Kategorien
Cybersecurity & IT-Sicherheit Statistiken

Cybersecurity: Lage der IT-Sicherheit 2019

Lage der Cybersecurity 2019: Gegen Ende des Jahres mehren sich üblicherweise die Berichte zum Thema Cybersicherheit (und Cybercrime), beginnend mit dem Bericht des BSI, der dieses Jahr am 17. Oktober vorgestellt wurde. Ich habe bewusst einige Wochen gewartet, um nun an dieser Stelle einen kurzen und weiterführenden Überblick zu geben.

Es lässt sich wenig überraschend festhalten, dass gerade mit zunehmender und beschleunigter Digitalisierung die IT-Sicherheit an Bedeutung gewinnt. Dabei mehrt sich jedenfalls bei mir der Eindruck, dass der Staat ebenso blindwütig wie mit erheblichen finanziellen Mitteln auf der einen Seite die Digitalisierung vorantreibt – auf der anderen Seite gleichwohl aber die Förderung der IT-Sicherheit im (praktischen) Alltag vernachlässigt. Die so entstehende Schere gefährdet Unternehmen genauso wi Behörden.

Kategorien
Cybersecurity & IT-Sicherheit

Das Netzwerk mit Pi-Hole schützen

Ich habe zwischenzeitlich einen Raspberry mit Pi-Hole aufgesetzt und seit einigen Wochen im Test. Dabei geht es mir in erster Linie darum, Schrott vor allem in Sinne von Schadsoftware, aus meinen Netzwerken raus zu halten. Die bisherige Testphase ist dabei durchaus bemerkenswert, insgesamt – bei zahlreichen Endgeräten und einem Google-WLAN – lässt sich ein stabiler Betrieb feststellen.

Kategorien
Allgemeines zu IT-Strafrecht & Cybercrime Statistiken

Cybercrime Report der ENISA für das Jahr 2018

Die Europäische Sicherheitsagentur “ENISA” (“European Union Agency for Network and Information Security”) hat ihren Report zur Cybersicherheit für das Jahr 2018 veröffentlicht und kommt zu wichtigen wenn auch nicht ganz überraschenden Ergebnissen:

  • Mail- und Phishing-Nachrichten sind wichtigster Gegenstand von Malware-Angriffen
  • Das Krypto-Mining ist wesentlicher Bestandteil der Finanzierung für Cyber-Kriminelle
  • Staatlich gesponserte Agenten zielen zunehmend auf Banken ab, indem sie Angriffsvektoren verwenden, die bei Cyberkriminalität eingesetzt werden.
  • Kritisch sieht man das zunehmende Aufkommen von IoT-Umgebungen, da es aufgrund fehlender Schutzmechanismen in IoT-Geräten und -Diensten mit geringem Aufwand weiterhin leichte Angriffsziele sind.
  • Cyber Threat Intelligence muss auf zunehmend automatisierte Angriffe mit neuen Ansätzen für den Einsatz automatisierter Tools und Fertigkeiten reagieren.
  • Die öffentliche Hand muss sich attraktiver gestalten: Öffentliche Organisationen haben mit der Bindung von Mitarbeitern zu kämpfen, da sie stark mit der Industrie um die Gewinnung von Cybersecurity-Talenten konkurrieren.

Die Einschätzungen spiegeln sich auch in den Statistiken wider, wo sich der allgemeine aktuelle Trend weg von der Ransomware zeigt:

Der in englisch verfasste Report bietet einige gute Einblicke, ist allerdings auch sehr umfangreich. Es zeigt sich, dass Staaten auf nationaler Ebene dringend in Hinsicht auf aktive Maßnahmen reagieren müssen und dass die ersten Schritte in Deutschland (Kommando Cyber- und Informationsraum, Cyberagentur und Cybercrime-Zentren) weiter betrieben werden sollten.

Kategorien
Cybersecurity & IT-Sicherheit

Cyberangriff: Was kann man als Opfer von Cybercrime nach einem Hackerangriff tun?

