Cybercrime: Wie schütze ich mich vor einem Hackerangriff?

Bevor man sich damit beschäftigen muss, wie man mit einem Hack-Angriff umgeht, ist es sinnvoller über die Vorsorge nachzudenken – also zu verhindern, dass überhaupt ein erfolgreicher Angriff auftritt. Dies ist inzwischen sogar Pflicht, mit dem IT-Sicherheitsgesetz sind Sie verpflichtet, zumindest grundsätzliche Sicherheitsaufgaben zu erledigen. Das bedeutet in aller Kürze: Werksseitig vorhandene Passwörter müssen verändert werden, Softwareupdates zeitnah eingespielt werden und Zugangshürden zur Infrastruktur, die man selber einrichten kann, aktiviert werden.

Zum Thema Cyberangriff weitere Artikel von mir:

„Cybercrime: Wie schütze ich mich vor einem Hackerangriff?“ weiterlesen


Cyberangriff: Was kann man als Opfer von Cybercrime nach einem Hackerangriff tun?

Was tun nach einem Cyberangriff: Nach einem Cyberangriff sind Unternehmen mit diversen Pflichten konfrontiert, dabei droht neben dem Ärger mit den Kunden auch noch ein empfindliches Bußgeld. Privatpersonen sind oft schlicht überfordert und wissen nicht wie man damit umgehen soll – Ich helfe kurzfristig bei einem Hackangriff und biete ein Notfallhandy unter 0175 1075646.

Aus meiner Sicht gibt es einige allgemeine Hinweise zu grundsätzlichen Verhaltensweisen nach einem Hack-Angriff, die sich an der ersten Frage ob es um einen Verbraucher oder ein Unternehmen geht, orientieren – insbesondere bei der Frage gegen wen man vorgeht. Tatsächlich muss ich immer wieder beobachten, dass gerade in den ersten entscheidenden Momenten im Hinblick auf spätere Aufklärung gravierende Fehler gemacht werden. Dies ist mit der eingetretenen Schocksituation zu erklären, die aber durch saubere Vorbereitung zumindest in Unternehmen durchaus verhindert werden kann.

Dabei greifen heute für Unternehmen die von Cybercrime betroffen sind empfindliche Entwicklungen ineinander: Auf der einen Seite wurde mit der Datenschutzgrundverordnung die Rechtslage verschärft, das IT-Sicherheitsgesetz schaffte deutliche Anforderungen an die IT-Sicherheit. Auf der anderen Seite sind Unternehmen kaum und grossteils unzureichend auf die Thematik IT-Sicherheit vorbereitet – und es müssen Datenbrüche gemeldet werden wobei Betroffene Schadensersatzansprüche haben, mit der DGSVO auch hinsichtlich Schmerzensgeld, was ganz erhebliche Folgekosten verursachen kann.

Zum Thema Cyberangriff weitere Artikel von mir:

„Cyberangriff: Was kann man als Opfer von Cybercrime nach einem Hackerangriff tun?“ weiterlesen


Hackerangriff: Bin ich betroffen von einem Cyberangriff?

Sie können durchaus nachprüfen, ob Sie von einem Hackangriff betroffen sind – es gibt inzwischen eine Mehrzahl von Online-Diensten, bei denen Sie an Hand Ihrer Mailadresse einen Cyberangriff nachvollziehen können.

Nicht zwingend muss ein erfolgreicher Cyberangriff auf Fehler Ihrerseits zurückzuführen sein – regelmäßig werden Plattformen über dort vorhandene Fehler angegriffen und dann Nutzerdaten kopiert. Wenn Sie dann diese Nutzerdaten woanders im Einsatz haben können hierüber individualisierte Angriffe gestartet werden. Daher ist es sinnvoll, Nutzerdaten nicht einheitlich überall gleich zu verwenden. Sie sollten im Blick haben, welche Daten “flüchtig” geworden sind und regelmäßig reagieren, insbesondere sollten Sie Mailadressen die zur geschäftlichen Kommunikation verwendet werden, nicht für Plattformen nutzen. Sollten Daten doch abhanden gekommen sein wäre mein Schritt immer, diese betroffenen Mailadressen gar nicht mehr zu verwenden, gerade im geschäftlichen Umfeld.

Zum Thema Cyberangriff weitere Artikel von mir:

„Hackerangriff: Bin ich betroffen von einem Cyberangriff?“ weiterlesen


Social Engineering

Was ist Social Engineering? Moderne Angriffe laufen nur teilweise technisch, Erfolg versprechender sind regelmäßig Ansätze im Bereich des Social Engineering. Hierbei geht es darum, sich nicht auf das System sondern einen Nutzer zu konzentrieren und den Nutzer durch soziale Verhaltensweisen dazu zu bringen, gewollt oder ungewollt, zumindest Hinweise auf Informationen etwa zu einem Login zu geben. Man installiert also nicht etwa nur einen Keylogger der Benutzereingaben abfängt, sondern täuscht etwa vor ein Mitarbeiter eines Supports zu sein um auf diesem Wege dann Login-Informationen abzufragen. Eine Variante hiervon ist der CEO-Fraud.

