Digitale Kriminalität

Wer von Digitaler Kriminalität potenziell betroffen sein kann, wer hinter solchen Angriffen steckt und welche Gefahren es gibt, sind einige der Fragen, die wir in diesem Kapitel klären werden. Da Betrug ein mitunter professionelles Geschäft ist, kann es potenziell jede und jeden treffen! Denn nicht selten kommen hierbei manipulative, psychologische Methoden (social engineering genannt) zur Anwendung, die auf menschliche Schwächen wie Angst oder Sehnsucht nach Anerkennung abzielen. Doch je besser wir wissen was, vor wem und wie man sich schützt, umso schwerer haben es Angreifer:innen!

So, wie es in der physischen Welt Taschendieb:innen, Trickbetrüger:innen und Unternehmensspionage gibt, gibt es auch online Personen, die es darauf abgesehen haben, Menschen gezielt zu betrügen oder ihnen Schaden zuzufügen. Digitale Kriminalität umfasst demnach einerseits schon länger gebräuchliche Kriminaldelikte, die über digitale Wege durchgeführt werden. Im Wissen über technologische Verschleierungsmöglichkeiten der eigenen Identität arbeiten digitale Straftäter:innen in Netzwerken über nationale Grenzen hinweg, was die nationale Strafverfolgung erschwert. Die Motivation für diese Straftaten ist einerseits - wie in der physischen Welt - sich finanziell zu bereichern oder jemandem, z.B. aus Rache, schaden zu wollen. Andererseits sind viele Straftaten auch ideologisch motiviert. Das heißt, dass Gruppen oder staatliche Akteure gezielt versuchen, ihre Gegner:innen im digitalen Raum anzugreifen, um so wirtschaftlichen oder gesellschaftlichen Schaden anzurichten. Oft sind es auch Schuld- oder Schamgefühle seitens der Opfer, die dazu führen, dass Delikte nicht gemeldet werden und somit der Grund für eine recht hohe Dunkelziffer bei tatsächlich verübten digitalen Straftaten.

Unter digitaler Kriminalität werden ebenfalls Angriffe zusammengefasst, die an Daten oder Computersystemen vorgenommen werden. Neben dem Lahmlegen kritischer Infrastruktur fällt auch Spionage oder das Verbreiten von Falsch- und Desinformationen, um gesellschaftliche Debatten oder das Wahlverhalten zu manipulieren, Datenmissbrauch oder Datenfälschung darunter, genauso wie das Installieren von Schadsoftware (Malware) oder das gezielte Überlasten von digitaler Infrastruktur beispielsweise durch DDoSS Attacken.

Zu den weltweit verbreitetsten Taktiken digitaler Kriminalität zählen insbesondere Phishing-Methoden. So werden an einem Tag oft hunderte, glaubwürdig erscheinende SMS oder E-Mails verschickt, die letztlich zum Ziel haben, die Empfänger:innen so zu täuschen, dass sie ihre persönlichen Daten, Passwörter oder Zugänge zu Finanzkonten ahnungslos freigeben. Dazu haben wir auch ein eigenes Kapitel, in dem wir uns näher ansehen, was Phishing ist, wie du diese Art von Angriff am besten erkennst und wie du dich wehren kannst. Die gezielte, psychologische Manipulation von Menschen um einen Angriff auf ein technisches System durchzuführen nennt sich Social Engineering. In den meisten Fällen verwenden Täter:innen eine Kombination dieser verschiedenen Vorgangsweisen, also technische Angriffe auf IKT und psychologische Tricks, um an ihr Ziel zu gelangen.

Sowohl Personen des öffentlichen Lebens und große Konzerne, wie auch Privatpersonen und Kleinstunternehmen können Ziel von digitaler Kriminalität werden. Aber aus unterschiedlichen Gründen:

Als Privatpersonen ist uns in vielen Fällen nicht bewusst, wo, wann und welche digitale Technik wir nutzen. Wenn wir unsere Smartphones verwenden, um zu kommunizieren oder eine Adresse zu finden, ist es leicht, sich vorzustellen, dass gerade Daten von uns technologisch verarbeitet werden. Aber wir sind auch passiv Teilnehmer:innen an den verschiedensten Stellen digitaler Infrastruktur - zum Beispiel als Eintrag im Wähler:innenverzeichnis, oder wenn wir medizinische Hilfe in Anspruch nehmen als Vermerk in ELGA.

