Abwehr organisierter Cyberkriminalität
Wachen und bewachen lassen
Mit Ransomware und deren aktueller Ausprägung – Ransomware as a Service oder kurz RaaS – hat die Cybercrime-Industrie ein lukratives und vor allem bequem skalierbares Geschäftsmodell entwickelt. Medienwirksames Ziel sind oft namhafte Konzerne, doch vor allem kleinere und mittelständische Unternehmen stehen solchen Bedrohungen meist machtlos gegenüber. Laut einer aktuellen Bitkom-Studie verursachte Cybercrime bei deutschen Unternehmen im letzten Jahr einen Schaden von 203 Milliarden Euro. Für Unternehmen, die nicht selbst über ein kompetentes Security-Team mit 24/7-Überwachung verfügen, lohnt sich deshalb der Blick auf Managed Security Services, also dauerhaft durch externe Spezialisten erbrachte IT-Sicherheitsdienstleistungen.
Keine Spezies hat das Angesicht der Erde so stark verändert wie der Mensch. Dessen Dominanz gegenüber anderen Lebewesen beruht auf seiner Fähigkeit, flexibel in großen Gruppen zu kooperieren – so zumindest Yuval Noah Harari, Historiker und aufmerksamer Beobachter des menschlichen Miteinanders, in seinem TED Talk „Why Humans Run the World“. Wie er ausführt, schließen sich zwar auch manche Tiere wie etwa Bienen zu großen sozialen Strukturen zusammen, sie agieren aber stets nach starren Mustern. Soziale Tiere wie Menschenaffen oder Wölfe wiederum arbeiten zwar flexibel zusammen, jedoch nur in kleinen Gruppen, in denen jeder jeden kennt und ihm vertraut. Allein unsere Spezies, die sich etwas großspurig „homo sapiens“ (weiser Mensch) nennt, vereint laut dem israelischen Historiker beides.
Diese Fähigkeit, so Harari, ermögliche es ihm beispielsweise, seinen TED Talk zu halten, ohne den Piloten des Flugzeugs, das ihn nach London gebracht hat, persönlich kennen zu müssen oder zu wissen, wer das Mikrofon erfunden und produziert hat, das er bei seinem Vortrag nutzt. Mit anderen Worten: Die Erfolgsgeschichte der menschlichen Zivilisation – wenn man denn angesichts der drohenden Zerstörung großer Teile des menschlichen Habitats durch den Menschen selbst weiterhin von einer „Erfolgsgeschichte“ sprechen will – verdankt ihre Antriebskraft einem simplen Prinzip, nämlich der Arbeitsteilung. Ohne sie müssten wir, wie unsere Steinzeit-Vorfahren, unser Werkzeug immer noch selbst schnitzen, selbst jagen und sammeln gehen und aus dem Fell der selbst erlegten Beute den Lendenschurz selbst basteln. Bei „Arbeitsteilung“ denkt man unwillkürlich an Manufaktur und Fabrik, doch das Prinzip reicht viel weiter: Ohne sie gäbe es kein Staatswesen, keine Bürokratie (OK, in der Steinzeit war nicht alles schlecht) und weder Rockband noch Symphonieorchester, nur Barden mit Instrumenten Marke Eigenbau – Bob Dylan auf der Blockflöte.
Doch zugleich es gibt eine dunkle Seite der Arbeitsteilung, hat sie doch auch unter Kriminellen Tradition: der eine bricht ein, der andere steht Schmiere; der eine überfällt die Bank, der andere fährt den Fluchtwagen; der eine verhökert Immobilienkredite an Leute, die sich gar kein Haus leisten können, der andere bündelt die faulen Kredite mit normalen zu Derivaten und treibt das Finanzsystem an den Rand des Kollapses.
Auch in der Cybercrime-Szene sind die Zeiten längst vorbei, in denen ein einsamer Hacker wie Kevin Mitnick durch Social Engineering (Ausnutzen menschlicher Schwächen) im Alleingang den Quellcode von Sun Microsystems ergaunerte. Cybercrime ist heute eine Industrie: Der Cyberkriminelle von Welt geht längst arbeitsteilig vor und kauft gestohlene Zugangsdaten für seine Angriffe bequem – und oft für lau – bei einschlägigen Schwarzmarkt-Sites.
Arbeitsteilige digitale Erpressung
Ransomware as a Service hebt diese cyberkriminelle Arbeitsteilung auf die nächste Stufe: Eine Gruppe entwickelt den Code für den Erpressungstrojaner und betreibt die dafür erforderliche Infrastruktur, überlässt die eigentliche Durchführung der Angriffe aber sogenannten „Affiliates“ (Partnerunternehmen).
Eine Analyse von Leaks der russischen APT-Gruppierung (Advanced Persistent Threat) Trickbot durch den britischen Security-Dienstleister Cyjax zeigte, dass Trickbot organisiert ist wie das Unternehmen von nebenan: Die Gruppe verfügt laut dem Report über aufgabenspezifische Entwicklerteams und eine vollständige Management-Struktur inklusive Personalwesen mit Gehältern und Boni. Der Cyjax-Report beschreibt einen Arbeitsalltag, der durchaus vertraut klingt: „Jedes Mitglied der Organisation hat ein vereinbartes Gehalt, wobei die meisten Entwickler mit etwa 2.000 Dollar pro Monat beginnen. Dieses wird am 1. und 15. des Monats ausgezahlt.“ Ein kleiner – und letzthin nicht unbedingt vorteilhafter – Unterschied: „Alle Gehälter werden in Kryptowährung gezahlt, wobei Bitcoin die häufigste Währung ist.“
Dieser Angreiferindustrie steht zumindest in größeren Unternehmen und Konzernen eine ähnlich gut organisierte Security-Organisation gegenüber: Im SOC (Security Operations Center) sorgen qualifizierte Security-Analysten für 24/7-Überwachung, sie aggregieren Bedrohungsinformationen (Threat Intelligence) aus zahlreichen Quellen, nutzen klare Eskalationsprozesse und betreiben idealerweise eine proaktive Bedrohungssuche (Threat Hunting). Mittelständische und insbesondere kleine Unternehmen hingegen können sich in aller Regel eine solch arbeitsteilige Verteidigung nicht leisten – und selbst wenn sie es könnten, wäre passendes Fachpersonal derzeit wohl kaum zu finden.
- Wachen und bewachen lassen
- Delegieren an Externe
- Breite Auswahl an MDR-Anbietern
Lesen Sie mehr zum Thema
