gespielt haben. Selbst wenn verbrecherische Gruppen sich dem gleichen Motiv verpflichtet sehen, dürfte kaum eine dies noch verkünden.
Darüber hinaus erleben wir eine Zunahme eindeutig politischer Täter. Spätestens hier fällt eine Beurteilung schwer. Die Ukrainische Cyberarmee wurde nach dem russischen Angriff im Februar 2022 gegründet. Ihr Ziel ist die virtuelle Verteidigung der Ukraine. Im März 2022 hatte sie bereits 300.000 „Angehörige“. Die Aufgaben waren und sind nicht nur defensiv. Diebstähle, Verschlüsselung und auch Sabotage gehören ebenso zu ihrem Repertoire. Die Bezeichnung „kriminell“ fällt schwer – sie handeln in staatlichen Auftrag. Wie viele das auf der anderen Seite tun, wissen wir nicht sicher. Klar ist, dass sich Cyberkriminelle in Russland im Moment sicher fühlen.
Auf beiden Seiten werden die Akteure mit Technologie und Wissen von Staatsseite unterstützt. Ist ein Angriff der Gegenseite erfolgreich wird der analysiert – schon allein, um sich künftig davor zu schützen, aber sicher auch um Teile davon wiederzuverwenden.
Situation in Deutschland
Bezüglich Deutschland sind es auch nicht nur „die Feinde aus dem Ausland“, die Unternehmen angreifen. Im Polizei Bericht 2022 werden u.a. Attacken von politischen Aktivisten vermerkt, die Unternehmen in Deutschland sabotierten, weil sie diese für Unterstützer Russlands hielten.
Die Bundesrepublik befindet sich nicht im Kriegszustand und ist nicht erst seit dem Februar 2022 Ziel für Cyberangreifer. Die Bitkom stellt fest, dass mit 206 Milliarden Euro Schäden (September 2023) das Niveau des Vorjahrs nur geringfügig überschritten wurde. Es liegt aber noch deutlich unter dem traurigen Rekord von 2021 (223 Mrd.).
Herausforderungen
Die Bitkom verweist darauf, dass sich Täter stärker organisieren. Das hat einen Grund. Sie sind allerorts gezwungen, an verstärkten Cybersicherheitsmaßnahmen vorbeizukommen. Es mag aktuell nicht so schlimm sein wie erwartet. Aber Grund zur Entwarnung gibt es noch lange nicht. 82% der Unternehmen erwarten, dass die Zahl der Angriffe steigen wird (so die Bitkom). Das ist eine Einschätzung, die wir teilen.
Und noch etwas wird zunehmen… die Qualität der Attacken. Das Prüfen der eigenen Fähigkeiten ist deshalb etwas, was jedes Unternehmen in Betracht ziehen sollte. Viele Unternehmen haben verstärkt in Security investiert aber den Einsatz dieser Systeme nicht auf den Ernstfall geprüft. Aus Erfahrung wissen wir, dass häufig Verständnisfehler im Besonderen bei der Interaktion verschiedener Produkte Probleme bereiten. So wird beispielsweise das brandneue SIEM an den bestehenden Malwareschutz angeschlossen und kann infolgedessen mit absoluter Präzision über bereits gelöste Probleme berichten. Werden keine Analysedaten über Detection & Response-Fähigkeiten generiert, kann es seine Vorteile gar nicht ausspielen. Gibt es keine 24*7 Überwachung der IT-Security sind die typischerweise zum Wochenende erfolgenden Cyberangriffe oft schon mehrere Stunden alt, bevor überhaupt angefangen wird das zu analysieren.
Modernes „Red-Teaming“ bedient sich dabei Technik und Methodik aktueller Angreifer. Die meisten der getesteten Verteidiger erfuhren dadurch erst, welche Probleme sie tatsächlich hatten. Wenn Sie mehr zu Abläufen bei Angriff und Verteidigung wissen wollen, empfehlen wir unsere „Teaming“ Webinar Reihe. Dabei demonstrieren „RedTeamer“ einige Werkzeuge von Angreifern und „BlueTeamer“ wie man sich mit Trend Micro verteidigt.