Das Wissen, wie diese Geräte und ihre Infrastruktur konkret funktionieren, bleibt uns meistens verborgen. Einerseits ist es sehr komplex, so dass auch Expert:innen teilweise nur einen Ausschnitt kennen, und andererseits sind Informationen oft nur schwer oder gar nicht öffentlich zugänglich. Für Privatpersonen bleibt ein Großteil der genutzten Hard- und Software somit eine Art schwarze Box.

Dies machen sich Kriminelle zunutze, da es ihnen dadurch leichter fällt, uns hinters Licht zu führen. Angriffe auf Privatpersonen werden zumeist automatisiert, d.h. ohne großen Aufwand für Betrüger:innen, durchgeführt. Stell dir zum Beispiel eine Massenmail vor, die an 1 Million Menschen versandt wird. Die meisten Personen erreicht diese Mail gar nicht erst, weil sie im Spam-Folder landet. Einige wenige erhalten sie aber doch. Von diesen wenigen folgen ein paar Personen der betrügerischen Aufforderung, z.B. ihre Bankdaten bekanntzugeben. Wie der Name schon sagt, geschieht das massenhaft: Eine große Masse von Menschen kommt stetig mit gefälschten Nachrichten in Berührung. Es reicht, wenn jeweils einige wenige darauf hereinfallen - die Masse machts - und Betrüger:innen haben ihr Ziel erreicht: Mit geringem Aufwand gelangen sie zu Resultaten.

Für digitale Kriminalität sind Unternehmen aus mehreren Gründen attraktive Ziele: Der mögliche Profit oder angerichtete Schaden der Straftat kann um ein Vielfaches höher sein als bei Einzelpersonen. Und durch ihre Öffentlichkeit und ihren Aufbau bieten sie mehr potenzielle Angriffsfläche.

Auch in Unternehmen sind die Menschen, die darin arbeiten, ein relevanter Faktor: Für viele stellen die verwendete digitale Technik und Infrastruktur innerhalb eines Unternehmens eine Art schwarze Box dar. Je mehr Personen in einem Unternehmen arbeiten, umso mehr mögliche Einfallstore bestehen und je weniger Bewusstsein und Wissen den Arbeitnehmer:innen an die Hand gegeben wird, desto höher ist das Risiko, Ziel eines digitalen Angriffs zu werden.

KMU sind, nur weil dort weniger Personen arbeiten, nicht weniger attraktive Angriffsziele. Im Gegensatz zu großen Unternehmen gibt es aus finanziellen Gründen oft keine eigene IT-Abteilung, welche für die digitale Sicherheit sorgt. Manchmal ist ein:e Angestellte:r neben der IT-Sicherheit auch für andere Aufgaben zuständig, wodurch leichter Fehler passieren können. Dies spielt den Täter:innen in die Hände.

Wie bei anderen Betroffenen ist das wichtigste Motiv für Angriffe auf gemeinnützige Organisationen meistens finanzieller Profit. Da sie besonders oft sensible Daten und Informationen verwalten, welche für politische oder soziale Projekte relevant sind, sind sie zusätzlich gefährdet. Wie auch bei KMU gibt es hier - aus finanziellen Gründen - oft Lücken in der digitalen Infrastruktur, welche genutzt werden um an Daten zu gelangen.

Ein weiterer Grund, warum NGOs ins Visier digitaler Kriminalität gelangen können, ist politische oder ideologische Überzeugung. Falls die Angreifer:innen die Werte und Ziele der Organisation ablehnen, können sie deren digitale Infrastruktur lahmlegen oder wichtige Daten löschen. Damit sabotieren sie die Arbeit der NGO und schädigen ihren Ruf in der Öffentlichkeit.

Da staatliche Stellen Zugang zu weitreichenden Informationen haben, sind sie ein besonders gefragtes Ziel für digitale Kriminalität. Interessante Beute können z.B. umfangreiche Datenbanken über die Bevölkerung, aber auch möglicherweise geheime Informationen von Militär und Geheimdiensten sein.

Die so gewonnenen Informationen werden von Angreifer:innen oder deren Auftraggeber:innen oft im internationalen Kontext genutzt. Damit können gezielt Falschinformationen verbreitet werden, um das politische Klima und staatliche Entscheidungen zu beeinflussen. Oder sie dienen zur Industriespionage, um (militärische) Überlegenheit zu erlangen.

