Cybercrime Report der ENISA für das Jahr 2018

Die Europäische Sicherheitsagentur “ENISA” (“European Union Agency for Network and Information Security”) hat ihren Report zur Cybersicherheit für das Jahr 2018 veröffentlicht und kommt zu wichtigen wenn auch nicht ganz überraschenden Ergebnissen:

  • Mail- und Phishing-Nachrichten sind wichtigster Gegenstand von Malware-Angriffen
  • Das Krypto-Mining ist wesentlicher Bestandteil der Finanzierung für Cyber-Kriminelle
  • Staatlich gesponserte Agenten zielen zunehmend auf Banken ab, indem sie Angriffsvektoren verwenden, die bei Cyberkriminalität eingesetzt werden.
  • Kritisch sieht man das zunehmende Aufkommen von IoT-Umgebungen, da es aufgrund fehlender Schutzmechanismen in IoT-Geräten und -Diensten mit geringem Aufwand weiterhin leichte Angriffsziele sind.
  • Cyber Threat Intelligence muss auf zunehmend automatisierte Angriffe mit neuen Ansätzen für den Einsatz automatisierter Tools und Fertigkeiten reagieren.
  • Die öffentliche Hand muss sich attraktiver gestalten: Öffentliche Organisationen haben mit der Bindung von Mitarbeitern zu kämpfen, da sie stark mit der Industrie um die Gewinnung von Cybersecurity-Talenten konkurrieren.

Die Einschätzungen spiegeln sich auch in den Statistiken wider, wo sich der allgemeine aktuelle Trend weg von der Ransomware zeigt:

Der in englisch verfasste Report bietet einige gute Einblicke, ist allerdings auch sehr umfangreich. Es zeigt sich, dass Staaten auf nationaler Ebene dringend in Hinsicht auf aktive Maßnahmen reagieren müssen und dass die ersten Schritte in Deutschland (Kommando Cyber- und Informationsraum, Cyberagentur und Cybercrime-Zentren) weiter betrieben werden sollten.

„Cybercrime Report der ENISA für das Jahr 2018“ weiterlesen

Cybercrime: Illegales Crypto-Mining ist strafbar und kann teuer werden – Einziehung von Bitcoins

Die Kehrseite von Cybercrime sind zivilrechtliche Forderungen – Straftäter können hier schnell erheblich belastet sein. Beim illegalen Crypto-Mining erscheint das auf den ersten Blick schwer – hier geht es darum, dass unbemerkt Rechner von Opfern genutzt werden, um beispielsweise Bitcoins zu schürfen. Dabei einen Schaden zu beziffern ist recht schwer: Rechnerzeit, verbrauchter Strom … wie will man das beziffern? Es scheint so, als würde man hier am Ende seinen Erlös behalten können. Doch weit gefehlt, Der Bundesgerichtshof macht deutlich, dass derart erlangte Bitcoins einzuziehen sind.

Hinweis: Der BGH hatte die Sache nach alter Rechtslage zu beurteilen, weswegen hier noch vom Verfall die Rede ist. Heute wurde der Begriff im neuen §73 StGB reformiert und man spricht einheitlich von einer Einziehung, hier “Einziehung von Taterträgen”. Inhaltlich sind die Ausführungen des BGH aus meiner Sicht auch auf das neue Recht zu übertragen.

„Cybercrime: Illegales Crypto-Mining ist strafbar und kann teuer werden – Einziehung von Bitcoins“ weiterlesen

Erpresser-Mails mit Porno-Scam (Update)

Seit einiger Zeit kursieren Mails, mit denen Empfänger zu einer Zahlung gebracht werden sollen mit einer fiesen Masche. Ursprünglich wurde behauptet, man hätte den Rechner “gehackt” und Videos über die Rechner-interne Cam erstellt, auf denen man sieht wie der Betrachter sich Pornos ansieht. Untermauert wird dies, indem ein reales Passwort des Benutzers angezeigt wird:

I’m aware, ___________ is your password. You don’t know me and you’re probably thinking why you are getting this mail, right?

Well, I actually placed a malware on the adult video clips (porno) web site and guess what, you visited this website to experience fun (you know what I mean). While you were watching video clips, your internet browser started out working as a RDP (Remote Desktop) with a key logger which gave me access to your display screen as well as web camera. Just after that, my software program gathered every one of your contacts from your Messenger, Facebook, and email.

Dieses Video soll dann am Ende an die ergaunerten privaten Kontakte gesendet werden, wenn man nicht zahlt. Mich haben auf älteren Mail-Adressen derartige Nachrichten auch erreicht, durch die Verwendung von Passwörtern die es wirklich zumindest einmal gab wirkt es für viele sehr realistisch und tatsächlich wurden wohl erhebliche Summen gezahlt. Die Angst ist einfach zu gross.
„Erpresser-Mails mit Porno-Scam (Update)“ weiterlesen

Schadsoftware – Malware

Ganz allgemein ausgedrückt ist von Schadsoftware (Schadprogramm oder auch Malware dann die Rede, wenn es um Computerprogramme geht, die mit der (primören) Zielrichtung entwickelt wurden, um schädliche oder zumindest unerwünschte Funktionen auf einem System auszuführen.
„Schadsoftware – Malware“ weiterlesen

IT-Strafrecht: Zur Auslegung von § 202c Abs. 1 Nr. 2 StGB

Mit dem 41. Strafrechtsänderungsgesetz zur Bekämpfung der
Computerkriminalität wurde § 202c in das Strafgesetzbuch eingefügt. Nach
Abs. 1 Nr. 2 dieser Vorschrift wird mit Freiheitsstrafe bis zu einem
Jahr oder mit Geldstrafe bestraft, wer eine Straftat nach § 202a
(Ausspähen von Daten) oder § 202b (Abfangen von Daten) vorbereitet,
indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat
ist, herstellt, sich oder einem anderen verschafft, verkauft, einem
anderen überlässt, verbreitet oder sonst zugänglich macht. Die
Vorschrift geht auf das Übereinkommen des Europarates über
Computerkriminalität (Convention on Cybercrime) vom 23. November 2001
zurück.

Auf Grund einer Verfassungsbeschwerde konnte sich das BVerfG nun zur Auslegung des §202c StGB äußern und klären, dass Dual-Use-Tools hiervon grundsätzlich nicht erfasst sind.
„IT-Strafrecht: Zur Auslegung von § 202c Abs. 1 Nr. 2 StGB“ weiterlesen