INFINCO bei der KSW-Arbeitstagung – 18.-20. Mai 2023

Die Arbeitstagung der Kammer für Steuerberater:innen und Wirtschaftsprüfer:innen findet dieses Jahr vom 18.-20. Mai 2023 statt.

Teils über 1.000 Mitglieder des Berufsstandes finden Sich zu diesen Arbeitstagungen ein.

Wie letztes Jahr sind wir auch dieses Jahr mit unserem Vermögensschadenhaftpflicht-Konzept und überzeugenden Cyberversicherungskonzepten vor Ort und freuen uns auf den interessanten Austausch mit der Berufsgruppe.

Details zur Veranstaltung:
https://www.akademie-sw.at/seminare//veranstaltungsdetail/arbeitstagung-2023_31971

Sind Sie selbst Wirtschaftstreuhänder oder betreuen Kunden aus dieser Berufsgruppe? Vergleichen Sie die Prämie und die Leistungen Ihrer Vermögensschadenhaftpflicht-Versicherung mit unserem Konzept!

Top Trends Cybercrime 2023

Die Welt der Cyberkriminalität verändert sich ständig. In den ersten Monaten des Jahres haben sich bereits einige Trends gezeigt, was 2023 die bestimmenden Themen im Bereich Cybercrime sein werden. Wir geben unsere Einschätzung darüber ab, welche Trends die IT-Security Landschaft nachhaltig beeinflussen werden.

Künstliche Intelligenz: Wie KI die Cyberkriminalität verändert

Die künstliche Intelligenz (KI) ist eine der am schnellsten wachsenden Technologien unserer Zeit. In den letzten Jahren hat sie die Art und Weise verändert, wie wir arbeiten und kommunizieren. Aber mit der zunehmenden Verbreitung von KI-Systemen gibt es auch Bedenken darüber, wie sie von Cyberkriminellen genutzt werden können, um noch effektivere Angriffe durchzuführen.

Unserer Einschätzung nach wird KI in den kommenden Jahren eine wichtige Rolle spielen. Kriminelle nutzen bereits heute KI-Systeme, um komplexe Angriffe durchzuführen, die schwer zu erkennen und zu verhindern sind. Die Technologie ermöglicht es ihnen, personalisierte und überzeugende Phishing-E-Mails zu erstellen, Malware-Angriffe zu verfeinern und sogar Deepfake-Videos zu erstellen, um Opfer zu täuschen. Auch konnte bereits gezeigt werden, dass KI auch bei der Ausnützung von Sicherheitslücken unterstützen kann.

Aber KI bietet auch Möglichkeiten, um die Cybersecurity zu verbessern. Unternehmen setzen bereits KI-Systeme ein, um Angriffe schneller zu erkennen und zu neutralisieren. Durch maschinelles Lernen können KI-Systeme ungewöhnliche Aktivitäten im Netzwerk oder auf Endgeräten erkennen und daraufhin Alarm schlagen. Zudem können KI-Systeme genutzt werden, um Schwachstellen in den eigenen Systemen zu identifizieren und zu beheben, bevor Kriminelle sie ausnutzen können.

Es sieht in diesem Bereich nach einem weiteren Technologiewettbewerb aus, welcher beiden Seiten nützen und schaden kann.

Digitale Supply-Chain-Angriffe

Die digitale Supply-Chain ist mittlerweile zu einem wichtigen Teil der globalen Wirtschaft geworden. Unternehmen sind auf eine effektive Zusammenarbeit zwischen Zulieferern, Herstellern und Händlern angewiesen, um ihre Produkte und Dienstleistungen erfolgreich auf den Markt zu bringen. Doch diese Zusammenarbeit birgt auch Risiken in Form von digitalen Supply-Chain-Attacken.

Eine digitale Supply-Chain-Attacke findet statt, wenn ein Angreifer eine Schwachstelle in der IT-Infrastruktur eines Lieferanten ausnutzt, um Zugang zum Netzwerk eines anderen Unternehmens zu erhalten. Die Angreifer können auf diese Weise zum Beispiel Schadsoftware auf den Computern der Opfer installieren oder vertrauliche Daten stehlen. Diese Art von Cyberangriffen kann verheerende Auswirkungen auf Unternehmen haben, da sie dazu führen können, dass wichtige Geschäftsprozesse gestört oder sogar lahmgelegt werden. Kürzlich konnte man einen solchen Angriff in einer verbreiteten VOIP-Software feststellen.

Unternehmen sollten daher proaktiv handeln und Maßnahmen ergreifen, um ihre Lieferketten zu schützen. Eine Möglichkeit, sich gegen digitale Supply-Chain-Attacken zu schützen, besteht darin, eine umfassende Risikoanalyse durchzuführen und Regularien in Bezug auf IT-Security aufzustellen. Unternehmen sollten ihre Lieferanten und Partner genau unter die Lupe nehmen und sicherstellen, dass diese ausreichende Sicherheitsmaßnahmen implementiert haben. Zudem ist es wichtig, die eigene IT-Infrastruktur regelmäßig auf Schwachstellen zu überprüfen und diese schnellstmöglich zu beheben, damit man nicht selbst zur Ursache einer Supply-Chain-Attacke wird.

Der Klassiker – Phishing – nur anders – und besser

In der heutigen digitalen Welt ist Phishing eine der am häufigsten verwendeten Methoden, um an vertrauliche Daten von Nutzern zu gelangen. Dabei werden E-Mails, SMS oder Social-Media-Nachrichten verwendet, um den Nutzer dazu zu bringen, auf einen bösartigen Link zu klicken oder vertrauliche Informationen preiszugeben. Doch eine neue Bedrohung hat sich in den letzten Jahren entwickelt – Multi-Channel-Phishing. Multi-Channel-Phishing ist eine fortschrittliche Form des Phishings, bei der Angreifer mehrere Kanäle gleichzeitig nutzen, um ihre Opfer zu täuschen. Dazu können E-Mails, SMS, Social-Media-Nachrichten und sogar Anrufe gehören. Durch die Verwendung von mehreren Kanälen wird es für Nutzer schwieriger, den Betrug zu erkennen und sich dagegen zu schützen. Diese Methode des Phishings wird voraussichtlich in den nächsten Jahren weiter zunehmen – auch da im Zusammenhang mit KI, viele dieser Prozesse auf „Autopilot“ laufen können.

Unternehmen und Nutzer sollten daher proaktiv handeln und sich gegen diese Bedrohung schützen. Die wichtigsten Maßnahmen, um sich gegen (Multi-Channel-) Phishing zu schützen, sind umfassende Schulungsmaßnahmen der Mitarbeiter. Nutzer sollten darüber informiert werden, wie sie verdächtige E-Mails, SMS oder Nachrichten in sozialen Medien erkennen und vermeiden können, auf bösartige Links zu klicken oder vertrauliche Informationen preiszugeben. Weitere Maßnahmen sind die Implementierung von Multi-Faktor-Authentifizierung, falls es doch zu einem erfolgreichen Phishing-Versuch kommt.

Ransomware-as-a-Service (RaaS) – Schadsoftware von der Stange

Ransomware-as-a-Service (RaaS) ist ein bereits 2022 weit verbreitetes Modell für Cyberkriminelle, bei dem sie Ransomware als Service anbieten. Dabei bieten sie anderen Kriminellen die Möglichkeit, Ransomware zu nutzen, um ihre Opfer zu erpressen. RaaS ist Teil des Trends der „as-a-Service“-Modelle, bei denen Cyberkriminelle verschiedene Arten von Dienstleistungen anbieten.

RaaS ist nach wie vor ein schnell wachsender Markt ist und immer mehr Cyberkriminelle nutzen auch die angebotenen Dienstleistungen. Das geht so weit, dass man für die erfolgreiche Durchführung eines Cyberangriffs gar kein tieferes technisches Verständnis benötigt, da man all die notwendigen Dienstleistungen zukaufen kann. Darüber hinaus gibt es auf den Markplätzen im Darkweb unkompliziert Informationen über Sicherheitslücken oder passende Zugangsdaten zu kaufen.

Auch wenn Ermittler immer wieder Erfolge feiern und diese auch medial ausschlachten, ist davon auszugehen, dass gerade in Ländern, wo die Täter keine Strafverfolgung zu befürchten haben, sich die Gruppen weiter professionalisieren und immer mehr wie Unternehmen agieren – erste Anzeichen dafür sieht man bereits, indem diese Netzwerke ihren „Beschäftigten“ Bonuszahlungen und eine Krankenversicherung  zukommen lassen.

Fazit

Cyberkriminalität wird sich auf 2023 weiterentwickeln und es ist davon auszugehen, dass sich diese Entwicklung weiter beschleunigen wird. Gerade KI hat in diesem Zusammnenhang enormes Skalierungspotential, sei es bei der Ausführung von Phishing-Kampagnen oder auch bei der automatisierten Ausnutzung von Sicherheitslücken. Im Zusammnhang mit „As-a-Service“-Modellen wird es wahrscheinlich nicht lange dauern, bis entsprechende KI-Tools mit böswilligen Absichten bereitgestellt werden. Unternehmen werden nach wie vor angehalten sein, ihre Schutzmaßnahmen auszubauen und ihre Mitarbeiter auf neue Bedrohungsszenarien zu sensibilisieren. Auch wir werden den Trends folgen und in unseren Artikeln darauf hinweisen.

Melden Sie sich für unseren Newsletter an oder folgen Sie uns auf LinkedIn, damit Sie nichts verpassen!

(D)DOS-Angriffe – Wenn nichts mehr geht

(D)DOS-Angriffe sind eine ernsthafte Bedrohung für Unternehmen jeder Größe und Branche. Diese Angriffe können dazu führen, dass Webseiten und Online-Services nicht mehr erreichbar sind und somit den Betrieb von Unternehmen erheblich beeinträchtigen. Gerade in letzter Zeit wird wieder häufiger über DDOS-Angriffe berichtet, welche politisch motiviert sind. In diesem Artikel werden wir uns genauer mit DDOS-Angriffen beschäftigen und untersuchen, welche Auswirkungen sie auf Unternehmen haben können.

  • Einleitung: Was ist ein DDOS-Angriff und wie funktioniert er?
  • Finanzielle Auswirkungen
  • Reputationsverlust
  • Datenschutz- und Sicherheitsbedenken, rechtliche Konsequenzen
  • Prävention und Schutzmaßnahmen
  • Fazit / Zusammenfassung

Einleitung: Was ist ein DDOS-Angriff und wie funktioniert er?

(D)DOS steht für (Distributed) Denial of Service und stellt einen Cyber-Angriff dar bei dem eine große Anzahl von Geräten (z.B. Computer, Smartphones, IoT-Geräte) gleichzeitig eine Website oder einen Online-Dienst mit Anfragen überflutet. Ziel des Angriffs ist es, die Ressourcen des Servers zu überlasten und so den Zugang zu der betroffenen Website oder dem Online-Dienst für reguläre Nutzer zu blockieren. Daher werden solche Angriffe oft durchgeführt, bei denen Erpressung, Sabotage oder politischer Aktivismus im Vordergrund stehen.

DOS-Angriffe (ohne dem voranstehenden zweiten „D“) finden heutzutage kaum mehr statt. Bei diesen handelt es sich ebenfalls um Überlastungsangriffe, aber fällt die Verteilungskomponente weg, d.h. die Angriffe erfolgen nur von einer Quelle. Solche Angriffe lassen sich heutzutage leicht blockieren und insbesondere auch leicht zurückverfolgen.

In einigen Fällen können DDOS-Angriffe auch als Ablenkungsmanöver genutzt werden, um andere Arten von Cyberangriffen durchzuführen. Die steigende Anzahl von IoT-Geräten hat DDOS-Angriffe einfacher gemacht, da viele dieser Geräte schlecht geschützt sind und oft mit Standard-Passwörtern betrieben werden. Diese sind für Hacker leicht zu übernehmen, aber für sich selbst meist kein lohnendes Angriffsziel. In der Masse können diese allerdings zu einem Botnetz zusammengefasst werden. Und wenn nun eine große Anzahl von Geräten – das Botnet – koordinierte Anfragen an den Zielserver sendet, kann der Server nicht mehr alle Anfragen bearbeiten und bricht unter der Last zusammen. Infolge wird die Website oder der Online-Dienst für reguläre Nutzer nicht mehr erreichbar.

Wichtig zu beachten ist, dass DDOS-Angriffe auch bei den Angreifern Kosten verursachen können, wenn sie nicht gerade selbst ein großes Botnet betreiben – für den Zugriff auf funktionierende Botnetze verlangen Hacker auch von Ihresgleichen einen Obulus für die Nutzung. Daher ist damit zu rechnen, dass entsprechend Angriffe nicht ewig anhalten werden.

Die Auswirkungen einer erfolgreichen DDOS-Attacke können je nach Ziel mannigfaltig sein – im besten Fall ist die rein repräsentative Website des Unternehmens nicht mehr erreichbar – hier sprechen wir schwer bestimmbaren Reputationsschäden, da einige Kunden oder Geschäftspartner kurzfristig keinen Zugriff auf Informationen hatten. Schlimmer kann es sein, wenn die Mail-Server stundenlang blockiert werden und keine Korrespondenz mit Kunden und Geschäftspartnern mehr möglich ist. Kritisch wird es, wenn auf den blockierten Servern der Online-Shop betrieben wurde, oder sonstige kritische Systeme Ziel der Angriffe sind – beispielsweise der VPN-Server, mit dem sich die gesamte Workforce aus dem Homeoffice verbindet.

Bei einem gut ausgewählten Ziel können die Auswirkungen auf ein Unternehmen drastisch sein und dieses stark unter Druck setzen.

Ablauf einer DDOS-Attacke

Abbildung: typischer Ablauf eines DDOS-Angriffs

Finanzielle Auswirkungen

Ein DDOS-Angriff kann für Unternehmen erhebliche finanzielle Auswirkungen haben. Wenn eine Website oder ein Online-Dienst aufgrund eines DDOS-Angriffs nicht mehr erreichbar ist, können Kunden davon abgeschreckt werden und zu einem Wettbewerber wechseln. Gerade im schnelllebigen Online-Business können hier schnell signifikante Umsätze verloren gehen. Wenn Online-Dienst angeboten werden, welche für Dritte in Ihrer Leistungserbringung verwendet werden, ist man darüber hinaus schnell mit Schadenersatzforderungen konfrontiert. Darüber hinaus können zusätzliche Kosten für die Wiederherstellung der IT-Infrastruktur und die Implementierung von Sicherheitsmaßnahmen für die Zukunft anfallen. Gerade wenn mit finanziellen Verlusten zu rechnen ist, ist es wichtig, proaktiv Maßnahmen zu ergreifen, damit die IT-Infrastruktur geschützt werden kann.

Reputationsverlust

Ein DDOS-Angriff kann nicht nur finanzielle Auswirkungen haben, sondern auch das Vertrauen von Kunden und Geschäftspartnern in das betroffene Unternehmen beeinträchtigen. Wenn eine Website oder ein Online-Dienst aufgrund eines DDOS-Angriffs nicht mehr erreichbar ist, kann dies den Eindruck erwecken, dass das Unternehmen nicht in der Lage ist, seine IT-Infrastruktur zu schützen. Dies kann das Vertrauen von Kunden und Geschäftspartnern in das Unternehmen beeinträchtigen und zu einem Reputationsschaden führen. Ein schlechter Ruf kann sich auf die langfristige Geschäftsentwicklung auswirken und das Wachstum des Unternehmens behindern. Um einen Reputationsverlust zu vermeiden, sollten Unternehmen schnell und transparent auf DDOS-Angriffe reagieren und ihre Kunden und Geschäftspartner über die Situation informieren.