Was tun nach einem Cyberangriff: Nach einem Cyberangriff sind Unternehmen mit diversen Pflichten konfrontiert, dabei droht neben dem Ärger mit den Kunden auch noch ein empfindliches Bußgeld. Privatpersonen sind oft schlicht überfordert und wissen nicht wie man damit umgehen soll – Ich helfe kurzfristig bei einem Hackangriff und biete ein Notfallhandy.

Aus meiner Sicht gibt es einige allgemeine Hinweise zu grundsätzlichen Verhaltensweisen nach einem Hack-Angriff, die sich an der ersten Frage ob es um einen Verbraucher oder ein Unternehmen geht, orientieren – insbesondere bei der Frage gegen wen man vorgeht. Tatsächlich muss ich immer wieder beobachten, dass gerade in den ersten entscheidenden Momenten im Hinblick auf spätere Aufklärung gravierende Fehler gemacht werden. Dies ist mit der eingetretenen Schocksituation zu erklären, die aber durch saubere Vorbereitung zumindest in Unternehmen durchaus verhindert werden kann.

Dabei greifen heute für Unternehmen die von Cybercrime betroffen sind empfindliche Entwicklungen ineinander: Auf der einen Seite wurde mit der Datenschutzgrundverordnung die Rechtslage verschärft, das IT-Sicherheitsgesetz schaffte deutliche Anforderungen an die IT-Sicherheit. Auf der anderen Seite sind Unternehmen kaum und grossteils unzureichend auf die Thematik IT-Sicherheit vorbereitet – und es müssen Datenbrüche gemeldet werden wobei Betroffene Schadensersatzansprüche haben, mit der DGSVO auch hinsichtlich Schmerzensgeld, was ganz erhebliche Folgekosten verursachen kann.

Zum Thema Cyberangriff weitere Artikel von mir:

Kategorien
Cybercrime Glossar

Phishing & Vishing

Das klassische Phishing ist bis heute verbreitet, hat aber durchaus an praktischer Relevanz nachgelassen. Unter “Phishing” werden Versuche gefasst durch nachgeahmte Darstellungen wie etwa gefälschte Webseiten, Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen um damit einen Identitätsdiebstahl zu begehen.

Beliebt ist es, in Mails auf gefälschte Bank-Webseiten zu verleiten – hier sind dann nachgemachte Formulare zu finden, in die man seine persönlichen Daten eingeben soll, die dann aber von Dritten eingestellt wurden – durch gefälschte E-Mails wird man auf solche Formulare geleitet und unter einem Vorwand wie einem Sicherheitsvorfall zur Eingabe persönlicher Daten wie Login-Informationen bewegt.

Infografik des BKA zu gefälschten Bank-Webseiten
Kategorien
Cybercrime Glossar

Identitätsdiebstahl

Identitätsdienstahl: Beim Identitätsdiebstahl geht es darum, Zugang zu verschiedenen Arten von Accounts oder zahlungsrelevante Informationen eines Internetnutzers zu erlangen, um dann diese Daten zu Missbrauchen. In schweren Fällen wird im Namen des Opfers nach außen hin umfangreich gehandelt, viele Fälle sind lediglich darauf ausgelegt, an Zahlungsdaten zu gelangen um diese Zahlungsmittel sodann für eigene Zwecke zu missbrauchen. In umfangreichen Fällen dagegen werden Opfer massiv in Misskredit gebracht, etwa durch eine falsche Darstellung der Persönlichkeit oder auch massenhaft abgeschlossene Verträge.

Anwalt für Identitätsdiebstahl

Kategorien
Urteile IT-Strafrecht & Cybercrime

Finanzagent: Geldwäsche mit ausgespähten Kontodaten

Das Amtsgericht München verurteilte am 21.09.2015 einen 31-jährigen Mann wegen Geldwäsche zu einer Geldstrafe von 900 Euro, nachdem dieser sein Konto für Finanztransaktionen zur Verfügung gestellt hatte.

Hinweis: Ich habe diese Pressemitteilung hier aufgenommen, um nochmals die Strafbarkeit so genannter “Finanzagenten” hervor zu heben. Man kennt dies vor allem aus SPAM-Nachrichten, wo man doch einfach nur seine Bankverbindung für eine Transaktion zur Verfügung stellen soll. Ich kenne solche Fälle aus der PRrxis, die Verteidigung ist hier regelmäßig äusserst schwierig, die theoretische Strafandrohung recht hoch (die praktische bekommt man aber gut runter geschraubt!).