Wenn Staaten Opfer von digitaler Kriminalität werden, ist es oft mit weitreichenderen Folgen verbunden als bei den vorherigen Beispielen. Einerseits speichern sie meist im größeren Umfang sensible Daten, und andererseits kann dadurch das Vertrauen der Öffentlichkeit in sie beeinträchtigt werden.

Hier wird ersichtlich, dass bei digitaler Kriminalität ein Datenleck sehr leicht zu einem weiteren führen kann. Firmengeheimnisse können an die Konkurrenz verkauft, lokale Unternehmensdaten verschlüsselt und nur gegen eine Lösegeldzahlung wiederhergestellt werden, Logindaten werden für weitere Einbrüche ausprobiert, mithilfe persönlicher Informationen geben Angreifer:innen sich als jemand anderes aus oder versuchen, die Inhaber:innen der Daten zu erpressen.

Darunter ist eine „Verletzung des Schutzes personenbezogener Daten“ zu verstehen. Haben Unbefugte Zugang z.B. zu Kund:innen-Daten, Datenbanken o.ä. bekommen, muss dies in vielen Fällen gemeldet werden.

In den seltensten Fällen steht eine Einzelperson hinter einer kriminellen Handlung, wie in dem Beispiel oben. Sehr viel größer ist die Wahrscheinlichkeit, dass entweder eine kriminelle Gruppe oder sogar eine ganze Organisation diese Angriffe durchführt. Wie in großen Unternehmen gibt es auch hier Arbeitsteilung und verschiedene Fachbereiche, die für unterschiedliche Phasen eines Angriffs zuständig sind.

Ein aktueller UN-Bericht zeigt auf, warum viele der vermeintlichen Täter auch Opfer sind. Allein in Myanmar werden mindestens 120.000 Menschen in Situationen festgehalten, in denen sie zu Onlinebetrügereien gezwungen werden, während in Kambodscha die Schätzungen bei etwa 100.000 Menschen liegen. Andere Staaten der Region, darunter Laos, die Philippinen und Thailand, sind ebenfalls stark betroffen. Ein bemerkenswertes Detail ist das Profil der Menschen, die in diese Aktivitäten verwickelt sind. Die Mehrheit der Opfer sind gut ausgebildete Männer, oft mit Hochschulabschluss, mehrsprachigen Fähigkeiten und umfangreichen Computerkenntnissen. Sie kommen nicht nur aus Südostasien, sondern auch aus China, Hongkong, Taiwan, Südasien, Afrika und Lateinamerika. Verschärft wurde die Problemlage durch die Covid-19-Pandemie: Beschränkungen und Schließungen führten dazu, dass kriminelle Aktivitäten in weniger regulierte oder digitale Bereiche verlagert wurden. Darüber hinaus haben kriminelle Akteure die Pandemie als Gelegenheit genutzt, um arbeitslos gewordene Migranten unter dem Vorwand von Arbeitsangeboten für kriminelle Operationen anzuwerben. Auch deutet der Bericht an, dass es um einnahmen in Höhe von Milliardendollar geht. Mit hoher Wahrscheinlichkeit wird ein Teil dieser Einnahmen zur Bestechung von Beamten und zur Finanzierung weiterer Aktivitäten genutzt.

Genau wie in der legalen, offiziellen Unternehmenswelt hat auch bei digitaler Kriminalität ein weiterer Trend Einzug gehalten: Outsourcing, also die Auslagerung verschiedener Arbeitsbereiche an externe Subunternehmen.

So gibt es Gruppen, welche nur die Produktion bzw. Programmierung von Schadsoftware übernehmen. Diese verkaufen sie über Lizenzen oder Abo-Modelle an andere kriminelle Gruppierungen zur Nutzung. Oder aber es werden „nur“ die Daten gestohlen und online bei einer Auktion an den:die Meistbietende:n verkauft.

Je größer kriminelle Organisationen werden, umso mehr Aufmerksamkeit ziehen sie auf sich. Oft kommen sie oder einzelne Mitglieder der Organisation über kurz oder lang auch mit staatlichen Stellen in Berührung.

