Bundeskriminalamt

Startseite | Notrufnummern | Kontakt | Impressum

Wir über uns

Prävention

Betrug im Internet

Fahndung

Presse

Berichte und Statistiken

Kontakt und Meldestellen

Links

IT-Sicherheit

Digitale Erpressung: Bundeskriminalamt gründet Sonderkommission Clavis

Schadsoftware, die Daten auf Computern, Tablets und Smartphones verschlüsselt oder blockiert, breitet sich weiter aus. Das Bundeskriminalamt (BK) hat eine Sonderkommission (SOKO) zur Bekämpfung der Erpressersoftware eingerichtet.

Aufgrund des Anstieges der Erpressungen durch Ransomware wurde Anfang Juni 2016 die SOKO Clavis im Cybercrime-Competence-Center (C4) des BKs eingerichtet. Zurzeit besteht das Team aus einer SOKO-Mitarbeiterin und drei Mitarbeitern. Diese übernehmen seit der Gründung der SOKO im Juni 2016 alle bundesweit angezeigten Ransomware-Fälle.

Das Wesen dieser Kriminalitätsform und der internationale Bezug erfordern eine zentrale Bearbeitung, damit einzelne Straftaten einer Serie bzw. einer Tätergruppierung zugeordnet werden können. Die Aufgaben der Ermittler der SOKO beginnen mit der Sicherstellung der infizierten Computer um elektronische Beweismittel zu sichern. Anschließend werden die Schadsoftware und die Bitcoin-Transaktionen analysiert. Wichtig ist es, einen Überblick zu erlangen und Zusammenhänge zu erkennen, um Tendenzen und Trends herauslesen zu können. Erst wenn man ein Bild von der Bedrohung hat, ist es möglich, die Ermittlungsrichtung festzulegen. Eine weitere Aufgabe der SOKO ist es, rasch Angriffe mit Schadsoftware zu erkennen und rechtzeitig davor zu warnen. Die Ermittler der SOKO bearbeiten etwa 30 neue Fälle pro Woche. Die Spuren führen meist ins Ausland. Dadurch sind nicht nur Anordnungen heimischer Staatsanwaltschaften und Gerichte erforderlich, sondern auch eine intensive Kooperation mit ausländischen Strafverfolgungsbehörden. Aktuell sind mehr als 120 verschiedene Formen von Ransomware bekannt. In den letzten Monaten trat die Ransomware "Cerber" im europäischen Raum besonders häufig in Erscheinung.

Die Spezialisten des C4 haben auch die Führung der "Operation Cerber" unter dem Schirm der Joint Cybercrime Action Taskforce (J-CAT) bei Europol übernommen. J-CAT fungiert dabei als Informationsdrehscheibe und administriert die länderübergreifende Zusammenarbeit auf operativer Ebene. Die Fälle werden von den Mitgliedsländern an Europol herangetragen und nach entsprechender Prüfung kann eine J-CAT Operation begonnen werden. Die Operation Cerber wurde von Österreich initiiert und andere betroffene Staaten haben sich dieser Taskforce bereits angeschlossen. Diese Form der Zusammenarbeit ermöglicht effiziente und effektive Ermittlungen über die Landesgrenzen hinweg.
Vorgehensweise der Täter
Aktuell sind vorzugsweise kleinere und mittlere Unternehmen betroffen. Die Täter versenden Emails mit bösartigem Inhalt, den die Empfänger öffnen bzw. anklicken sollen. Um die Nachrichten möglichst glaubhaft und plausibel erscheinen zu lassen, werden diese beispielsweise als Bewerbungsschreiben getarnt. Das Schadprogramm wird aktiviert, sobald beigefügte "Bewerbungsunterlagen" geöffnet werden oder einer Link angeklickt wird. Falsche Bewerbungsschreiben sind aber nur eine von unzähligen Täuschungsvarianten mit denen die Kriminellen vorgehen. Der Schaden durch den Ausfall der Systeme ist für die Firmen teilweise beträchtlich. Besonders drastisch können die Folgen für kritische Infrastrukturen, wie zum Beispiel Krankenhäuser, sein.

Allgemeines über Ransomware
Ransomware ist ein Sammelbegriff für Schadsoftware, die speziell dafür entwickelt wird, elektronische Daten und Systeme zu verschlüsseln, sodass diese nicht mehr verwendet werden können. Für die Entschlüsselung wird dann Lösegeld (engl.: ransom) erpresst, meistens in Form des virtuellen Zahlungsmittels Bitcoin oder durch Prepaid-Karten. Beide Zahlungsformen sind anonym und erschweren dadurch die Strafverfolgung. Die Verbreitung der Verschlüsselungssoftware erfolgt insbesondere über präparierte E-Mails, durch Sicherheitslücken in Webbrowsern oder durch unbewusstes Herunterladen aus dem Internet (drive-dy-download). Betroffen sind sowohl Privatpersonen als auch Unternehmen, Behörden und sonstige Organisationen.

Allgemeines über Bitcoin
Bitcoin ist ein virtuelles Zahlungsmittel, das nicht über eine Bank reguliert, sondern immer dezentral zwischen zwei Stellen direkt transferiert wird (peer-to-peer). Letztlich ist Bitcoin ein durch komplexe Verfahren errechneter, fälschungssicherer Code. Die Anzahl errechenbarer Codes ist mit 21 Millionen limitiert und somit auch inflationssicher. Alle bereits errechneten Bitcoin-Adressen sind in der "Blockchain" gespeichert und öffentlich einsehbar. Der Wert für 1 BTC errechnet sich einzig aus Angebot und Nachfrage und liegt aktuell bei ca. 520 Euro. Der Erwerb und der Tausch von Bitcoin sind legal, man benötigt dafür lediglich eine elektronische Geldbörse (e-wallet). Der Verkauf von Bitcoin gegen anerkannte Währungen ist jederzeit möglich.

Beispiel für eine BTC-Adresse: 1DAUhfMPTPDyTCgvesS8brh6q7TFQVuKsf



Tipps der Cybercrime-Experten des BK

• Regelmäßig Backups durchführen und diese physisch vom Netz trennen (abstecken).
• Vor dem Klicken auf Links und Dateianhänge auf die Vertrauenswürdigkeit des Absenders achten und die Glaubwürdigkeit und Plausibilität der Nachricht prüfen.
• Schreibrechte von Mitarbeitern restriktiv handhaben. In der Regel ist die Verschlüsselung ist von Daten nur dann möglich, wenn der jeweilige Benutzer über entsprechende Schreibrechte verfügt.
• Software des Betriebssystems, Browser (einschließlich aller Plug-Ins) und Sicherheitssoftware stets am aktuellen Stand halten und Firewall aktivieren.
• Download von potenziell gefährlichen Dateien (z. B. exe, com, bat, vbs, msi, js …) unterbinden.
• Den Empfang von verschlüsselten Containern (z. B. zip, rar) blockieren.
• Makros in Office-Dokumenten deaktivieren; die Ausführung von potenziell gefährlichen Codes, z. B. JavaScript, vermeiden.
• Die Ausführung von Schadsoftware verhindern, indem man nur den Start von zuvor festgelegter Software auf "Whitelisting"- oder Signatur-Basis erlaubt. In jedem Fall die Ausführung von Dateien in TEMP-Ordnern unterbinden. Für den Mobilbereich sollte ausschließlich die Installation von Apps aus "offiziellen" Quellen zulässig sein.


Foto

Symbolfoto




(BK Abdruck honorarfrei)

Artikel Nr: 13949 vom Montag, 05. September 2016, 10:37 Uhr.
Reaktionen bitte an die Redaktion

Zurück

BM.I Bundesministerium für Inneres - Bundeskriminalamt, 1090 Wien, Josef-Holaubek Platz 1, Tel.: +43-1-24836 Dw. 985025-985027 

BM.I Sicherheits-App