Kategorien
Allgemeines zu IT-Strafrecht & Cybercrime

Ermittlungsverfahren wegen Droidjack-Käufe

Der Pressesprecher der Generalstaatsanwaltschaft Frankfurt am Main hat eine Pressemitteilung herausgegeben, die den unscheinbaren Titel trägt:

“Europaweite Durchsuchungen gegen Abnehmer der Smartphone Schadsoftware „DroidJack“ wegen des Verdachts des Ausspähens von Daten und des Computerbetruges”

Dahinter steht allerdings viel mehr – wobei hier nicht nur das (wohl umfangreichere) Ermittlungsverfahren zu sehen ist, sondern vielmehr eine allgemeine Entwicklung, die vielleicht Anlass zur Sorge gibt.

Kategorien
Urteile IT-Strafrecht & Cybercrime

AG Aachen zur Strafbarkeit von “Finanzagenten”

Das Amtsgericht Aachen (556 Ds-703 Js 236/11-102/11) hatte sich mit zwei Finanzagenten zu beschäftigen: Um Finanzagenten handelt es sich, wenn jemand sein Konto “zur Verfügung” stellt, um hier Geld aus erfolgreichen Phishing-Attacken eingehen zu lassen. Das Geld wird sodann abgehoben und den – meist unbekannten – Hintermännern an verabredeten Orten persönlich übergeben.

Kategorien
Urteile IT-Strafrecht & Cybercrime

OLG Zweibrücken zum Phishing

Das OLG Zweibrücken (4 U 133/08) hat sich bereits im Januar 2010 mit dem Phishing beschäftigt und ist zu folgenden Ergebnissen gekommen:

  1. Das Phishing von Daten ist eine Straftat entsprechend §263a StGB
  2. Der Empfang und die Weiterleitung von Geldern aus Phishing (so genannte “Finanzagenten”) fällt unter den Straftatbestand des §261 StGB
  3. Der Geschädigte – hier ging es um die Bank – hat einen Anspruch auf Rückzahlung der weitergeleiteten Gelder aus §823 II BGB i.V.m. §261 StGB

Nun ist zu beachten, dass bei “Finanzagenten” im Regelfall kein Vorsatz nachzuweisen sein wird, da man zwar vermuten kann, dass die sich denken konnten, dass das Geld aus illegalen Quellen kommt, aber keine konkrete Vorstellung hatten. Am Rande sei bemerkt, dass mancher Finanzagent auch schlicht blöd ist. An dieser Stelle hilft §261 V StGB, der eine Strafbarkeit auch bei “leichtfertigem Verkennen” der Quelle des Geldes normiert. Diese Feststellung ist auch wichtig, um eine potentielle “Entreicherung” zu verneinen, da man über den §819 BGB nachdenken muss. Auch wenn dieser nur die positive Kenntnis des rechtlichen Mangels beim Empfang des Geldes vorsieht: Wer sich dieser Kenntnis “bösgläubig verschliesst”, also die Augen vor dem verschliesst was jedem anderen klar sein muss, der wird gleichsam erfasst.

Das Ergebnis bedeutet harte Zeiten für – auch einfach nur blöde – Finanzagenten, sowohl Zivilrechtlich als auch Strafrechtlich. Dabei sollte man sich das Urteil des OLG Zweibrücken markieren, auch wenn es ein zivilrechtliches Urteil ist: Es ist endlich einmal eine OLG-Entscheidung zum Thema, die umfassend alle Facetten des “Phishing” beleuchtet.

Hinweis: Ich habe zum Thema “Strafbarkeit des Phishing” bereits etwas ausführliches geschrieben, der erste Teil ist hier zu finden. Den zweiten Teil schulde ich auf Grund von Zeitmangel bis heute, er wird aber noch in diesem Jahr erscheinen. Bis dahin ist die Entscheidung aus Zweibrücken ein guter Wegweiser, wo es lang geht.