Insbesondere Geheimdienste haben Interesse an diesem Wissen und den Fähigkeiten. Denn dadurch können sie sich einerseits einen entscheidenden Vorteil gegenüber ihren Gegner:innen verschaffen. Und falls die Operation enttarnt wird, können sie, andererseits, mithilfe der Anonymität des Internets, ihre Beteiligung leicht verschleiern.

Die Möglichkeit, finanzielle Anreize und Schutz vor Strafverfolgung anbieten zu können, aber gleichzeitig auch die Drohung, Täter:innen doch auszuliefern, ermöglicht Geheimdiensten eine enge und für sie nützliche Zusammenarbeit mit Akteur:innen von digitaler Kriminalität.

Die Möglichkeiten, um Menschen hinters Licht zu führen, haben sich über die Jahre weiterentwickelt und verändert. Was aber immer gleich bleibt, sind die Methoden: Angreifer:innen geht es darum, Menschen gezielt zu manipulieren, psychisch unter Druck zu setzen und damit in die Irre zu führen.

Die Vorgehensweise, die Angreifer:innen wählen, ist stets die Gleiche – unabhängig davon, welches Ziel sie mit ihrem Betrugsversuch verfolgen: Menschen werden hinters Licht geführt, damit sie unwissentlich Dinge tun, die ihnen selbst oder einer ganzen Organisation schaden. Technische Schutzmaßnahmen werden bewusst umgangen, indem Menschen manipuliert werden, um Zugang zu Netzwerken, sensiblen Informationen und ähnlichem zu bekommen.

Im Fall von Phishing-Angriffen ist es immer das Ziel, das Wissen über typisch menschliches Verhalten (z. B. die Bereitschaft, jemandem telefonisch weiterzuhelfen, dem Absender einer geschäftlichen E-Mail zu vertrauen und/oder Druck zu machen, weil eine Überweisung schnell getätigt werden soll oder um Neugierde zu wecken) für unlautere Zwecke auszunutzen, beispielsweise, indem sich Schadsoftware in einem Dokument im Anhang einer E-Mail befindet oder man auf eine gefälschte Seite gelockt wird und dort vertrauliche Informationen preisgibt.

Ein Großteil der erfolgreichen Angriffe in freier Wildbahn setzt auf menschliche Faktoren. Ob Ransomware, Phishing oder Stalking: Die am häufigsten ausgenutzte "Schwachstelle" ist der Mensch. Statt den Menschen hier Dummheit zu unterstellen, müssen die natürlichen, sehr menschlichen Verhaltensweisen berücksichtigt werden. Sieh dir dazu einen Auschnitt aus einem Vortrag von Linus Neumann, Berater für IT-Sicherheit, Diplom-Psychologe und Sprecher des Chaos Computer Club Deutschland, an.

Das gesamte Video streamen auf media.cc.de

In diesem Abschnitt beschäftigen wir uns damit, wie du dich effektiv vor den unterschiedlichen Formen digitaler Kriminalität schützen kannst. Dabei geht es immer um vier Bereiche:

- Schutz der (eigenen) personenbezogenen Daten (Schutz vor Betrug und Erpressung)

- Schutz der eigenen Rechenleistung

- Schutz der Vertraulichkeit (Schutz vor Spionage, Überwachung und Ausspähung)

- Schutz der eigenen Identität (Schutz vor dem Missbrauch der persönlichen Daten und Schutz der eigenen Identität, der eigenen Reputation, sowie Schutz vor Mobbing)

Um sich vor digitaler Kriminalität zu schützen, gibt es einige Maßnahmen, die du ergreifen kannst:

Du solltest dich möglichst regelmäßig über aktuelle Betrugsmaschen und Sicherheitshinweise informieren. Unser E-Learning bietet dafür eine gute Basis. In der Infobox findest du weitere Quellen.

Anhand der Beispiele, die du bereits gesehen hast, wird ersichtlich: Ein wichtiger, sicherheitsrelevanter Faktor ist der Umstand, dass IT-Sicherheit in komplexen Systemen nicht als fertiges Produkt gekauft werden kann. Menschen sind ein wichtiges Element der IT-Sicherheit.

Für Unternehmen und Organisationen ist es daher wichtig, sich für effektiven Schutz nicht ausschließlich auf technische Lösungen zu verlassen, sondern auch die gesamte Belegschaft für mögliche Gefahren zu sensibilisieren und über gängige Betrugs-Methoden aufzuklären. Da diese sich regelmäßig verändern, ist damit bereits ein weiterer wichtiger Punkt angesprochen: Sicherheit herzustellen ist ein Prozess und erfordert die Beteiligung, Einbindung und kontinuierliche Information aller.

Zudem ist es wichtig, sich im Hinblick auf digitale Gefahren als „lernende Organisation“ zu verstehen, also ein Organisationsklima zu schaffen, das es allen Mitarbeiter:innen ermöglicht, in Kenntnis der organisationsinternen Vorgaben verantwortungsvoll mit den Herausforderungen digitaler Kriminalität umzugehen.

Die Durchführung regelmäßiger Datensicherung kann ein wichtiger Schutz sein, um im Falle eines Angriffs (z.B. mit Ransomeware) die betrieblichen Aktivitäten schnell wieder aufnehmen zu können und den (finanziellen) Schaden zu begrenzen. Führt man sich vor Augen, wie relevant der Zugriff auf verschiedenste Daten und Systeme für Organisationen ist, ist die Frage, ob es sich auszahlt, Backup-Strategien zu entwickeln, rasch geklärt.

Geht es um die Sicherung der Daten innerhalb von KMUs sollte grob zwischen zwei Ebenen unterschieden werden: zwischen Backup-Strategien an einzelnen Computern und solchen mit Blick auf die gesamte IT-Infrastruktur innerhalb der KMU-Organisation. In einem KMU können so verschiedene Backup-Systeme zum Einsatz kommen – auch unter der Berücksichtigung, dass Backup-Systeme selbst infiziert und somit geschädigt werden können. Werden, um dies zu verhindern, pro Arbeitscomputer mindestens zwei oder mehrere externe Festplatten als Daten-Speichermedien genutzt, spricht man von RAID-Systemen, worunter eine Vielzahl an Backup-Varianten zusammengefasst wird.

RAID-Systeme bieten die Möglichkeit, Daten von einem Computerlaufwerk auf mehreren physischen Festplatten abzulegen, zu organisieren und zu visualisieren. Dabei werden redundante (mehrfach vorkommende) Informationen – was mit einem Backup auf nur einem externen Speichermedium eher nicht erwünscht ist - gezielt erzeugt, so dass beim Ausfall eines einzelnen physischen Speichermediums im RAID-System die Funktionalität und Integrität als Ganzes erhalten bleibt und verlorene Daten wieder hergestellt werden können. Aber Achtung: Redundanz ist nicht dasselbe wie Datensicherung!

Geht es um die Sicherung der Daten an einzelnen Computern, sollte – gemäß dem Threat-Model- zuerst festgelegt werden, welche Daten von besonderer Wichtigkeit sind und wie sie gesichert werden können. Welche Daten sind beispielsweise ganz wesentlich für die Geschäftstätigkeit und den reibungslosen Betriebsablauf? Welche Daten sind besonders sensibel und brauchen speziellen Schutz? Über welches Verfahren werden die Daten gesichert? Wähle ein passendes Speichermedium/ passende Speichermedien aus und lege verbindlich fest, in welchen Intervallen (also wie häufig) die Datensicherung durchgeführt werden soll. Teste die Backups in regelmäßigen Abständen auf ihre Rekonstruierbarkeit, Integrität und Funktionsfähigkeit – das wird häufig vergessen, aber nur so kann gewährleistet werden, dass im Falle eines Angriffs die Daten wieder hergestellt werden können. Welche Daten sollen verschlüsselt werden? Bei einem unbefugten Zugriff bleiben verschlüsselte Daten geschützt. Besonders wichtige Dokumente, die nicht mehr verändert werden, sollten auch physisch, z.B. in einem Safe aufbewahrt werden. Wichtige Daten offline zu bewahren, ist nach wie vor eine sichere Lösung! Lege auch hier verbindlich Zuständigkeiten fest, damit nicht eine „der Kollege/die Kollegin wird´s schon machen“- Mentalität dazu führt, dass sich niemand zuständig fühlt.

Eine Trennung von Backup-Systemen einzelner Computer und der Organisations-IT ist aus verschiedenen Gründen sinnvoll. Wichtig ist, hierbei zu beachten, dass Backups nicht innerhalb des Netzwerkes änderbar sind oder gelöscht werden können.