FBI behebt Exchange-Schwachstellen aktiv
Vor einigen Tagen wurde bekannt, dass sich die US-Bundespolizei FBI aktiv an der Behebung der Sicherheitslücken in Zusammenhang mit Microsoft Exchange beteiligt hatte. Wie das Justizministerium der Vereinigten Staaten mitteilte, war die Aktion ein voller Erfolg.
Bert Skorupski, Sr. Manager, Sales Engineering im Bereich Microsoft Platform Management bei Quest Software, nimmt die Ereignisse im Zuge der HAFNIUM-Attacken zum Anlass, um auf die Bedeutung des Patch-Managements und der Absicherung der IT-Umgebung aufmerksam zu machen.
Es sind bereits einige Wochen vergangen, seit die aktiv ausgenutzten Sicherheitslücken in Microsoft Exchange zum ersten Mal Schlagzeilen machten. Jedoch haben unzählige Unternehmen weltweit noch immer nicht die nötigen Maßnahmen ergriffen, um sich dieses Risikos zu entledigen. Daher entschloss sich die US-amerikanische Ermittlungsbehörde FBI dazu, aktiv zu werden: Bei der von einem Bundesgericht in Houston (Texas) genehmigten Aktion der Cybercrime-Spezialisten wurden vom Angriff betroffene Web Shells von Exchange Servern in den USA entfernt. Dies geschah ohne das Wissen und Zutun der betroffenen Unternehmen, die erst im Nachhinein über die Maßnahmen informiert wurden.
Wenngleich hierzulande ein ähnliches Vorgehen der Behörden eher nicht zu erwarten sein dürfte, wurden in Deutschland ebenfalls noch immer zahllose Exchange Server nicht gepatcht. Bert Skorupski, Sr. Manager, Sales Engineering im Bereich Microsoft Platform Management bei Quest Software betont daher aus gegebenem Anlass die Wichtigkeit zeitnaher Patches und der ständigen Verbesserung der Sicherheit für IT-Systeme und -Umgebungen von Unternehmen in Deutschland:
„Wer das Opfer einer Entführung oder eines Erpressungsversuchs wird, wendet sich im Regelfall an die Behörden. Denn sie sind die Experten auf diesem Gebiet. Im Fall der USA haben die Behörden nun ihre Expertise dazu genutzt, auf ein schwerwiegendes Delikt zu reagieren – und sie verfolgen dabei einen bis dato nicht angewandten Ansatz: die direkte Bekämpfung von Cyberkriminalität und dessen Folgeschäden. Der Umstand, dass sich das FBI an der Aufarbeitung der HAFNIUM-Angriffe auf Microsoft Exchange beteiligt, ist ein deutlicher Beleg dafür, dass die US-Regierung diese Angriffe sehr ernst nimmt – vielleicht ernster als so manche Exchange-Administratoren bislang.
Das FBI hatte selbstverständlich bereits zuvor die rechtliche Befugnis, nach Beweisen für Straftaten nach US-amerikanischen Bundesrecht zu suchen und diese zu beschlagnahmen. Zudem hilft das InfraGard-Programm Anbietern kritischer Infrastrukturen dabei, ihre Systeme abzusichern. Jedoch ist diese Art von groß angelegten, koordinierten und mutmaßlich von staatlichen Stellen ausgehenden Angriffen zu groß für einzelne Organisationen, um selbst adäquat darauf reagieren zu können. Da es sich ferner um ein Sicherheitsproblem von nationaler, wenn nicht gar internationaler Tragweite handelt, ist es nur schwer vorstellbar, die Behebung der Folgeschäden einzelnen Unternehmen zu überlassen. Die Tatsache, dass sich nun – zumindest in den USA – das FBI dieser Aufgabe widmet, entbindet Unternehmen jedoch nicht davon, ihrer Verantwortung nachzukommen, den eigenen Schutz zu gewährleisten. Es muss noch immer in ihrem ureigenen Interesse sein, Systeme und IT-Umgebungen zu patchen und abzusichern. Daran hat sich nichts geändert.
Die Notwendigkeit, Sicherheitslücken zeitnah zu patchen und dafür Sorge zu tragen, dass die IT-Infrastrukturen der Organisation in technischer Hinsicht bestmöglich geschützt sind, ergibt sich nicht nur aus der Verantwortung, Schaden vom eigenen Unternehmen abzuwenden. Ungepatchte Schwachstellen der IT-Infrastruktur gefährden unter Umständen ebenso die Sicherheit aller Geschäftspartner, seien es Zulieferer oder Kunden. Denn Sicherheitsvorfälle gehen immer mit dem Risiko einher, dass sich ein Angreifer innerhalb der Organisation ausbreitet. Um beim aktuellen Beispiel zu bleiben, könnte der Angreifer einen kompromittierten Exchange Server dazu nutzen, gegebenenfalls weitere sensible Informationen zu erbeuten. Unter Umständen wären hiervon auch Zugangsdaten betroffen, die die Cyberkriminellen in die Lage versetzen würden, Geschäftspartner in der Lieferkette zu attackieren.
Jede Organisation, die Exchange-Server On-Premises betreibt, sollte daher ihre Sicherheitsmaßnahmen verstärken und sicherstellen, dass sie ihre Systeme rechtzeitig mit Patches versorgen. Darüber hinaus sollten sie ihr gesamtes Netzwerk – nicht nur die Exchange Server – umfassend daraufhin untersuchen, ob sie im Zuge der HAFNIUM-Angriffe kompromittiert wurden. Zwar liefern aufsehenerregende Cyberattacken immer einen guten Anlass, die eigenen Sicherheitsvorkehrungen zu hinterfragen, jedoch sollten unabhängig davon gängige Best Practices in Sachen Cybersecurity eingehalten werden – und zwar zu jeder Zeit. Je besser die eigenen Ressourcen geschützt werden, desto größer ist auch der Schutz aller Geschäftspartner.“
Bekämpfung der Cybercrime durch Strafrechtsvorverlagerung
Bekämpfung der Cybercrime durch Strafrechtsvorverlagerung
Prof. Dr. Sascha Kische Hochschule für Polizei und öffentliche Verwaltung Nordrhein-Westfalen
Das BKA verzeichnet zu den aktuellen Erscheinungsformen der Cyberkriminalität neben Identitätsdiebstahl und dem sog. Datenphishing unzählige Vorgehensweisen der Infektion und Manipulation von Computersystemen mit Schadsoftware. Das StGB erfasst diese Phänomene an verschiedenen Stellen, bspw. in §§ 263a, 202a, b und d sowie §§ 303a, b. Noch bedeutsamer aber ist, dass darin auch Vorbereitungs- und Vorfeldaktivitäten pönalisiert sind, deren Vorbeugung gewöhnlich in den gefahrenabwehrrechtlichen Zuständigkeitsbereich der Polizei fallen.
Strafrechtliche „Vorverlagerung“ hat somit Auswirkungen auf die Präventionsarbeit, vor allem aber politische Brisanz: Im Sommer 2019 befasste sich der Bundesrat mit Gesetzesentwürfen aus Bayern und NRW zur Verbesserung und effektiveren Verfolgung von Cyberkriminalität und einem Entschließungsantrag aus Hamburg zur grundlegenden Reform des Computerstrafrechts; ein weiterer Entwurf zur Erfassung des „Digitalen Hausfriedensbruchs“ ist noch anhängig (Drs. 19/1917). Während (noch) keine Mehrheit zur Einbringung erster beider Entwürfe in den Bundestag zustande kam, wurde das Begehren Hamburgs zuletzt von der Tagesordnung gestrichen. Aufgeschoben ist sicherlich nicht aufgehoben – die (vermutlichen) Hintergründe insbesondere aus strafrechtswissenschaftlicher Sicht und das Grundproblem „vorverlagerter Strafbarkeiten“ werden in dem Vortrag näher beleuchtet.
Hinweis
Europarat nimmt Zusatzprotokoll zur Bekämpfung der Cyberkriminalität an
Die Minister:innen des Europarats, einer internationalen Menschenrechtsorganisation, haben am Mittwoch (17. November) das zweite Zusatzprotokoll zur Budapester Konvention angenommen, um gegen die derzeitige Zunahme der Cyberkriminalität vorzugehen.
Die Budapester Konvention, die am Dienstag 20 Jahre alt geworden ist, ist der erste und einer der wichtigsten internationalen Verträge zur Cyberkriminalität, der einen gemeinsamen kriminalpolitischen Ansatz gewährleistet und die internationale Zusammenarbeit fördert. Mit dem zweiten Zusatzprotokoll wird das Übereinkommen modernisiert, um es für die Herausforderungen des 21. Jahrhunderts vorzubereiten.
„Dieser Text ist ein bedeutender Schritt vorwärts in Bezug auf die technologische Kapazität und die Zusammenarbeit zwischen Regierungen und Dienstleistern“, sagte die Generalsekretärin des Europarats, Marija Pejčinović Burić, in einer Erklärung.
Das Protokoll wird eine Rechtsgrundlage für die Offenlegung der Registrierung von Domänennamen und die direkte Zusammenarbeit zwischen Diensteanbietern sowie Instrumente der gegenseitigen Unterstützung und Schutzmaßnahmen für personenbezogene Daten bieten.
Das Protokoll wird dazu beitragen, die Rechtsstaatlichkeit weiter in den Cyberspace auszudehnen und denjenigen Gerechtigkeit zu verschaffen, die Opfer von Verbrechen werden“, fügte Burić hinzu.
Obwohl die Konvention im Menschenrechtsregime des Europarats verwurzelt ist, hat sie es geschafft, Staaten aus der ganzen Welt anzuziehen.