Datenschutz- und Sicherheitsbedenken, rechtliche Konsequenzen

In Art. 32 DSGVO ist auch die Verfügbarkeit von Daten als Verpflichtung genannt. Wenn ein System durch einen DDOS-Angriff in Mitleidenschaft gezogen wird, ist diese Verfügbarkeit der Daten nicht mehr gewährleistet. Wenn personenbezogene Daten von Kunden oder Mitarbeitern betroffen sind, kann dies zu einem Verlust des Vertrauens und der Loyalität dieser Personen führen. Es stehen auch Strafen im Raum, wenn gegen Datenschutzbestimmungen verstoßen wurde und auch Schadensersatzforderungen durch Kunden oder Geschäftspartner sind vorstellbar, wenn ein Unternehmen nicht in der Lage ist, die sicherheitsrelevanten Anforderungen zu erfüllen und diese dadurch einen finanziellen oder Reputationsschaden erleiden.

Prävention und Schutzmaßnahmen

Um sich gegen DDOS-Angriffe zu schützen, gibt es verschiedene Maßnahmen, die Unternehmen ergreifen können. Eine Möglichkeit ist das Einrichten von Firewalls und Intrusion Prevention Systemen, um verdächtigen Datenverkehr zu blockieren. Darüber hinaus können Unternehmen auch DDOS-Mitigation-Services einsetzen, um den Datenverkehr zu analysieren und bösartige Anfragen zu blockieren. Es ist auch wichtig, regelmäßig Backups der Daten zu erstellen, um im Falle eines Angriffs schnell wiederherstellen zu können.

Präventiv ist es hilfreich, den Angreifern möglichst wenig Angriffsfläche im Internet zu präsentieren, sodass man nicht so leicht zum Ziel für die Angreifer wird. Öffentliche DNS-Einträge im „Vermittlungssystem des Internets“ können von jedermann ausgelesen werden und sind in vielen Fällen nicht notwendig, wenn es sich um privat betriebene Infrastruktur handelt. Systeme, die mit der Außenwelt in Kontakt stehen, sollten regelmäßig auf Sicherheitslücken überprüft werden und durch Updates auf dem aktuellen Stand gehalten werden.

Unternehmen sollten sich aber bewusst sein, dass es keine absolute Sicherheit gibt und dass sie im Falle eines Angriffs schnell handeln müssen, um den Schaden zu minimieren und das Vertrauen der Kunden und Geschäftspartner nicht zu gefährden.

Es ist auch wichtig, dass Unternehmen ihre IT-Infrastruktur regelmäßig überprüfen und aktualisieren, um Schwachstellen zu beheben und den Schutz gegen neue Angriffsvektoren zu verbessern. Eine gute Zusammenarbeit mit IT-Sicherheitsdienstleistern und eine regelmäßige Schulung der Mitarbeiter sind ebenfalls von entscheidender Bedeutung. Zusammenfassend lässt sich sagen, dass DDOS-Angriffe eine reale Bedrohung für Unternehmen und ihre Kunden darstellen, aber durch proaktive Maßnahmen und eine umfassende Sicherheitsstrategie minimiert werden können.

Fazit

DDOS-Angriffe können schwerwiegende Auswirkungen auf Unternehmen haben, von Ausfallzeiten und Verlusten bis hin zu rechtlichen Konsequenzen. Durch proaktive Maßnahmen und eine schnelle Reaktionsfähigkeit können Unternehmen ihre Chancen erhöhen, einen DDOS-Angriff zu überstehen und die Auswirkungen zu minimieren – dies sollte insbesondere in Betracht gezogen werden, wenn Online-Dienste erbracht werden, welche für den Unternehmenserfolg kritisch sind.

INFINCO bei den AssCompact Beratertagen Innsbruck, Graz und Wien!

 

INFINCO ist auch dieses Jahr wieder an folgenden Asscompact-Beratertagen für Sie vor Ort:

  • AssCompact Beratertag – INNSBRUCK/Mils
    Donnerstag, 13. April 2023, Hotel Reschenhof
  • AssCompact Beratertag – GRAZ
    Dienstag, 18. April 2023, NOVAPARK Flugzeughotel Graz
  • AssCompact Beratertag – WIEN/NÖ
    Mittwoch, 19. April 2023, VZ BRUNO – Brunn am Gebirge

Wir sind offizieller Partner des AssCompact Beratertags und mit einem Ausstellungsstand vertreten. Wir möchten Sie ganz herzlich einladen, uns dort zu besuchen und freuen uns auf interessante Gespräche mit Ihnen!

Zur Programmübersicht für alle Beratertage kommen Sie <<hier>>.

Die Anmeldung für Vermittler für alle Tage ist kostenfrei.

 

Eine Besonderheit dürfen Sie sich nicht entgehen lassen:

Unser Geschäftsführer Joe Kaltschmid wird in Mils den Beratertag mit dem ersten Vortrag zwischen 09:00 und 10:00 Uhr mit dem interessanten Thema

„Die passgenaue Absicherung von Financial Lines Risiken in KMU – Haftungsrisiken unter der Lupe!“

einleiten.

 

Sichern Sie sich eine Stunde IDD Modul 2 durch Ihre Teilnahme an dem Vortrag.

 

Auswirkungen einer erfolgreichen Cyber-Attacke auf Unternehmen und Management

In den Medien wird täglich über die Auswirkungen von Cyberattacken auf Unternehmen und das Management berichtet. In den meisten Fällen denkt man an die unmittelbaren Folgen eines Ausfalls der IT-Systeme und der damit einhergehenden Betriebsunterbrechung. Es sind im Rahmen einer Cyber-Attacke allerdings mehrere Aspekte zu bedenken und diese gehen über die unmittelbaren Folgen für das Unternehmen hinaus. Auch muss gar nicht immer ein tatsächlicher Cyber-Angriff vorliegen, wenn von einem Cyber-Vorfall gesprochen wird.

Die Fälle, die in Österreich in den letzten Wochen medial aufgearbeitet wurden, haben bereits ein recht breites Spektrum:

Welch schwerwiegende Folgen ein Cyberangriff auf ein Unternehmen haben kann, zeigt auch die Insolvenz des Fahrradherstellers Prophete Ende 2022. Dem bereits angeschlagenen Unternehmen wurde durch den Cyber-Angriff der Todesstoß versetzt und im Rahmen der Insolvenz lt. Medienberichten an einen Investor verkauft.

In der jüngsten Vergangenheit hat sich gezeigt, dass die Effektivität der Cyberangriffe zunehmend steigt – die Hacker haben sich professionalisiert und durch Arbeitsteilung, Spezialisierung und fertige Hacking-Tools führen die Angriffe häufiger und schneller zum Ziel.

Von welchen Cyber-Vorfällen sind Unternehmen betroffen?

Die häufigsten Cybervorfälle lassen sich in die folgenden Kategorien einordnen, wobei es Vorfälle gibt, welche durchwegs in mehrere Kategorien fallen:

Im Rahmen von weiteren Artikeln werden wir in den nächsten Wochen auf die Folgen der einzelnen Vorfälle detailliert eingehen, wobei wir das Thema der Data Breaches bereits detailliert aufgearbeitet haben.

