Das Netzwerk mit Pi-Hole schützen

Ich habe zwischenzeitlich einen Raspberry mit Pi-Hole aufgesetzt und seit einigen Wochen im Test. Dabei geht es mir in erster Linie darum, Schrott vor allem in Sinne von Schadsoftware, aus meinen Netzwerken raus zu halten. Die bisherige Testphase ist dabei durchaus bemerkenswert, insgesamt – bei zahlreichen Endgeräten und einem Google-WLAN – lässt sich ein stabiler Betrieb feststellen.

„Das Netzwerk mit Pi-Hole schützen“ weiterlesen

Cybercrime Report der ENISA für das Jahr 2018

Die Europäische Sicherheitsagentur “ENISA” (“European Union Agency for Network and Information Security”) hat ihren Report zur Cybersicherheit für das Jahr 2018 veröffentlicht und kommt zu wichtigen wenn auch nicht ganz überraschenden Ergebnissen:

  • Mail- und Phishing-Nachrichten sind wichtigster Gegenstand von Malware-Angriffen
  • Das Krypto-Mining ist wesentlicher Bestandteil der Finanzierung für Cyber-Kriminelle
  • Staatlich gesponserte Agenten zielen zunehmend auf Banken ab, indem sie Angriffsvektoren verwenden, die bei Cyberkriminalität eingesetzt werden.
  • Kritisch sieht man das zunehmende Aufkommen von IoT-Umgebungen, da es aufgrund fehlender Schutzmechanismen in IoT-Geräten und -Diensten mit geringem Aufwand weiterhin leichte Angriffsziele sind.
  • Cyber Threat Intelligence muss auf zunehmend automatisierte Angriffe mit neuen Ansätzen für den Einsatz automatisierter Tools und Fertigkeiten reagieren.
  • Die öffentliche Hand muss sich attraktiver gestalten: Öffentliche Organisationen haben mit der Bindung von Mitarbeitern zu kämpfen, da sie stark mit der Industrie um die Gewinnung von Cybersecurity-Talenten konkurrieren.

Die Einschätzungen spiegeln sich auch in den Statistiken wider, wo sich der allgemeine aktuelle Trend weg von der Ransomware zeigt:

Der in englisch verfasste Report bietet einige gute Einblicke, ist allerdings auch sehr umfangreich. Es zeigt sich, dass Staaten auf nationaler Ebene dringend in Hinsicht auf aktive Maßnahmen reagieren müssen und dass die ersten Schritte in Deutschland (Kommando Cyber- und Informationsraum, Cyberagentur und Cybercrime-Zentren) weiter betrieben werden sollten.

„Cybercrime Report der ENISA für das Jahr 2018“ weiterlesen

Cyberangriff: Was kann man als Opfer von Cybercrime nach einem Hackerangriff tun?

Was tun nach einem Cyberangriff: Aus meiner Sicht gibt es einige allgemeine Hinweise zu grundsätzlichen Verhaltensweisen nach einem Hack-Angriff, die sich an der ersten Frage ob es um einen Verbraucher oder ein Unternehmen geht, orientieren – insbesondere bei der Frage gegen wen man vorgeht. Tatsächlich muss ich immer wieder beobachten, dass gerade in den ersten entscheidenden Momenten im Hinblick auf spätere Aufklärung gravierende Fehler gemacht werden. Dies ist mit der eingetretenen Schocksituation zu erklären, die aber durch saubere Vorbereitung zumindest in Unternehmen durchaus verhindert werden kann.

Dabei greifen heute für Unternehmen die von Cybercrime betroffen sind empfindliche Entwicklungen ineinander: Auf der einen Seite wurde mit der Datenschutzgrundverordnung die Rechtslage verschärft, das IT-Sicherheitsgesetz schaffte deutliche Anforderungen an die IT-Sicherheit. Auf der anderen Seite sind Unternehmen kaum und grossteils unzureichend auf die Thematik IT-Sicherheit vorbereitet – und es müssen Datenbrüche gemeldet werden wobei Betroffene Schadensersatzansprüche haben, mit der DGSVO auch hinsichtlich Schmerzensgeld, was ganz erhebliche Folgekosten verursachen kann.

Zum Thema Cyberangriff weitere Artikel von mir:

„Cyberangriff: Was kann man als Opfer von Cybercrime nach einem Hackerangriff tun?“ weiterlesen

Phishing & Vishing

Das klassische Phishing ist bis heute verbreitet, hat aber durchaus an praktischer Relevanz nachgelassen. Unter “Phishing” werden Versuche gefasst durch nachgeahmte Darstellungen wie etwa gefälschte Webseiten, Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen um damit einen Identitätsdiebstahl zu begehen.

Beliebt ist es, in Mails auf gefälschte Bank-Webseiten zu verleiten – hier sind dann nachgemachte Formulare zu finden, in die man seine persönlichen Daten eingeben soll, die dann aber von Dritten eingestellt wurden – durch gefälschte E-Mails wird man auf solche Formulare geleitet und unter einem Vorwand wie einem Sicherheitsvorfall zur Eingabe persönlicher Daten wie Login-Informationen bewegt.

Infografik des BKA zu gefälschten Bank-Webseiten
„Phishing & Vishing“ weiterlesen

Identitätsdiebstahl

Identitätsdienstahl: Beim Identitätsdiebstahl geht es darum, Zugang zu verschiedenen Arten von Accounts oder zahlungsrelevante Informationen eines Internetnutzers zu erlangen, um dann diese Daten zu Missbrauchen. In schweren Fällen wird im Namen des Opfers nach außen hin umfangreich gehandelt, viele Fälle sind lediglich darauf ausgelegt, an Zahlungsdaten zu gelangen um diese Zahlungsmittel sodann für eigene Zwecke zu missbrauchen. In umfangreichen Fällen dagegen werden Opfer massiv in Misskredit gebracht, etwa durch eine falsche Darstellung der Persönlichkeit oder auch massenhaft abgeschlossene Verträge.

Anwalt für Identitätsdiebstahl

Finanzagent: Geldwäsche mit ausgespähten Kontodaten

Das Amtsgericht München verurteilte am 21.09.2015 einen 31-jährigen Mann wegen Geldwäsche zu einer Geldstrafe von 900 Euro, nachdem dieser sein Konto für Finanztransaktionen zur Verfügung gestellt hatte.

Hinweis: Ich habe diese Pressemitteilung hier aufgenommen, um nochmals die Strafbarkeit so genannter “Finanzagenten” hervor zu heben. Man kennt dies vor allem aus SPAM-Nachrichten, wo man doch einfach nur seine Bankverbindung für eine Transaktion zur Verfügung stellen soll. Ich kenne solche Fälle aus der PRrxis, die Verteidigung ist hier regelmäßig äusserst schwierig, die theoretische Strafandrohung recht hoch (die praktische bekommt man aber gut runter geschraubt!).
„Finanzagent: Geldwäsche mit ausgespähten Kontodaten“ weiterlesen

Ermittlungsverfahren wegen Droidjack-Käufe

Der Pressesprecher der Generalstaatsanwaltschaft Frankfurt am Main hat eine Pressemitteilung herausgegeben, die den unscheinbaren Titel trägt:

“Europaweite Durchsuchungen gegen Abnehmer der Smartphone Schadsoftware „DroidJack“ wegen des Verdachts des Ausspähens von Daten und des Computerbetruges”

Dahinter steht allerdings viel mehr – wobei hier nicht nur das (wohl umfangreichere) Ermittlungsverfahren zu sehen ist, sondern vielmehr eine allgemeine Entwicklung, die vielleicht Anlass zur Sorge gibt.
„Ermittlungsverfahren wegen Droidjack-Käufe“ weiterlesen

AG Aachen zur Strafbarkeit von “Finanzagenten”

Das Amtsgericht Aachen (556 Ds-703 Js 236/11-102/11) hatte sich mit zwei Finanzagenten zu beschäftigen: Um Finanzagenten handelt es sich, wenn jemand sein Konto “zur Verfügung” stellt, um hier Geld aus erfolgreichen Phishing-Attacken eingehen zu lassen. Das Geld wird sodann abgehoben und den – meist unbekannten – Hintermännern an verabredeten Orten persönlich übergeben.
„AG Aachen zur Strafbarkeit von “Finanzagenten”“ weiterlesen

OLG Zweibrücken zum Phishing

Das OLG Zweibrücken (4 U 133/08) hat sich bereits im Januar 2010 mit dem Phishing beschäftigt und ist zu folgenden Ergebnissen gekommen:

  1. Das Phishing von Daten ist eine Straftat entsprechend §263a StGB
  2. Der Empfang und die Weiterleitung von Geldern aus Phishing (so genannte “Finanzagenten”) fällt unter den Straftatbestand des §261 StGB
  3. Der Geschädigte – hier ging es um die Bank – hat einen Anspruch auf Rückzahlung der weitergeleiteten Gelder aus §823 II BGB i.V.m. §261 StGB

Nun ist zu beachten, dass bei “Finanzagenten” im Regelfall kein Vorsatz nachzuweisen sein wird, da man zwar vermuten kann, dass die sich denken konnten, dass das Geld aus illegalen Quellen kommt, aber keine konkrete Vorstellung hatten. Am Rande sei bemerkt, dass mancher Finanzagent auch schlicht blöd ist. An dieser Stelle hilft §261 V StGB, der eine Strafbarkeit auch bei “leichtfertigem Verkennen” der Quelle des Geldes normiert. Diese Feststellung ist auch wichtig, um eine potentielle “Entreicherung” zu verneinen, da man über den §819 BGB nachdenken muss. Auch wenn dieser nur die positive Kenntnis des rechtlichen Mangels beim Empfang des Geldes vorsieht: Wer sich dieser Kenntnis “bösgläubig verschliesst”, also die Augen vor dem verschliesst was jedem anderen klar sein muss, der wird gleichsam erfasst.

Das Ergebnis bedeutet harte Zeiten für – auch einfach nur blöde – Finanzagenten, sowohl Zivilrechtlich als auch Strafrechtlich. Dabei sollte man sich das Urteil des OLG Zweibrücken markieren, auch wenn es ein zivilrechtliches Urteil ist: Es ist endlich einmal eine OLG-Entscheidung zum Thema, die umfassend alle Facetten des “Phishing” beleuchtet.

Hinweis: Ich habe zum Thema “Strafbarkeit des Phishing” bereits etwas ausführliches geschrieben, der erste Teil ist hier zu finden. Den zweiten Teil schulde ich auf Grund von Zeitmangel bis heute, er wird aber noch in diesem Jahr erscheinen. Bis dahin ist die Entscheidung aus Zweibrücken ein guter Wegweiser, wo es lang geht.

„OLG Zweibrücken zum Phishing“ weiterlesen

Strafbarkeit von Phishing in Deutschland – Teil 1

Das “Phishing” – Ich verwende den Begriff, wie noch gezeigt wird, sehr weit – bereitet den Juristen in Deutschland manche Kopfschmerzen, jedenfalls ist bis heute heftigst umstritten, inwiefern das Phishing an sich strafbar sein soll (Ebenso in der Analyse der Meinungen GRaf in NStZ 2007, S.129).

Ich möchte in diesem Beitrag das Thema tiefgehend analysieren. Dazu stelle ich auf die verschiedenen Stufen der Tat ab und unterscheide nach den Handelnden.

„Strafbarkeit von Phishing in Deutschland – Teil 1“ weiterlesen