Unter den 66 Staaten, die die Budapester Konvention derzeit ratifiziert haben, befinden sich nicht nur die meisten EU-Mitgliedstaaten, sondern auch Länder aus anderen Kontinenten, darunter die Vereinigten Staaten, Chile, Ghana oder Japan, was die Konvention zu einem globalen Standard für den Kampf gegen Cyberkriminalität macht.
Dramatischer Anstieg der Cyberkriminalität in Deutschland Deutschland verzeichnet einen deutlichen Anstieg von Cyberkriminalität. Dies geht aus dem am Montag (10. Mai) veröffentlichten Bundeslagebild für Cybercrime 2020 des Bundeskriminalamts (BKA) hervor. Auf Bundes- und EU-Ebene wird das Problem bereits angegangen.
Die Budapester Konvention und die EU
Die EU hat zwar eine Reihe verschiedener sektorspezifischer Verordnungen und Richtlinien zur Bekämpfung der Cyberkriminalität in Vorbereitung, doch auch diese greifen auf die in der Budapester Konvention verankerten Bestimmungen zurück.
„Die Konvention gibt den Strafverfolgungsbehörden konkrete Instrumente für ihren täglichen Kampf gegen die digitale Kriminalität an die Hand“, sagte die EU-Kommissarin für Inneres, Ylva Johansson, am Dienstag.
„Die Budapester Konvention bildet die Grundlage der Gesetze zur Bekämpfung der Cyberkriminalität in mehr als 80 % der Länder weltweit“, fügte sie hinzu.
Die EU hat den Kampf gegen die Cyberkriminalität zu einer der wichtigsten Prioritäten in ihrer Strategie für die Sicherheitsunion gemacht, die vorsieht, dass die Strafverfolgungsbehörden in die Lage versetzt werden sollten, enger zusammenzuarbeiten, um den grenzüberschreitenden Charakter der Cyberkriminalität zu bekämpfen – zum Beispiel durch die Cybercrime Action Task Force bei Europol.
Das Zusatzprotokoll zur Budapester Konvention soll dazu beitragen, dieses Ziel zu erreichen und ein Umfeld der internationalen Zusammenarbeit zu fördern.
„Es wird für Sie alle, die in der Strafverfolgung tätig sind, einen großen Unterschied machen“, sagte Kommissar Johansson und betonte, dass die Strafverfolgungsbehörden nach der vollständigen Inkraftsetzung des Protokolls in der Lage sein werden, von Dienstanbietern in anderen Ländern Teilnehmerinformationen anzufordern, schneller Verkehrsdaten zu erhalten und enger in gemeinsamen Ermittlungsgruppen zusammenzuarbeiten.
„Das Protokoll basiert auf unseren gemeinsamen Werten“, sagte sie und fügte hinzu, dass es „eine wesentliche Modernisierung ist, die die Budapester Konvention bereit für die Zukunft macht.“
Ausschuss des EU-Parlaments genehmigt neues Cybersicherheitsgesetz für kritische Dienste Der leitende Ausschuss des Europäischen Parlaments hat am Donnerstag (28. Oktober) einen Legislativvorschlag angenommen, mit dem kritische Einrichtungen in Europa vor Cyberangriffen geschützt werden sollen.
Zunahme der Cyberkriminalität
Der durch die Corona-Pandemie beschleunigte globale Wandel hin zur Digitalisierung hat auch zu einem beispiellosen Anstieg der Cyberkriminalität geführt.
Während der Pandemie nahmen Ransomware-Angriffe um 300 % zu, jüngstes Beispiel war der deutsche Elektronikhändler Media Markt.
Gleichzeitig haben sich die von den Cyberkriminellen geforderten Summen mehr als verdoppelt. Während das durchschnittlich geforderte Lösegeld 2019 bei 70.000 Euro lag, sind es laut einem Bericht der EU-Cybersicherheitsagentur (ENISA) inzwischen 155.000 Euro.
Um die sich entwickelnden Bedrohungen zu bekämpfen, plant die EU die Einrichtung einer gemeinsamen EU-US-Arbeitsgruppe gegen Ransomware und die Verbesserung der transatlantischen Zusammenarbeit in diesem Bereich.
Johansson betonte, dass das neue Zusatzprotokoll dazu beitragen wird, das Problem weiter zu bekämpfen und „das Internet sicher zu machen. Sicher für unsere Bürger:innen und für unsere Grundwerte“.
Gleich mehrere Unternehmen in Deutschland von Ransomware-Angriffen betroffen In den letzten Tagen waren gleich mehrere deutsche Unternehmen von Ransomware-Attacken. Neben Saturn und Mediamarkt auch der Medizin-IT-Dienstleister Medatixx.
[Bearbeitet von Luca Bertuzzi/Zoran Radosavljevic]
