Cybercrime: Schutz vor und Umgang mit Hacker-Angriffen

770 offizielle News zu Computerkriminalität 2022

Frankfurter Rundschau

Frankfurt (ots) - Elon Musk, der selbst ernannte Aktivist für freie Meinungsäußerung, die er vor seiner Zeit auf Twitter bedroht sah, hat noch nie durch Selbstironie geglänzt. Doch für viele Milliarden Euro ein soziales Netzwerk zu kaufen, um dann Journalist:innen auszusperren, ist eine neue Qualität. Das Ganze unter dem Vorwurf des Doxxings zu tun, kommt einem Schlag ins Gesicht derer gleich, die ernsthaft von dieser Form der digitalen Gewalt betroffen sind. Wer keine ...

mehr

Rechtsanwalt und Mediator Frank Richter

Kriminalisierung von Systemadministratoren?

Die rasanten Fortschritte im Bereich der Informationstechnologie bieten ein weites Feld neuer Möglichkeiten, aber auch des Missbrauchs, der vor den Grenzen der Staaten nicht halt macht. Daher muss der Gesetzgeber nun europäische Vorgaben zum Schutz der Datensicherheit umsetzen. So erkennt der Gesetzgeber wundersamerweise, dass die immer stärkere Verbreitung und Nutzung von Informations- und Kommunikationstechnologien sich unmittelbar auf alle Bereiche der Gesellschaft auswirkt und insbesondere Angriffe gegen moderne Informationsstrukturen durch Computerviren, digitale trojanische Pferde, logische Bomben oder Würmer und Denial-of-Service-Attacken weltweit Schäden in Milliardenhöhe verursachen und auch kriminelle, extremistische und – wie könnte es anders sein – terroristische Gruppen moderne Informations- und Kommunikationstechnologien verstärkt für ihre üblen Machenschaften nutzen.

Der Bundesrat verabschiedete daher Anfang Juli 2007 ein neues Gesetz, das den Besitz sog. „Hacker Tools“ unter Strafe stellt, um Computerkriminalität künftig schärfer strafrechtlich verfolgen zu können. Doch diese Tools werden auch von IT-Fachleuten verwendet, um die Sicherheit eigener Systeme zu überprüfen.

Mit dem neuen Gesetz zur Bekämpfung von Computerkriminalität sollen vor allem Lücken bei der Computersabotage geschlossen werden. Dies ist ja durchaus begrüßenswert, wäre da nicht der umstrittene § 202c StGB. Bestraft werden soll danach künftig auch das Herstellen, überlassen, Verbreiten oder Verschaffen sogenannter „Hacker-Tools“ (diesen Begriff benutzt auch die Gesetzesbegründung, die anscheinend die positiven Seiten solcher Programme verkennt), wenn dies als Vorbereitung für Straftaten dient.

Zahlreiche IT-Fachleute und Verbände halten diesen „verschärften Hacker-Paragraphen“ jedoch nicht nur für überflüssig, sondern sogar für hinderlich im Kampf gegen Computerkriminalität. Denn die legitimen Werkzeuge, die Administratoren zur Sicherung ihrer eigenen Systeme brauchen, unterscheiden sich nicht von denen, die Kriminelle zum Einbruch in Rechner verwenden. Denn nur wer versteht und auch ausprobiert, wie eine Firewall oder sonstiger Schutzmechanismus umgangen werden kann, ist in der Lage, die Sicherheit dieser Systeme zu verbessern. Dies ist auf alle Bereiche der Computersicherheit übertragbar. So, wie ein Schlüsseldienst legal Dietriche nutzen oder ein Personenschützer Waffen besitzen darf, so muss auch dem Systemadministrator sein Werkzeug zur Verfügung stehen.

Es steht nun zu befürchten, dass dieser unscheinbare Paragraph ein Quasi-Berufsverbot für viele Berufsgruppen statuiert. Für die Wirtschaft könnten so – entgegen der Hoffnung des Gesetzgebers – durch dieses Gesetz zusätzliche Kosten entstehen, da Daten nicht mehr effektiv geschützt werden können.

Bei dem an deutschen Gerichten und Staatsanwaltschaften vorhandenen Technikverständnis darf an einer „vernünftigen“ Auslegung dieses Paragraphen gezweifelt werden – zumindest in den Tatsacheninstanzen und bis zum Beweis des Gegenteils.

Dieses mangelnde Verständnis ist auch beim Gesetzgeber zu beobachten – nicht nur aufgrund des Ergebnisses. So wurde Abgeordneten versucht zu erklären, welche Folgen das Gesetz haben kann, und wozu man legitimerweise die ach so bösen „Hacker Tools“ dringend benötigt. Die meisten Abgeordneten stiegen schon bei den Grundlagen aus. Offensichtlich ließ man sich aber auch nicht von fachkundiger Seite beraten.