Hinweis: Ein Weg zum Umgang mit dieser Problematik sollt ein jedem Fall sein, die Mitarbeiter mit Social Media Guidelines zu unterstützen. Weiterhin sollten Sie andenken, die Nutzung des Internets in Ihrem Betrieb mit klaren Nutzungsregeln zu versehen, insbesondere was die private Nutzung des Internets im Betrieb angeht.



Zentrale Ansprechstelle Cybercrime der Polizei

Die Bedeutung des IT-Strafrechts nimmt immer weiter zu, auch die Ermittlungsbehörden fokussieren sich: Im Bundeskriminalamt wurde eine “Nationale Kooperationsstelle Cybercrime” eingerichtet, auch in jedem Bundesland wurde eine zentrale Ansprechstelle Cybercrime geschaffen. Die Aufgaben beschreibt das BKA so:

Die Komplexität der Angriffsvektoren, das hohe Schadenspotenzial und die gesamtgesellschaftliche Auswirkungen in Fällen von Cybercrime erfordern eine vertrauensvolle Kooperation zwischen betroffenen Unternehmen und Strafverfolgungsbehörden.
Auf die Bedarfslage wurde von Seiten der Polizei in Bund und Ländern durch die Einrichtung zentraler Ansprechstellen Cybercrime (ZAC) beim BKA und den Länderpolizeien reagiert.
Die ZAC des BKA als Bestandteil der Nationalen Kooperationsstelle Cybercrime fungiert dabei als Vermittler und Berater für die Wirtschaft, um im Schadensfall die polizeilichen Ermittlungen zu koordinieren.

Welche Ansprechstellen es jeweils gibt wurde unter Polizei.de zusammen gefasst, die Auflistung findet sich auch am Ende dieses Beitrags als PDF.

In NRW etwa wurde nun bei der Staatsanwaltschaft Köln ein ZAC eingerichtet, wobei die StA Köln bereits seit einiger Zeit eine spezielle Abteilung mit entsprechender Kompetenz bereit gehalten hatte. In den Aachener Nachrichten findet sich hierzu auch ein Interview.

Die Bündelung ist ebenso wie der Fokus dringend geboten: In IT-Strafsachen hat sich zunehmend fehlende Kompetenz in der Sache als erheblicher Hemmschuh erwiesen. Erste Überlegungen, dass fehlendes Wissen sich eher zu Gunsten von Beschuldigten auswirken könnte, haben sich als fatale Fehleinschätzung erwiesen. Auf der anderen Seite ist zu sehen, dass gerade Unternehmen zunehmend mit Straftaten konfrontiert sind, etwa Angriffen auf die eigene Infrastruktur oder wirtschaftlich bedeutsame Daten; aber auch zielgerichtet auf das Unternehmen in Form von digitaler Erpressung oder Betrug. Hier erwies sich für Betroffene Unternehmen mangelnde Kompetenz und viel zu lange Arbeitszeit als grösstes Problem bei der Suche nach Tätern – eine Kompetenzbündelung kann hier durchaus hilfreich sein.



BKA-Gesetz: Bundestrojaner im Einsatz (?)

Das BKA-Gesetz sieht im §20k den “Verdeckten Eingriff in informationstechnische Systeme” vor. Dahinter verbirgt sich die Ermächtigung zu dem, was gemeinhin “Bundestrojaner” genannt wird. Es geht darum, dass das Bundeskriminalamt in der Lage ist, in “informationstechnische Systeme” mit einer Software einzudringen und hierüber Daten zu erheben. Dabei bieten sich vielzählige Anwendungsmöglichkeiten, speziell bei einer Überwachung des Umfelds des informationstechnischen Systems. Im Februar 2016 nun wurde angeblich der Einsatz der entsprechenden Software die als Bundestrojaner zum Einsatz kommen soll “genehmigt”, so dass man gespannt sein darf, wann erstmals Erkenntnisse aus dem Einsatz dieser Software eine Rolle spielen.

Aktuell läuft noch ein Verfahren beim Bundesverfassungsgericht; insgesamt ist es it herbem Beigeschmack verbunden, dass nicht nur der Eingriff heimlich ist, sondern die eingesetzte Software insgesamt “heimlich” ist, also beispielsweise ein Missbrauchspotential nicht beurteilt werden kann, weil man eben nicht weiss, wie die Software arbeitet. Es bleibt abzuwarten, wie es sich weiter entwickelt.

Linkliste dazu:



Bug-Bounty-Programme: Vorsicht ist geboten!

Inzwischen mehren sich die so genannten “Bug-Bounty-Programme”, aktuell etwa von PayPal. Hierbei handelt es sich um Aufrufe von Anbietern, dass Außenstehende Sicherheitslücken in deren Angeboten aktiv suchen und melden sollen. Es ist also der öffentliche Aufruf, eigene Angebote (wie etwa Webseiten) zu “hacken”. Wer hier eine Sicherheitslücke findet und meldet, wird mit einer Zahlung von Geld “belohnt”. Aber: Es ist Vorsicht geboten.
„Bug-Bounty-Programme: Vorsicht ist geboten!“ weiterlesen



Hackerparagraph – §202c StGB näher beleuchtet

Mit einer Aktion des iX-Chefredakteurs wurde das Thema “Hackerparagraph” plötzlich in den Mittelpunkt der öffentlichen Wahrnehmung gerückt:

Jürgen Seeger, Chefredakteur des IT-Magazins iX, das wie heise online vom Heise Zeitschriften Verlag herausgegeben wird, hat sich heute bei der Staatsanwaltschaft Hannover selbst wegen Vorbereitung des Ausspähens und Abfangens von Daten nach Paragraf 202c StGB angezeigt. Grund ist eine Toolsammlung auf der Heft-DVD des iX Special “Sicher im Netz”, mit dem man Schwachstellen in der IT-Infrastruktur aufzeigen, aber auch ausnutzen kann.

Ich hatte dies zum Anlaß genommen, um hier im Blog den §202c StGB näher zu betrachten und zu analysieren.

Hinweis: Diesen Artikel werde ich regelmäßig überarbeiten und auch mit weiteren Fundstellen versehen, um ihn aktuell zu halten. 
„Hackerparagraph – §202c StGB näher beleuchtet“ weiterlesen



IT-Strafrecht: Zur Auslegung von § 202c Abs. 1 Nr. 2 StGB

Mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der
Computerkriminalität wurde § 202c in das Strafgesetzbuch eingefügt. Nach
Abs. 1 Nr. 2 dieser Vorschrift wird mit Freiheitsstrafe bis zu einem
Jahr oder mit Geldstrafe bestraft, wer eine Straftat nach § 202a
(Ausspähen von Daten) oder § 202b (Abfangen von Daten) vorbereitet,
indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat
ist, herstellt, sich oder einem anderen verschafft, verkauft, einem
anderen überlässt, verbreitet oder sonst zugänglich macht. Die
Vorschrift geht auf das Übereinkommen des Europarates über
Computerkriminalität (Convention on Cybercrime) vom 23. November 2001
zurück.

Auf Grund einer Verfassungsbeschwerde konnte sich das BVerfG nun zur Auslegung des §202c StGB äußern und klären, dass Dual-Use-Tools hiervon grundsätzlich nicht erfasst sind.
„IT-Strafrecht: Zur Auslegung von § 202c Abs. 1 Nr. 2 StGB“ weiterlesen



Staatstrojaner: Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

Das Bundesverfassungsgericht (1 BvR 370/07) hat anlässlich der Prüfung der Rechtsmäßigkeit eines “Staatstrojaners” das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme entwickelt – und damit heimlicher Datenschnüffelei doch recht erhebliche Grenzen gesetzt:

  1. Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
  2. Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person oder solche Güter der Allgemeinheit, deren Bedrohung die Grundlagen oder den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Die Maßnahme kann schon dann gerechtfertigt sein, wenn sich noch nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in näherer Zukunft eintritt, sofern bestimmte Tatsachen auf eine im Einzelfall durch bestimmte Personen drohende Gefahr für das überragend wichtige Rechtsgut hinweisen.
  3. Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.
  4. Soweit eine Ermächtigung sich auf eine staatliche Maßnahme beschränkt, durch welche die Inhalte und Umstände der laufenden Telekommunikation im Rechnernetz erhoben oder darauf bezogene Daten ausgewertet werden, ist der Eingriff an Art. 10 Abs. 1 GG zu messen.
  5. Verschafft der Staat sich Kenntnis von Inhalten der Internetkommunikation auf dem dafür technisch vorgesehenen Weg, so liegt darin nur dann ein Eingriff in Art. 10 Abs. 1 GG, wenn die staatliche Stelle nicht durch Kommunikationsbeteiligte zur Kenntnisnahme autorisiert ist.
    Nimmt der Staat im Internet öffentlich zugängliche Kommunikationsinhalte wahr oder beteiligt er sich an öffentlich zugänglichen Kommunikationsvorgängen, greift er grundsätzlich nicht in Grundrechte ein.