Auch gibt es weitere Cybervorfälle, von denen Unternehmen und Privatpersonen betroffen sein können, wie Cyber-Spionage, oder Adware – auch der Bedien- und Programmierfehler bzw. auch ein Hardware-, Software- oder Netzwerkfehler können lt. aktuellen Versicherungsbedingungen als Cyber-Vorfall gesehen werden.

Die Folgen für das Unternehmen können je nach Ereignis vielfältig sein:

  • Eine Betriebsunterbrechung, da kein Zugriff mehr auf die Systeme besteht
  • DSGVO-Verstöße
  • Melde- und Benachrichtigungsverpflichtungen
  • Reputationsschäden
  • Kommunikationsausfall
  • Schadenersatzforderungen
  • usw.

Nicht nur das Unternehmen befindet sich nach einem schwerwiegenden Cybervorfall in einer Ausnahmesituation, sondern natürlich auch die betroffenen Personen, darunter auch das Management. Auch auf dieser Ebene möchten wir die Auswirkungen beleuchten und die Folgen abschätzen, die ebenso vielfältig wie auf Unternehmensebene sein können.

Auswirkungen auf das Management

Auf Managementebene müssen im Falle eines Cybervorfalls zahlreiche Entscheidungen getroffen werden und das Management wird sich auch die Frage stellen, ob es ausreichend auf einen Cyber-Vorfall vorbereitet ist und es alle notwendigen und gebotenen Schritte unternommen hat, um die Auswirkungen Vorfalls so gering wie möglich zu halten. Insofern hier Verfehlungen erkennbar sind, wird sich auch die Frage nach etwaigen rechtlichen Konsequenzen stellen – sei es zivilrechtlich oder (verwaltungs-)strafrechtlich.

Durch das Management gesetzte Maßnahmen können Einfluss auf die Schadenseintrittswahrscheinlichkeit und auf die Schadenshöhe haben – die folgende Übersicht soll verdeutlichen, wo die jeweiligen Maßnahmen schwerpunktmäßig ansetzen:

Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit vs. Schadenshöhe

Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit bzw. Schadenshöhe eines Cybervorfalls

Man muss beachten, dass die obigen Maßnahmen hier nicht schwarz/weiß zu sehen sind, es kann durchaus sein, dass eine Netzwerksegmentierung einen Cybervorfall verhindert, wenn die Angreifer in den unkritischen Systemen keine lohnenden Ziele finden. Auch ist es durchaus üblich, dass im Zuge des Abschlusses einer Cyberversicherung Sicherheitslücken oder organisatorische Schwachstellen aufgedeckt wurden, welche in weiterer Folge einen Cyber-Vorfall verhindern.

Neue Regelungen für Cybersicherheit

Dass Cyber-Vorfälle schwere Schäden verursachen und auch volkswirtschaftlich durchaus relevant sind, ist auch an den Behörden nicht vorbeigegangen. Daher wurde auch kürzlich die Cybersicherheitsrichtline NIS 2 durch die Europäische Union in Kraft gesetzt und muss daher bis Oktober 2024 von den Nationalstaaten umgesetzt werden. Sie enthält die gesetzlichen Vorgaben für Sicherheitsmaßnahmen und Meldepflichten für wesentliche bzw. wichtige Einrichtungen.

Direkt betroffen werden von dieser Richtlinie in Österreich nach aktuellen Schätzungen ca. 3.500 Betriebe sein. Die Maßnahmen, welche von den Unternehmen gefordert werden, sind durchaus umfangreich:

  • Risikoanalyse- und Informationssicherheitskonzepte
  • Maßnahmenpläne präventiv und im Krisenfall
  • Konzepte für Zugriffskontrollen / Verpflichtung Multi-Faktor-Authentifizierung
  • Cyberhygiene
  • Zero-Trust-Prinzip
  • Software-Updates
  • Netzwerksegmentierung
  • Identitäts- und Zugriffsmanagement
  • Sensibilisierung der Nutzer:innen
  • Schulungen für Mitarbeiter:innen

Aufgrund der enthaltenen Vorschriften zur Cyber-Hygiene (auch in Bezug auf Lieferketten) ist allerdings davon auszugehen, dass weitaus mehr Betriebe die Auswirkungen der Richtlinie zu spüren bekommen.

Erstmalig enthalten sind in der Richtlinie auch definierte Aufsichts- und Durchsetzungsmaßnahmen, welche laufende Kontrollen ohne Anlassfall umfassen und eine explizite Verantwortung der Unternehmensleitung bei der Umsetzung der Maßnahmen definieren. Nicht zuletzt wird auch die Sanktionierung von Verstößen deutlich verschärft – der Strafrahmen erinnert hier in seiner Ausgestaltung an die Strafen lt. DSGVO und geht bis zu EUR 10 Mio. bzw. 2% des weltweiten Umsatzes.

Fazit

Die Auswirkungen eines Cybervorfalls sind vielfältig und müssen differenziert betrachtet werden. Je nach Betriebsart müssen Maßnahmen getroffen werden, welche auf die vordergründigen Risiken des Unternehmens abgestimmt sind. Die Personen im Management sind in der Verantwortung, diese Risiken zu identifizieren und die geeigneten Maßnahmen einzuleiten. Die aktuellen Erfahrungen zeigen, dass alle Unternehmen von den aktuellen Entwicklungen betroffen sein können, da die Digitalisierung inzwischen auch in den traditionellsten Branchen Fuß fasst und die Unternehmen damit angreifbar macht.

Data Breach – Meldeverpflichtungen und Konsequenzen

Oft liest man im Zusammenhang mit Cybervorfällen von einem Data Breach – was ist jedoch damit gemeint und was sind die Folgen für das Unternehmen bzw. das Management, wenn es zu einem solchen kommt? In diesem Artikel möchten wir dieses Thema etwas näher beleuchten.

Data Breach – Definition

Ein Data Breach (Datenpanne) tritt auf, wenn unautorisierte Personen auf sensible, vertrauliche oder geschützte Daten zugreifen, diese kopieren, stehlen oder die Daten anderweitig offengelegt werden. Ein Data Breach kann auf verschiedene Weise erfolgen, z.B. durch den Diebstahl von Geräten, die Malware-Infektion von Systemen, Phishing-Angriffe, Schwachstellen in der IT-Infrastruktur oder auch schlicht und einfach menschliches Versagen.

Data Breach – Die Folgen

Data Breaches können erhebliche Auswirkungen auf Unternehmen und Einzelpersonen haben, da sie dazu führen können, dass vertrauliche Informationen, wie personenbezogene Daten, geistiges Eigentum oder Geschäftsgeheimnisse, in die falschen Hände fallen.

1. Verlust von Vertrauen: Wenn ein Unternehmen Opfer eines Data Breach wird, kann dies das Vertrauen seiner Kunden und Partner beeinträchtigen. Viele Menschen sind zu Recht besorgt über den Schutz ihrer persönlichen Daten, und ein Data Breach kann dazu führen, dass sie das Vertrauen in das betroffene Unternehmen verlieren.

2. Rufschädigung: Ein Data Breach kann auch zu einer Rufschädigung des betroffenen Unternehmens führen. Wenn die Medien Wind von dem Vorfall bekommen, was aufgrund der umfassenden Melde- und Benachrichtigungspflichten meist der Fall sein wird, kann dies zu einer negativen Berichterstattung führen, die das Image des Unternehmens nachhaltig beeinträchtigen kann.

3. Finanzielle Schäden: Ein Data Breach kann auch erhebliche finanzielle Schäden verursachen. Das Unternehmen kann mit hohen Kosten für die Behebung des Vorfalls, wie z.B. das Engagement von IT-Sicherheitsexperten, die Aufrüstung der IT-Infrastruktur und die Durchführung von Ermittlungen und Rechtsstreitigkeiten, konfrontiert sein. Darüber hinaus können Bußgelder, Strafen und Schadenersatzforderungen von Betroffenen oder Behörden entstehen.