Es sollte einsichtig sein, dass es unverzichtbar ist, sich die Sichtweise des Angreifers zu eigen zu machen und seine Werkzeuge und Programme im legalen Rahmen zu nutzen und kennenzulernen. Auch die Forschung sieht sich betroffen. Hochschullehrer, wie der Dipl.-Ing. (FH) Jan Maltry von der Fachhochschule Heidelberg, fürchten, das Gesetz könne ihre Arbeit in die Illegalität abdrängen. Wenn er seinen Studenten beibringe, wie sie eine Firewall konfigurieren, müssten sie diese doch mit ebenjenen verbotenen Tools krimineller Hacker testen können. Er stünde mit seiner Tätigkeit „mit einem Bein im Knast“, sollte das Gesetz durchgehen, wird Maltry nicht müde zu wiederholen.

So sieht selbst der Gesetzentwurf ein, dass aufgrund der Ausdehnung des deutschen Strafrechts zu erwarten ist, dass die Anzahl der Strafverfahren in einem „begrenzten Ausmaß“ zunimmt. Das Bundesjustizministerium sieht jedoch keinen änderungsbedarf, da der Besitz eines „Hacker Tools“ nicht per se strafbar sei. Vielmehr sollten mit dem neuen § 202c StGB „bestimmte besonders gefährliche Vorbereitungshandlungen zu Computerprogrammen unter Strafe gestellt werden.“ Es sei sichergestellt, „dass der gutwillige Umgang mit Computerprogrammen zur Sicherung von IT-Systemen nicht erfasst wird.“ Den Gebrauch von „Hacker Tools“ für bestimmte Berufsgruppen zu legalisieren, lehnt das Ministerium hingegen ab.

Beunruhigend ist vor allem, dass der § 202c StGB keine genaue Definition seines Tatbestandes bietet, so dass künftig auch für einen legitimen Zweck benötigte Computerprogramme erfasst werden könnten. Gerade bei für die Netzwerkdiagnose benutzten Tools kann die Zweckbestimmung nicht immer von vorneherein bestimmt und eindeutig festgelegt werden. Die meisten Tools sind im Guten, wie auch im Bösen nutzbar. So muss das Programm nicht ausschließlich für die Begehung einer Computerstraftat bestimmt sein. Es reicht nach der Gesetzesbegründung, wenn die objektive Zweckbestimmung des Tools auch die Begehung einer solchen Straftat ist.

§ 202c StGB - Vorbereiten des Ausspähens und Abfangens von Daten lautet: (1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passworte oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) § 149 Abs. 2 und 3 gilt entsprechend.

Alle besorgten Anwendern seien jedoch darauf hingewiesen, dass der erste Satz dieses Paragraphen lautet, dass jemand eine Straftat nach § 202a oder b vorbereiten muss, was auch einen entsprechenden Vorsatz voraussetzt. Dies einem Hochschullehrer oder Systemadministrator nachzuweisen, dürfte nicht allzu einfach werden. Auch die Gesetzesbegründung sollte geeignet sein, die Wogen der Befürchtung zu glätten – ein Wehrmutstropfen bleibt aber.

Denn mit dem neuen § 202c StGB sollen besonders gefährliche Vorbereitungshandlungen selbständig mit Strafe bedroht werden. Ohne diesen Paragraphen – d.h. nach derzeitiger Rechtslage – sind entsprechende Taten als Beihilfe im Fall der tatsächlichen Begehung einer Straftat erfasst. Der Gesetzgeber wünscht aber, dass, wenn es nicht zur Begehung der Haupttat kommt, nicht nur eine nicht strafbare versuchte Beihilfe vorliegen soll, sondern Justitia trotzdem eine Handhabe hat.

Cybercrime: Schutz vor und Umgang mit Hacker-Angriffen

Die Digitalisierung bringt viele Vorteile, aber auch Gefahren: wer seine IT-Systeme nicht richtig schützt, ist für Hacker ein leichtes Ziel. Das Polizeipräsidium Freiburg meldet in seiner jüngsten Statistik einen Anstieg von Computerkriminalität um 21,9 Prozent. Wie verhält man sich bei einem Angriff richtig, wie wird er am besten kommuniziert? Ein Gespräch mit dem Freiburger Kriminalhauptkommissar und Leiter der Abteilung „Cybercrime“, Armin Reese.

