Am 11. November hat das BKA das Bundeslagebild Cybercrime 2018 veröffentlicht. Danach hat die Zahl der registrierten Fälle von Cybercrime im engeren Sinne gegenüber dem Vorjahr leicht um 1,3 % auf 87.106 Fälle zugenommen.
271.864 in der Polizeilichen Kriminalstatistik erfasste Straftaten (4,9 %) sind mit dem Tatmittel Internet begangen worden. Das Bundeslagebild behandelt insbesondere die Tatphänomene ID-Theft, Phishing im Online-Banking, Ransomware, kriminelle Fernsteuerung durch Botnetze, DDoS-Angriffe, mobile Malware, digitale Schwarzmärkte. Die Aufklärungsquote ist gegenüber 2017 leicht gesunken, um 1,4 % auf 38,9.
Drei Viertel aller registrierten Cyber-Straftaten waren Fälle des Computerbetrugs. 8.762 Fälle der Datenausspähung, 8.541 Fälle der Datenfälschung und Täuschung und 2.875 Fälle der Datenversänderung/Computersabotage wurden ermittelt. In der Zeit von Oktober 2017 bis Oktober 2018 wurden 21 Cyberangriffe auf KRITIS-Unternehmen festgestellt. Von einer weiteren Zunahme derartiger Angriffsversuche auf Kritische Infrastrukturen ist auszugehen. Hauptangriffsvektor bei der Cyberspionage ist der Versand von „Spear-Phishing Emails, mittels derer die Systeme der Betroffenen infiziert werden. Gerade bei der Cyberspionage ist von einer hohen Dunkelziffer auszugehen.
Valide Aussagen zum tatsächlichen monetären Gesamtschaden lassen sich nach Feststellung des BKA wegen des vermutlich hohen Dunkelfeldes nicht treffen. Die errechnete Schadenssumme durch Computerbetrug 2018 betrug 60,7 Millionen Euro. Das BKA weist darauf hin, dass nach Schätzung der R+V-Versicherung bei KMU pro Schadensfall von Kosten zwischen 10.000 und 25.000 Euro auszugehen ist. Bitkom bemisst in einer Studie den finanziellen Schaden für die deutsche Wirtschaft durch Cybercrime für die letzten zwei Jahre auf 43,4 Milliarden Euro.
Mit fortschreitenden Entwicklungen wie Internet der Dinge, Industrie 4.0 oder Automotive IT wird das Spektrum potenzieller Ziele für Cyberkriminelle nach Überzeugung des BKA erweitert. Die Zunahme von Tatgelegenheiten zeigt sich auch an dem massiven Anstieg der Vielfalt von Schadsoftware. Allein im ersten Halbjahr 2018 sind von G DATA durchschnittlich 13.000 gänzlich neu programmierte Arten bösartiger Software identifiziert worden. Teilaspekte für einen Angriff können auf digitalen Schwarzmärkten angekauft und so auch von „technischen Laien“ mit kriminellen Absichten verwendet werden. Die Vorgehensweise der Täter ist hochprofessionell. Einem Angriff geht häufig eine Informationssammlung über das Unternehmen voraus. Das gesamte Bedrohungspotenzial lässt sich angesichts der rasanten Entwicklung und weil viele Attacken im Dunkelfeld verbleiben, kaum abschätzen.
Internet-Technologie für Industrieanlagen
Ein umfassendes Portfolio der IoT-Gateway-Technologie für 4.0 Industrieanlagen von der Firma FP Inovolabs wird in GIT Sicherheit, Ausgabe 11-2019, S. 74/75, vorgestellt. Um allen Anforderungen der Fertigungs- und Infrastruktur-Automatisierung gerecht zu werden, bietet das Unternehmen die IoT-Gateways (als Verbindung zwischen unterschiedlichen Systemen) in drei Bauformen an. Alle Gateways sind mit einer optionalen Mobilfunk-Schnittstelle ausgestattet. Für kleinere Installationen eignet sich das FPS-Compact Gateway, das aufgrund seiner IP65-Bauform ohne Schaltschrank nachgerüstet werden kann. Mit den integrierten Ein- und Ausgängen für Sensorik-Signale und den seriellen Schnittstellen für Scanner oder Kompakt-SPSen (speicherprogrammierbaren Steuerungen) lässt sich nahezu jede Maschine oder Anlage anbinden. Verbindet sich die Zentrale als Client mit dem Gateway als Datenquelle, kommt Sicherheit ins Spiel. In Verbindung mit dem Sicherheitsmodul FP-Secure Connect wird das OTGuard-System zur Hochsicherheitslösung.
Digitalbarometer 2019
Wie das BSI in einer Pressemitteilung am 30. Oktober berichtet, gaben im „Digitalbarometer 2019“ 28 % der von Kriminalität im Internet Betroffenen an, dass sie Opfer von Phishing geworden sind. Nach Erkenntnissen des BSI stehen bei Phishing-Angriffen neben Bankkunden insbesondere auch Kunden von Online-Händlern oder Bezahlsystemen im Fokus. Das BSI hat eine Checkliste für erste Notfallmaßnahmen für Phishing-Opfer herausgegeben.
„Klick-Trojaner“
Nach einer Meldung von Chip.de vom 1. November haben Sicherheitsforscher der Firma Wandera auf schadhafte Apps aufmerksam gemacht, die einen „Klick-Trojaner“ enthalten. 17 iOS-Apps sind betroffen, die im Hintergrund immer wieder automatisch Webseiten aufrufen oder auf Links klicken. Um den bösartigen Code auszuführen, kommunizieren die infizierten Apps mit einem sogenannten Command and Control-Server. Betroffene Nutzer sollten die Trojaner-Apps umgehend löschen. In der Meldung werden die infizierten 17 Apps näher bezeichnet.
Branchenspezifische Grundschutzprofile
Branchenspezifische Grundschutzprofile sollen die Anwendung erleichtern, berichtet der Behördenspiegel in der Novemberausgabe. Anwendergruppen mit ähnlichen Einsatzszenarien können Grundschutzprofile erstellen, die das Mammutwerk schablonenhaft auf speziellere Anforderungen herunterbrechen. Passende Bausteine aus dem Grundschutz-Kompendium werden übernommen, andere angepasst und ggf. eigene erstellt. In Planung ist derzeit ein Grundschutzprofil für Chemieproduktionsanlagen. Bereits veröffentlicht seien derzeit unter anderen Profile für Handwerksbetriebe, Reedereien und große IT-Dienstleister.
IT-Grundschutzprofile für Reedereien
Mit Cyberangriffen auf Yachten befasst sich Marcus Klische, MHP Management- und IT-Beratung GmbH, in der Ausgabe 11-2019, S. 46/47 der Zeitschrift Protector. Ein Sicherheitsforscher hat demonstriert, dass er in nur 30 Minuten in das WLAN einer Superyacht eindringen konnte. Er nutze hierbei das CCTV-System. Es wird davon ausgegangen, dass pro einer Millionen Zeilen Softwarecode rund 6.000 Fehler enthalten sind. Dabei ließen sich möglicherweise fünf Prozent aller Fehler als Schwachstellen nutzen. Bis zum 1. Januar 2021 müssten Unternehmen den IMO-Richtlinien für das maritime Cyber-Risikomanagement zufolge entsprechende Risiken in ihren bestehenden Sicherheitssystemen angemessen berücksichtigen. Der Verein Hanseatischer Transportversicherer und das BSI entwickelten „IT-Grundschutzprofile“ für den Land- und Schiffsbestrieb von Reedereien.
IT-Sicherheit in „intelligenten“ Gebäuden
Cybersicherheit in intelligenten Gebäuden ist das Thema von Burkhard von Blücher, Honeywell Building Solutions, in Protector, Ausgabe 11-2019, S. 48/49. Insbesondere die „Operationelle“ Technologie (OT) innerhalb von Gebäuden kommt beim Cyberschutz oftmals zu kurz. Eine Cybersicherheitsüberprüfung der OT wird bisher nur selten durchgeführt. Honeywell hat deshalb fünf Maßnahmen speziell für die OT in Gebäuden entwickelt: Bestandsaufnahme der Cybersicherheit; sicheres Systemdesign und Konfiguration; Cybersicherheits-Geräte und Software zur Überwachung und zum Schutz der OT-Systeme; kontinuierliche Überwachung der OT-Infrastruktur, um Warnmeldungen bereitzustellen.
IT-Schwachstellen in Videokameras
Wie golem.de am 20. November meldet, haben Sicherheitsforscher von der Sicherheitsfirma Checkmarx Schwachstellen in den Kamera-Apps von Google, Samsung und anderen Herstellern ausgenutzt, um über diese Zugriff auf die Kamera zu bekommen. Über manipulierte Anfragen an Googles Kamera-App haben sie auf ihren Testgeräten Fotos und Videos aufnehmen können. Eine entsprechende Berechtigung haben sie nicht benötigt, weil die Kamera-App sie bereits hatte. Das hat auch bei gesperrten Geräten funktioniert oder wenn mit dem Smartphone telefoniert wurde. Auf diese Weise lassen sich Telefongespräche mitschneiden.
EU Cybersecurity Act
Heise.online meldet am 19. November, dass am 27. Juni der EU Cybersecurity Act in Kraft getreten ist, mit dem Ziel, einheitliche Standards für Cybersicherheit in Europa zu schaffen. Mit der Verordnung haben sich Europäische Kommission und die Mitgliedstaaten das Ziel gesetzt, die Standards und Zertifizierungsvorgaben im Bereich der IKT zu vereinheitlichen. Dazu gehören beispielsweise Sicherheitsanforderungen an Cloud-Infrastrukturen, an das Internet der Dinge und Anwendungen der KI. Die Einführung EU-weit gültiger Standards und Zertifizierungen soll Vertrauen in sichere Infrastrukturen schaffen.
Schwachstellen in VNC-Implementierungen
Nach einer Meldung von heise.online vom 25. November haben Sicherheitsforscher von Kaspersky vier Virtual Network- Computing-Implementierungen auf Open Source-Basis untersucht und dabei 37 Schwachstellen entdeckt. Neben Clients sind auch Server betroffen.
Schwachstellen im Mobilfunknetz
Sicherheitsforscher haben Schwachstellen im Mobilfunknetz entdeckt, durch die potenziell Millionen von Handynutzern weltweit angreifbar sind, meldet SZ.de am 29. November. Die Sicherheitslücken ermöglichen es Hackern, Nachrichten mitzulesen, Telefonate abzuhören, den Aufenthaltsort von Zielpersonen zu überwachen oder im Namen eines Opfers Daten zu verschicken. Die Schwachstellen betreffen den relativ neuen, bei Kunden kaum bekannten Mobilfunkstandard Rich Communication Service (RCS). Dieser Standard werde mittlerweile von allem von Google vorangetrieben. Die Konfigurationsdatei ist zwar durch ein sogenanntes One Time-Passwort geschützt. Es kann jedoch überwunden werden. Mit den abgefangenen Textnachrichten können die Hacker die Konten für Email-Accounts übernehmen.
Die Vielzahl der Nachrichten zur IT-Sicherheit und ihrer Bedrohung durch Kriminelle verdeutlicht, dass diese Herausforderung insbesondere für die Wirtschaft tagtäglich aktuell ist. Und sie geht weit über die in der PKS registrierte Computerkriminalität hinaus. Mehr als dreimal so viele andere Straftaten werden mit Hilfe des Internet begangen. Dass Bitkom in einer Studie den finanziellen Schaden für die deutsche Wirtschaft durch Cybercrime für die letzten zwei Jahre auf 43,4 Milliarden Euro bemisst, zeigt die ungeheure monetäre Schadensdimension. Das BSI stellt in seinem Bericht zur Lage der IT-Sicherheit 2019 fest, dass es innerhalb eines Jahres rund 114 Millionen neue Schadprogramm-Varianten registriert, DDoS-Angriffe mit bis zu 300 Gbit/s Angriffsbandbreite beobachtet und täglich bis zu 110.000 Bot-Infektionen in deutschen Systemen entdeckt hat. Auch daraus wird die Dimension der Bedrohung durch Cyberattacken deutlich. Die Nachrichten über von Hackern und Schadprogrammen ausgenutzten oder für solche Angriffe geeignete Schwachstellen in Netzen und Systemen häufen sich und machen sprechen dafür, dass das Gefahren- und Sicherheitsbewusstsein in der Wirtschaft zu schwach ausgeprägt ist. Das gilt insbesondere für KMU. Umso wichtiger ist die Unterstützung der Wirtschaft und vor allem der Unternehmen im Bereich kritischer Infrastrukturen, auf die innerhalb eines Jahres von Oktober 2017 bis Oktober 2018 21 Cyberangriffe gerichtet waren, durch das BSI mit Rat und Tat. Securitas berichtet darüber auf seiner Webseite/Sicherheitslage. Hervorzuheben ist die Erarbeitung des Konzepts „IT-Grundschutzprofil“ durch das BSI 2018, auf dessen Grundlage mehrere Institutionen in Kooperation mit dem BSI erste IT-Grundschutzprofile erstellt haben. Der vom BSI ins Leben gerufenen „Allianz für Cybersicherheit“ mit kostenfreien Angeboten zur Fortbildung und zum Informationsaustausch sind bis Juni 2019 mehr als 3.700 Unternehmen beigetreten. Es wäre wünschenswert, dass die Zahl der Beitritte in naher Zukunft kräftig ansteigt.