4. Identitätsdiebstahl: Wenn personenbezogene Daten gestohlen werden, können Kriminelle diese nutzen, um Identitätsdiebstahl zu begehen. Die entsprechenden Folgen können für die betroffenen Personen im besten Fall lästig sein, aber auch teils erhebliche finanzielle und persönliche Schäden verursachen. Lässt sich der Schaden dem Data Breach zuordnen, können entsprechende Schadenersatzforderungen an das Unternehmen gestellt werden.

Melde- und Benachrichtigungspflichten

Data Breaches stehen sehr oft im Zusammenhang mit personenbezogenen Daten, auch aus dem Grund, da der Gesetzgeber diese Daten als besonders schützenswert erachtet. Die DSGVO sieht die Verpflichtung der oder des Verantwortlichen zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (in Österreich ist dies die Datenschutzbehörde) vor (Artikel 33).

Die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden erfolgen, nachdem dem Verantwortlichen diese Verletzung bekannt wurde. Erfolgt die Meldung erst nach Ablauf von 72 Stunden, so ist diese Verzögerung zu begründen.

Eine Meldung ist jedenfalls zu erstatten, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die Folgenabschätzung hat durch den Verantwortlichen zu erfolgen und birgt, wenn auch ein Haftungsrisiko.

Eine Mustermeldung gem. Art 33 DSGVO kann von der Datenschutzbehörde bezogen werden.

Eine Benachrichtigung an die betroffenen Personen hat zu erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Es gibt jedoch auch Ausnahmen von der Verpflichtung zur Benachrichtigung – so kann die Benachrichtigung unterbleiben, wenn:

  • der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung (wenn beispielsweise eine Kundendatenbank nur verschlüsselt in falsche Hände gekommen ist)
  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht (wenn die öffentliche Zugangsmöglichkeit beispielsweise temporär bestanden hat, dies behoben wurde und durch Zugriffsprotokolle nachgewiesen werden kann, dass keine missbräuchliche Verwendung stattgefunden hat)
  • dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden (hierauf dürfte sich mutmaßlich die GIS im Zusammenhang mit dem Datenleck berufen).

Mögliche Schäden für ein Unternehmen durch einen Data Breach

Die konkreten Folgen für ein Unternehmen können vielfältig sein. Unmittelbare Kosten durch die Datenpanne können folgendermaßen entstehen:

  • Beratung durch Rechtsbeistand
  • Benachrichtigung der betroffenen Kunden und Personen
  • Schadensersatzforderungen durch betroffene Personen
  • Kosten für die forensischen Untersuchungen des Data Breaches

Es gibt jedoch auch langfristige Probleme, die durch einen Data Breach entstehen können:

  • Kunden bzw. Lieferanten kündigen ihre Zusammenarbeit – Verlust von Aufträgen
  • Erhöhung der Prämie oder Verlust des Versicherungsschutzes der Cyber-Versicherung
  • langfristige Imageschäden

Es ist durchaus möglich, dass ein Data Breach ein Unternehmen bis hin zur Insolvenz begleitet, wenn im Vorfeld die falschen Entscheidungen getroffen werden. Aufgrund der recht jungen Rechtsmaterie gibt es noch kaum tragfähige höchstgerichtliche Entscheidungen dazu. Einschlägige Vergleiche von Unternehmen mit Betroffenen lassen aber vermuten, dass man Ansprüche aufgrund DSGVO-Verletzungen nicht auf die leichte Schulter nehmen darf, insbesondere, wenn sich Betroffene in Sammelklagen zusammenschließen – die Gleichartigkeit der Ansprüche im Falle eines Data Breach erleichtert diese Vorgehensweise und minimiert für die einzelnen Betroffenen das Kostenrisiko.

Entscheidungen durch die Unternehmensleitung

Für die Unternehmensleitung stehen im Falle eines Data Breach schwerwiegende Entscheidungen an – vorab muss festgestellt werden, welchen Umfang der Data Breach hat. Dies klingt trivial, ist jedoch meist nicht so einfach festzustellen und erfordert oft die Hinzuziehung von forensischen Experten. Im Zuge der Analyse wird dann festgestellt, welche Daten wie lange zugänglich waren und ob bzw. wie viele Zugriffe darauf stattgefunden haben.

In weiterer Folge muss durch das Management eine Folgenabschätzung getroffen werden, um daraus etwaige Melde- und Benachrichtigungspflichten ableiten zu können.

Ist der Fall bereits über die Medien publik geworden, muss man auch entscheiden, wie medial damit umgegangen wird und welche Maßnahmen getroffen werden können, um die Folgen dadurch möglichst gering zu halten.

Es sind hier viele Entscheidungen zu treffen, welche den unternehmerischen Erfolg zukünftig beeinflussen werden.

 

LAST CALL – INFINCO beim AssCompact Gewerbeversicherungssymposium

Am 7. März 2023 findet in Vösendorf auch dieses Jahr wieder das Gewerbeversicherungssymposium mit interessanten Vorträgen statt.

Wir sind offizieller Partner des AssCompact Gewerbeversicherungssymposiums und wieder mit einem Ausstellungsstand vertreten. Wir möchten Sie ganz herzlich einladen, uns dort zu besuchen und freuen uns auf interessante Gespräche mit Ihnen!

Hochkarätige Keynote-Speaker und gefragte Experten erwarten Sie beim AssCompact Gewerbeversicherungssymposium 2023, das am 7. März in der Pyramide Wien/Vösendorf und ALTERNATIV am 21., 22. und 23. März 2023 online via AssCompact LiveTV unter dem Motto „Haftungsszenarien für Kunden sowie Berater“ stattfindet. Neben wertvollen IDD-Stunden können Sie das AssCompact Gewerbeversicherungssymposium auch zum Netzwerken mit Branchenkollegen und Riskmanagement-Experten nutzen.

Unser Geschäftsführer Joe Kaltschmid wird dieses Jahr auf das interessante Thema

„Auswirkungen einer erfolgreichen Cyberattacke auf Unternehmen und Management“

im Rahmen seines Vortrags eingehen und aus dem Nähkästchen berichten, welch schwerwiegende Folgen ein Cyberangriff auf ein Unternehmen haben kann.

Wir würden Sie natürlich gerne direkt an unserem Messestand begrüßen – falls Sie noch nicht angemeldet sind, können Sie sich unter folgendem Link anmelden:
Hier geht’s zur Anmeldung Präsenz

Falls Sie keine Möglichkeit haben am 7. März teilzunehmen, bietet AssCompact das Gewerbeversicherungssymposium digital an:
Hier geht’s zur Anmeldung Online

Den gesamten Programmablauf finden Sie unter folgendem Links:

PRÄSENZ: Hier geht’s zum Programm!
ONLINE: Hier geht’s zum Programm!

Tipp des Monats: WordPress absichern!

Zahlreiche Webseiten verlassen sich auf das CMS (Content Management System) WordPress für den Betrieb Ihrer Website. Das ist auch verständlich – ist es doch eines der verbreitetsten Open-Source-Systeme für den Betrieb einer Website – Schätzungen zufolge werden über 40% aller Websites, deren CMS bekannt ist, durch WordPress betrieben.

Diese Verbreitung macht WordPress natürlich auch zu einem beliebten Angriffsziel – hat man die Möglichkeit eine der Webseiten zu hacken, sind auch zahlreiche andere Ziele potentiell verwundbar. Daher sollte man sich an einige Empfehlungen halten, um nicht selbst Opfer einer gehackten Website zu werden – was im besten Fall lästig ist, im schlimmsten Fall aber, wenn das eigene Geschäftsmodell stark vom durchgehenden Betrieb der Website abhängt, für das Unternehmen existenzbedrohend sein kann.

Die hier ausgesprochenen Empfehlungen sollen nicht allzu technisch ausgeführt werden – aber vielleicht dazu anregen, die Punkte mit dem eigenen IT-Betreuer oder dem Entwickler der Website zu besprechen.

WordPress (& Plugins) aktualisieren

So wie jede andere Software enthält auch WordPress Fehler, was sich nicht nur in fehlender Funktionalität niederschlagen kann, sondern manchmal auch zu Sicherheitslücken führt. Bei ganz eklatanten Sicherheitslücken kann es dazu kommen, dass diese auch von jedermann, der es darauf anlegt, ausgenutzt werden können. Deshalb wird WordPress regelmäßig durch die Entwickler aktualisiert, um bekannte Fehler zu beheben. WordPress selbst enthält eine sehr komfortable Update-Funktion und in den meisten Fällen spricht nichts dagegen, die neuen Versionen schnellstmöglich nach Veröffentlichung einzuspielen oder WordPress sogar anzuweisen, die Updates automatisch zu starten, sobald sie verfügbar sind.

Manchmal wird hier von Entwicklerseite argumentiert, dass es bei zu schnellen Updates zu Schwierigkeiten kommen kann, da evtl. unbekannte Fehler enthalten sind oder das Update möglicherweise mit selbst entwickelter Software nicht kompatibel sein könnte.

Dies mag im Einzelfall zutreffen, ist aber für die Mehrheit der Websites meist unerheblich – jedenfalls sollte hier mit den Website-Zuständigen eine Vereinbarung getroffen werden, dass die WordPress-Version möglichst zeitnah aktuell zu halten ist.

Über sog. Plugins kann man WordPress mit allen erdenklichen Zusatzfunktionen ausstatten – man muss aber dabei beachten, dass auch diese Plugins wieder Sicherheitslücken enthalten können und WordPress damit angreifbar wird. Hier gilt grundsätzlich, dass man nur die unbedingt notwendigen Plugins installieren sollte und dabei auch darauf achten sollte, wie oft auch diese Updates erhalten. Auch hier verfügt WordPress über eine komfortable Update-Funktion, die nur wenige Augenblicke in Anspruch nimmt.

Sichere Passwörter

Für alle Bestandteile einer WordPress-Installation (Admin-Zugänge, Autoren-Zugänge, Datenbank, FTP, Hosting) sollten sichere Passwörter verwendet werden. Dies mag banal klingen, wird aber oft vernachlässigt. Außerdem sollte man darüber nachdenken, die WordPress-Zugänge mit Multi-Faktor-Authentifizierung abzusichern. WordPress bringt die Fähigkeiten dazu mit Bordmitteln mit, erforderlich ist dazu nur die Installation einer Authenticator App, wie z.B. den Google Authenticator.

HTTPS-Verschlüsselung für die Seite verwenden

Dies sollte heutzutage für alle Websites eigentlich schon Standard sein – trotzdem stolpert man immer wieder über Seiten, auf die nach wie vor nicht verschlüsselt zugegriffen werden kann.

Sollte das bei der eigenen Website noch der Fall sein, sollte man dies unbedingt ändern. Auch weil man mit der verschlüsselten Übertragung ein angemessenes Datenschutzniveau z.B. für ein enthaltenes Kontaktformular auf der Website herstellen kann. Hier sollte man sich dessen bewusst sein, dass man hier auch datenschutzrechtliche Verpflichtungen gegenüber seinen Website-Besuchern hat.

Security-Plugin installieren

Natürlich gibt es für WordPress auch Security-Plugins. Diese beheben meist eine Reihe von technischen Security-Themen bzw. weisen zumindest auf die Problematik hin. Zu den populärsten gehören Wordfence, Hide my WP, iThemes Security oder NinjaFirewall – was verwendet werden soll, sollte der IT-Verantwortliche selbst entscheiden, da er hier meist eigene Präferenzen hat. Diese Plugins können die meisten automatisierten Angriffe auf die eigene Website stoppen. Auch hier gilt natürlich, dass diese Plugins auf dem aktuellen Stand gehalten werden müssen, damit sie Ihre Aufgabe erledigen können.

Regelmäßige Backups

Auch für die Website gilt, dass eine regelmäßige Sicherung durchgeführt werden sollte – idealerweise auf ein Medium, das nicht ohne gesonderte Authentifizierung zugänglich ist. Wenn es doch zu einer Kompromittierung der eigenen Website kommt, hat man so zumindest die Möglichkeit kurzfristig ein Backup wiederherzustellen. Idealerweise sollte man allerdings vor dem Einspielen des Backups wissen, wie sich der Angreifer Zugriff verschafft hat, damit man nicht kurz nach der erfolgreichen Wiederherstellung neuerlich Opfer eines Angriffs wird. Da viele dieser Hacks automatisiert erfolgen, kann es bereits nach wenigen Minuten wieder soweit sein und das ganze Spiel beginnt von Neuem.

Wahl eines renommierten Hosters

Die Wahl einer renommierten Hosting-Umgebung hat maßgeblichen Einfluss auf die Sicherheit der eigenen Website. Einerseits sind hier die einzelnen WordPress-Instanzen meist voneinander isoliert, sodass es nicht zu einem Massenhack kommen kann und man kann davon ausgehen, dass die Server, welche die Seite bereitstellen, regelmäßig gewartet werden und sicherheitsrelevante Updates eingespielt werden.

DDOS-Schutz

Eine DDOS-Attacke zerstört die Seite im Regelfall nicht, sondern verhindert meist nur den Zugriff darauf, solange der Angriff anhält. Es werden aus verschiedensten Quellen Anfragen an die Seite geschickt, sodass der Server ausgelastet ist und auf „echte“ Zugriffe nicht mehr reagieren kann. Ein DDOS-Angriff hält meist nur ein paar Stunden oder Tage an und wird dann wieder eingestellt, da er auch den Angreifer Ressourcen kostet. Ein DDOS-Schutz wird vor allem dann von Vorteil sein, wenn die eigene Website durchgehend erreichbar sein sollte und ein Ausfall mit wirtschaftlichen Einbußen einhergeht. In diesen Fällen kann ein DDOS-Schutz sinnvoll sein. Bei einigen Hosting-Anbietern ist dieser bereits inkludiert oder man kann diesen auch separat erwerben, wie z.B. bei Couldflare.

Cybercrime as a Service – Verbrechen auf Bestellung

Dass sich Cyberkriminalität über die letzten Jahre so großer Beliebtheit erfreut und die Anzahl der Vorfälle jedes Jahr neue Rekordzahlen erreicht, hat gute Gründe.  Die Zeiten, wo man über umfassendes Wissen verfügen musste, um Schadsoftware in fremden Netzwerke zu platzieren, Phishing-Kampagnen zu starten oder Server für die Steuerung der Schadsoftware aufzusetzen, sind vorbei. All diese Services lassen sich für vergleichsweise kleines Geld als Service zukaufen.

Man kann zu Recht behaupten, dass sich um Cybercrime zwischenzeitlich ein Ökosystem gebildet hat, welches die Einstiegsbarrieren verringert und damit einen Zustrom von neuen Kriminellen in das Betätigungsfeld ermöglicht. Da Cybercrime ein sehr weiter Begriff ist und sich auch laufend verändert, versuchen wir uns an einer Bestandsaufnahme zum aktuellen Zeitpunkt (November 2022), wobei wir beleuchten möchten, welche „Services“ aktuell von den Cyberkriminellen zur Verfügung gestellt werden. Es ist davon auszugehen, dass wir diesen Artikel in wenigen Monaten zumindest um einige Punkte erweitern müssen, da sich die Wertschöpfungsketten laufend verändern und erweitern.

Einen Bereich, auf welchen wir in diesem Artikel außerdem nicht eingehen werden, ist der Verkauf von illegalen physischen Gütern wie Drogen und Waffen, wobei auch hier das Internet und insbesondere das Darknet eine große Rolle spielen. Aber auch die anderen Cybercrime-Dienste werden meist über das Darknet gehandelt, weshalb wir uns dies zuvor einmal etwas ansehen sollten.

Was ist das Darknet?

Das Darknet ist ein Teil des Internets, welcher grundsätzlich nicht per se illegal ist, aber nur durch Anonymisierungsnetzwerke wie Tor zugänglich ist. Die Seiten des Darknets sind nur durch Darknet-Suchmaschinen oder über direkte Links zugänglich und werden von regulären Suchmaschinen nicht erfasst.

Der Zugang ist jedoch für jeden interessierten Anwender trotzdem leicht möglich und auch per se nicht illegal. Man muss sich allerdings bewusst sein, dass man sich durch unbedachte Nutzung der angebotenen Inhalte strafbar machen kann und eine Verfolgung trotz der gebotenen Anonymität möglich ist.

RaaS - Anzeige

Anzeige für Ransomware im Darknet

Diese Anonymität im Darknet betrifft sowohl Anbieter als auch Suchende – und wird neben illegalen Aktivitäten auch für durchaus sinnvolle Zwecke genutzt. Die verschlüsselte Struktur eröffnet Möglichkeiten für Journalisten, für Verfolgte oder die politische Opposition – sei es der Zugriff auf zensierte oder regional gesperrte Inhalte oder die Kommunikation mit anderen Personen. Auch für Whistleblower eröffnet sich die Möglichkeit, Entdeckungen bekannt zu machen, aber selbst unerkannt zu bleiben.

Wie in vielen Szenarien kommt es immer auf den Nutzungszweck an, das Darknet selbst unterscheidet nicht zwischen guten und schlechten Absichten.

Cybercrime-as-a-Service

Cybercrime-as-a-Service hat sich erst in den letzten 2-3 Jahren unter diesem Namen manifestiert, wobei auch vorher schon Dienste angeboten wurden, welche heute unter diesen Begriff fallen, so z.B. der Datendiebstahl und natürlich wurden auch früher schon Hacker beauftragt, um Systeme auszuspionieren, lahmzulegen und vieles mehr. Diese Beauftragungen sind allerdings früher meist individuell erfolgt. In den letzten Jahren haben sich jedoch regelrechte Marktplätze gebildet, über welche entsprechende Services von jedermann „gebucht“ werden können, ohne dass Beziehungen zu Personen aus der Szene bestehen müssen.

Datendiebstahl, Verkauf sensibler Daten

Kriminelle, welche auf der Suche nach bestimmten Daten waren, haben auch schon vor Jahrzehnten Personen angeworben, die Ihnen Zugang zu den gewünschten Daten verschaffen konnten. Was sich geändert hat, ist, dass in den letzten Jahren Datendiebstahl ohne konkreten Auftrag erfolgt. Die Daten werden nach dem erfolgten Diebstahl entweder an Zwischenhändler verkauft, direkt an den oder die Meistbietenden oder einfach zum Download gegen Einwurf von Bitcoins angeboten.

Der Markt mit sensiblen Daten floriert im Darknet – sei es von Zugangsdaten zu gültigen Accounts (Netflix, Paypal, Ebay, Crypotservices etc.) über Sammlungen gültiger EMail-Adressen bis hin zu Kreditkartendaten und Scandokumenten von Führerscheinen und Reisepässen.

Die Website Privacy Affairs führt seit längerer Zeit einen Index darüber, wie sich die verschiedenen Preise im Darknet entwickeln.

Nach erfolgreichen Hacks eines Unternehmens werden die gesammelten Datensätze oft im Rahmen einer Auktion versteigert – als Beweis für die Echtheit der Daten werden dazu Auszüge aus den Daten bereitgestellt. Gebote für die gesammelten Daten eines Hacks erreichen durchwegs einige zehntausend USD, in manchen Fällen gehen hier die Gebote bis zu rund einer Million USD. In einigen Fällen kommt es durchaus auch vor, dass die Hacker Ihre Opfer auf die Auktion hinweisen, da sie sich dadurch höhere Einkünfte erwarten, wenn diese versuchen, durch eigene Gebote ihre Daten zu schützen

Ransomware-as-a-Service (RaaS)

Im Darknet können entsprechend motivierte Personen alles einkaufen, was für einen Angriff mit Ransomware benötigt wird. Schätzungen gehen davon aus, dass weit über zwei Drittel der durchgeführten Ransomware-Angriffe von Akteuren initiiert werden, welche die Ressourcen nicht selbst mitbringen, sondern diese auf den Plattformen zugekauft haben. Und man darf sich diese durchaus als professionell geführte Software-Dienste vorstellen, mit umfassendem Support, Community-Foren zum Erfahrungsaustausch, mehrsprachiger Dokumentation usw.

Administrationsoberfläche der Satan-Ransomware

Begehrtes Objekt – Sicherheitslücken

Sicherheitslücken können im Darknet ebenfalls gut gehandelt werden. Sei es nun eine Schwachstelle in einer Software, die ausgenutzt werden kann, oder der Hinweis auf eine löchrige Firewall.

Für die Entdecker dieser Sicherheitslücken gibt es grundsätzlich mehrere Handlungsoptionen – er kann die gefundene Sicherheitslücke dem betreffenden Softwarehersteller oder Unternehmen, das davon betroffen ist, melden – gerade Software-Unternehmen bieten teilweise sog. Bug-Bounty-Programme an, welche die Entdecker dieser Sicherheitslücken finanziell entschädigen. Die Meldung einer Sicherheitslücke kann allerdings auch nach hinten losgehen, wie dieses Beispiel zeigt: spiegel.de – CDU entschuldigt sich für Anzeige gegen Sicherheitsforscherin

Im Darknet lassen sich diese Sicherheitslücken sehr gut zu Geld machen, insbesondere, wenn diese noch nicht anderweitig bekannt geworden sind (sog. Zero-Day-Exploits). Die Käufer haben dann die Möglichkeit ihrerseits selbst einen Hack zu versuchen oder, falls es sich um die Lücke in einer Software handelt, entsprechende Malware (kostenpflichtig) bereitzustellen, die die Sicherheitslücke effektiv ausnutzt. Damit werden die Entwickler der Malware selbst wieder zum Teil der Wertschöpfungskette.

Zugang zu Firmennetzwerken

Eine weitere sehr einträgliche Einkommensquelle ist das Bereitstellen von Zugriffsmöglichkeiten auf ein Firmennetzwerk. Dies kann auf mehrere Arten passieren – einerseits durch die Bereitstellung einer konkreten Sicherheitslücke im Firmennetzwerk, welche weiter ausgenutzt werden kann oder auch indem man bereits über gültige Zugangsdaten zum Firmennetzwerk verfügt, welche einfach weiter verkauft werden. Eine weitere Möglichkeit kann durchaus sein, wenn man bereits erfolgreich Schadsoftware im Netzwerk des Opfers installieren konnte, welche durch den Käufer weiter ausgenutzt werden kann.

Die Preise für die Zugänge zu Firmennetzwerken variieren stark – einerseits hängen die Preise davon ab, wie weitgehend der Zugang ist und andererseits auch von der Größe und Art des Unternehmens zu dem Zugang gewährt werden kann. Nicht selten kommt es vor, dass die Zugänge noch am selben Tag verkauft werden, an dem sie angeboten werden.

Angebote für alles

Grundsätzlich gibt es für jeden noch so kleinen Teil der „Wertschöpfungskette“ von Cyberangriffen passende Angebote im Darknet – es besteht daher durchaus die Möglichkeit, dass ein motivierter Angreifer den gesamten Ablauf einer Cyberattacke inkl. „Projektmanagement“ fremdvergibt. Die Anbieter stehen dafür bereit und haben sich auf stark auf spezielle Aufgaben spezialisiert.

Fazit

Der Marktplatz, der sich in den letzten Jahren entwickelt hat, beschleunigt die rasante Entwicklung rund um Cyberkriminalität weiter. Durch die Arbeitsteilung entsteht eine Effizienz, die durch Einzelakteure niemals möglich wäre. Des weiteren ist es so auch möglich für Tätigkeiten ohne exponierte Ermittlungsrisiken (Datenanalyse, Zusammenstellen von Datensätzen usw.) Leute für die Mitarbeit zu gewinnen, die normalerweise davor zurückschrecken würden, aber diese Tätigkeiten nun unter dem Schutz der Anonymität übernehmen.

Im Ergebnis wird diese Entwicklung in den kommen Jahren dafür sorgen, dass die Anzahl und Schwere der Cyberangriffe weiter zunehmen wird – die Einkommensquellen sind lukrativ und die Gefahr gefasst zu werden, ist meist recht gering. Wenn man außerdem im richtigen Land sitzt, muss man generell keine Ermittlungen fürchten, solange man sich die passenden Ziele aussucht.

Cybercrime aufgeklärt – Erfolge bei Ermittlungen

Man muss sich nichts vormachen – der Großteil der Fälle von Cyberkriminalität bleibt ungelöst – oder kann aufgrund nationaler Grenzen nicht weiter verfolgt werden, da man der Täter, die in vielen Fällen sogar bekannt sind, nicht habhaft wird. Dies verdeutlichen auch Zahlen der Strafverfolgungsbehörden, die von einer sehr hohen Dunkelziffer nicht angezeigter Delikte ausgehen. Wenn hinterfragt wird, warum keine Anzeige erstattet wurde, wird häufig angegeben, dass die Anzeige nur weiteren Aufwand bedeuten würde und zu nichts führen wird.

Doch manchmal führen Ermittlungen zum Erfolg – wir haben Ihnen interessante, teilweise historische aber auch etwas kuriose Fälle herausgesucht – zu den einzelnen Fällen bieten wir Ihnen weitere Links an, wenn Sie sich weiter vertiefen möchten:

Der Morris-Wurm

Dieser Internet-Wurm gilt als die erste sich selbst replizierende Schadsoftware, die sich 1988 im damals noch jungen Internet verbreitete. Zweck der Software war eigentlich nur die Anzahl der an das Netzwerk angeschlossenen Systeme zu zählen, aber aufgrund eines Programmierfehlers verbreitete sie sich so massiv, dass damals rund 10% aller Internet-Systeme betroffen waren – das waren damals rund 6.000 Systeme.  Der Fehler führte außerdem dazu, dass die Systeme mehrfach infiziert wurden und aufgrund er hohen Frequenz teilweise lahmgelegt wurden. Der Programmierer, der die Software entwickelt hat, lautete Robert Tappan Morris und war in den USA die erste Person, die wegen Computermissbrauchs angeklagt wurde – das Gesetz wurde nur 2 Jahre zuvor eingeführt. Er bekannte sich damals schuldig, beteuerte allerdings, dass es ein Versehen war – heute ist Morris Professor auf dem Massachusetts Institute of Technology (MIT), wo damals die Infektion der Computersysteme ihren Anfang genommen hat.

Mehr dazu:

https://www.heise.de/security/meldung/Vor-20-Jahren-Erster-Internetwurm-verzaehlt-sich-214802.html

Operation Shrouded Horizon

Eine international konzertierte Aktion geleitet vom FBI führte 2015 zu zahlreichen Festnahmen und Beschlagnahmungen in ca. 20 Ländern rund um den Globus. Ziel waren die Mitglieder des Untergrundforums Darkode, was zum damaligen Zeitpunkt ein Umschlagplatz für Schadsoftware und gestohlene Informationen war. Das FBI konnte das Forum infiltrieren und sammelte Beweise gegen die einzelnen Mitglieder des Forums. Große Schläge wie dieser sind selten und benötigen viel Vorbereitungszeit.

Mehr dazu:

https://www.fbi.gov/news/stories/cyber-criminal-forum-taken-down

„AIDS“ oder auch „PC Cyborg“ – Die erste Ransomware

Ein Evolutionsbiologe mit dem Namen Dr. Joseph L. Popp verteilte im Rahmen einer AIDS-Konferenz der WHO 1989 Disketten mit angeblichen Daten zur damals noch sehr unerforschten Krankheit. Nach Installation des enthaltenen Programms wurden die Daten der User verschlüsselt und zu einer Zahlung von ca. 200 USD aufgefordert. Dr. Popp gilt damit als der Erfinder von Ransomware. Er wurde schließlich gefasst – über die Motive von Dr. Pott ist man sich allerdings bis heute im Unklaren. Aufgrund seiner psychischen Verfassung wurde er nach kurzer Zeit aus dem Gefängnis entlassen.

Mehr dazu:

https://www.golem.de/news/die-erste-ransomware-der-virus-des-wunderlichen-dr-popp-1607-121809.html

Fortezza – Der Kreditkartenhändler

David Benjamin Schrooten wurde 2012 auf Antrag der USA in Rumänien verhaftet und an diese ausgeliefert. Ihm wurde vorgeworfen, zehntausende Datensätze zu Kreditkartendaten zum Verkauf angeboten zu haben – die Schadenssumme wurde auf 63 Millionen USD geschätzt. Schrooten wurde zu 12 Jahren Gefängnis verurteilt. Im Jahr 2014 wurde er in die Niederlande überstellt und wurde noch im selben Jahr aus der Haft entlassen – über seine Erlebnisse hat er dann das Buch „Alias Fortezza“ geschrieben.

Mehr dazu:

https://en.wikipedia.org/wiki/David_Schrooten

REvil Ransomware

Anfang Jänner 2022 wurde publik, dass der russische Geheimdienst 14 Mitglieder der Hackergruppe REvil, die aus Russland operierte, festgenommen hatte. Diese Gruppe war unter anderem für den Angriff auf den IT-Dienstleister Kaseya verantwortlich. Im Mai 2022 kündigte sich jedoch ein Comeback der Hackergruppe an. Da sich zwischen diesen beiden Zeitpunkten die weltpolitische Lage grundlegend verändert hat, ist unklar, inwieweit hier die Strafverfolgung weiter fortgesetzt wird.

Mehr dazu:

https://t3n.de/news/hackerbande-revil-zurueck-1469601/

Ransomwaregruppe Lapsus$

Nachdem Anfang 2022 mehrere Mitglieder der Ransomwaregruppe Lapsus$ festgenommen wurden, überraschte hier das Alter der mutmaßlichen Täter. Sieben Personen zwischen 16 und 21 Jahren wurden von der britischen Polizei festgenommen und danach wieder auf freien Fuß gesetzt. Der Drahtzieher der Gruppe war offensichtlich ein 16-Jähriger aus der Umgebung von Oxford. Verantwortlich war die Gruppe unter anderem für Hacks auf Microsoft, Nvidia und andere Großkonzerne – während andere Hackgruppen versuchen im Geheimen zu operieren, kündigte Lapsus$ seine Angriffe meist groß an und rühmte sich auch auf Social Media-Kanälen, was dann schlussendlich auch die Ermittlungen der Behörden erleichtert haben soll.

Mehr dazu:

https://www.dailymail.co.uk/news/article-10648287/English-boy-16-living-mom-mastermind-Lapsus-hacking-group.html