INTERVIEW: ANNA-LENA GRÖNER

Unsere IT-Abhängigkeit wird immer größer, wodurch das Schadenspotenzial zunimmt. Laut der Studie einer deutschen Versicherung sehen die kleinen und Mittelständischen Unternehmen (KMU) die größte Bedrohung in Hackerangriffen (46 Prozent). Können Sie sagen, ob diese Einschätzung nachvollziehbar ist?

Statistische Angaben sind zu dem Begriff Cyberkriminalität schwierig, da längst nicht alle Vorfälle angezeigt werden. Insbesondere im Bereich der Angriffe gegen Firmen wird es ein für uns großes Dunkelfeld geben. Trotzdem verzeichnen wir in diesem Bereich (Ransomware-Verschlüsselung-Erpressung) auch im südbadischen Raum einen großen Anstieg. Neu hinzugekommen ist, dass neben der Verschlüsselung auch mit Veröffentlichung der Daten gedroht wird. Bei der letzten Welle der Angriffe gegen die Schwachstellen bei Microsoft Exchange-Servern gab es eine Vielzahl von geschädigten Firmen aus der Region.

Es geht also um sensible Daten. Ist Erpressung das Hauptmotiv solcher Angriffe?

Nach meiner Einschätzung erfolgt der größte Teil der Angriffe, um Geld zu erpressen. Sicherlich gibt es auch einige politisch motivierte Angriffe auf Unternehmen, die wegen ihres Produktes oder Ihrer Kontakte im Fokus von bestimmten Gruppierungen stehen. Bei Forschungszentren oder speziellen Unternehmen kann es allerdings auch um die eigentlichen Daten gehen. Was außerdem sehr stark zunimmt, sind Betrugsdelikte über Internetplattformen.

Menschen legen auf diversen Plattformen viel Geld in vermeintlich lukrative Geschäfte an, ohne mit irgendeinem Menschen jemals persönlich Kontakt gehabt zu haben. Oftmals ist das Geld komplett verloren. Die sogenannte „CEO-Fraud“ Betrugsmethode ist immer wieder erfolgreich. Zwischenzeitlich sind dabei auch kleinere Unternehmen und Vereine ins Visier geraten, wo man versucht, kleinere 5-stellige Beträge überweisen zu lassen.

Wie können sich Unternehmen vor solchen Angriffen und Schäden schützen?

Mit einer sicheren IT-Infrastruktur. Gerade KMUs haben hier oft noch Defizite und scheuen sich, Geld für die IT-Sicherheit zu investieren. Häufig ist das Geschäft über die Jahre gewachsen und die IT-Infrastruktur wuchs einfach mit. Es fehlt eine vernünftige Sicherheitsarchitektur oder gute Backup-Systeme und -Strategien. Jedes Unternehmen benötigt daher eine so genannte „Incident-Response-Strategie“, also einen Vorfallreaktionsplan. Ich würde jedem Betrieb empfehlen, sich die Zeit zu nehmen und zu überlegen, welche Daten überhaupt vorhanden sind.

Welche sind wichtig für die Produktivität und welche sind bei Verlust existenzbedrohend. Dann sollte man sich mit einem ITC Unternehmen oder seinen Administratoren zusammensetzen und die IT-Infrastruktur überplanen und absichern. Der Vollständigkeit halber sei noch erwähnt, dass es auch den Innentäter gibt. Viele Unternehmen sichern ihre Netze nach außen gegen Angriffe ab und unterschätzen dieses Thema gewaltig. Es bedarf auch eines sicheren Netzes innerhalb des Unternehmens, um zu vermeiden, dass sensible Daten über einen eigenen Mitarbeiter in fremde Hände gelangen.

Falls nun sensible Daten in die falschen Hände geraten, wie verhalte ich mich als Unternehmen? Mit wem kommuniziert man?

Es ist dringend festzulegen, wer wen bei einem Angriff informiert und welche Maßnahmen sofort zu veranlassen sind oder von wem veranlasst werden dürfen. Erreichbarkeiten von Administratoren oder der IT-Firma müssen gewährleistet sein. Ganz wichtig wäre auch einmal den „Worst Case“ zu üben. Viele Unternehmen haben jahrelang Backups laufen. Es gab schon Fälle, wo das Wiederherstellen der Daten nicht funktionierte oder wichtige Daten aufgrund von Änderungen in der Filestruktur gar nicht mitgesichert wurden.

Wenn man sich auf dieses Szenario vorbereitet, kann man den Schaden und die Ausfallzeiten bei einem Angriff deutlich minimieren. Eine allgemeine Aussage kann man hier jedoch nicht treffen. Die zu treffenden Maßnahmen sind individuell, da je nach Priorität beispielsweise die Netzverfügbarkeit, die Produktivität oder die Datensicherheit gegeneinander abgewogen werden müssen. Eine Anzeigeerstattung kann bei der örtlichen Kriminalpolizei oder der Zentralen Ansprechstelle Cybercrime beim LKA BW erfolgen. Die Kollegen der Inspektion Cyberkriminalität werden in Zivil und ohne Aufsehen bei der Firma aktiv. Es ist wohl vielen Firmen peinlich, wenn ein solcher Vorfall bekannt wird.

Und wer leistet die notwendige Aufklärungsarbeit in der Region, damit Unternehmen wissen, wie sie sich schützen können oder zu handeln haben?

Ich sehe hier die Kammern oder diverse Verbände in der Pflicht. Durch permanente Informationen der Mitglieder muss eine Sensibilisierung erfolgen. Auch die Polizei hat schon bei Veranstaltungen solcher Organisationen präventive Vorträge gehalten. Konkrete Maßnahmen im Firmennetzwerk müssen von einer IT-Firma oder eigenen Administratoren geleistet werden. Nicht zu vergessen ist eine Versicherung für den ITSchadensfall, die jedoch auch Sicherheitsmaßnahmen an der Infrastruktur einfordern wird.

Jüngst wurde in Baden-Württemberg eine Cybersicherheitsagentur (CSBW) gegründet, die im kommenden Jahr operativ an den Start gehen soll. Sie bildet dann die Zentrale einer neuen Cybersicherheitsarchitektur. Welche Vorteile hat das?

Die Cybersicherheitsagentur nimmt keine polizeilichen Aufgaben wahr. Sie wird Daten und Erkenntnisse zu Sicherheitslücken, Schadprogrammen und Hackerangriffen sammeln und auswerten. Die daraus gewonnenen Erkenntnisse sollen in einem landesweiten Lagebild dargestellt werden und andere Behörden können informiert werden. Bei konkreten Gefahren kann die CSBW auch Warnmeldungen veröffentlichen.

Den wesentlichen Vorteil sehe ich in der Vernetzung mit Verwaltung, Kommunen, Wirtschaft und Wissenschaft. Hier erfolgt ein Wissenstransfer, der für eine bessere Sicherheit in der IT sorgt. Die CSBW kann auch Anordnungen und Maßnahmen für Behörden des Landes treffen, wo ja besonders sensible Daten vorhanden sind.

Mit den IT-Spezialisten, den gewonnenen Erkenntnissen und ihrer Expertise kann sie den Landesbehörden, Städten und Gemeinden nach einem Angriff bei der Wiederherstellung helfen. Wenn eine Organisation für das öffentliche Gemeinwesen von besonderer Bedeutung ist (KRITIS Unternehmen), wie beispielsweise Energieversorger oder Krankenhäuser, kann auch hier Hilfe geleistet werden.

Die Corona-Pandemie zeigt aktuell, welche Bedeutung funktionierende und sichere IT-Infrastrukturen haben. Was kann jeder Einzelne tun, um sich digital sicherer zu bewegen?

Das ist eine Frage, die sehr schwer und nicht vollumfänglich zu beantworten ist. Ich empfehle eine aktualisierte Hardware und regelmäßige Systemupdates. Für wichtige Daten sollte ein regelmäßiges Backup vorhanden sein, das an einer sicheren Stelle aufbewahrt wird. Zweifellos hilft es auch, gesunden Menschenverstand und etwas Misstrauen walten lassen.

Man sollte sich regelmäßig informieren und zum Umgang mit der eingesetzten Software oder Applikation fortbilden. Bei unklaren Situationen im Internet sollte immer persönlich und nicht über Mail, Chat oder SMS kommuniziert werden. Nie sollten persönliche Daten im Netz oder am Telefon Preis gegeben werden. Passwörter müssen regelmäßig geändert und vor allem sollten nicht überall die gleichen benutzt werden. Ein zusätzlicher Schutz bietet die Zwei-Wege-Authentifizierung. Sensible, persönliche Daten oder Firmendaten sollten verschlüsselt abgelegt werden.

Zudem ist für jede Person einfach eine gewisse Medienkompetenz erforderlich. Insbesondere Unternehmer sollten auch ihre Angestellten diesbezüglich regelmäßig fortbilden oder informieren. Die Erfahrung zeigt, dass so in vielen Fällen ein nicht unerheblicher Schaden hätte abgewendet werden können. Längst nicht alle Angriffe sind nur technischer Natur. Oftmals ist das Einfallstor ein wie auch immer veranlasstes aktives Tun eines Mitarbeiters, verursacht durch Unwissenheit.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels