Mittwoch, 22. August 2018

HANSECRIME: Cybercrime an der Alster. Die Ermittlungen des "CSI ZAC"

HAMBURG CYBERCRIME REPORT


Die Hamburger Polizei im Einsatz gegen Cybercrime.

Dienstag-Nachmittag, 27. Juni 2017: Der Hamburger Beiersdorf-Konzern wird Opfer der Ransomware "Petya/Not Petya". 4,5 Tage lang werden die weltweit 17 Fabriken von Eucerin, La Prairie, Nivea, Tesa & Co. stillgelegt - einschl. der Nivea-Produktion in Billbrook, müssen 18.000 Mitarbeiter auf ihre Gehälter aus Hamburg warten. Rechner und Telefonanlagen sind lahmgelegt - durch das Update einer manipulierten Buchhaltungssoftware bei einer Tochter in Kiew. Der sich aus der Ukraine verbreitete Virus kostet den Konzern 35 Mio. € Umsatzausfall.


Nach Ransomware: fast 1 Woche außer Gefecht, 35 Mio. € Umsatzausfall.
Foto: Beiersdorf

300 IT-Experten befreien die verschlüsselten Daten und fahren die Computersysteme in Produktion, Logistik und Buchhaltung wieder hoch. Der weltweite Angriff trifft neben Beiersdorf auch Bohrinseln und Containerterminals des dänischen Logistikkonzerns A. P. Möller-Maersk, den niederländischen Transporteur TNT Express, den britischen Haushaltswaren-Hersteller Reckitt Benckiser, die französische Staatsbahn SNCF, den russischen Ölproduzenten Rosneft und den amerikanischen Lebensmittelkonzern Mondeléz. 

Dienstag-Abend, 21. August '18, im Norddeutschen Regattaclub: Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik Arne Schönbohm referiert vor 60 CIOs und IT-Strategen über die Gefahren durch Cyberkriminalität. Der Chef des BSI ist Gast des IT Executive Clubs, der Vereinigung Hamburger IT-Führungskräfte. Cybercrime ist an Alster und Elbe angekommen - und Top-Thema des Landeskriminalamtes. HANSEVALLEY hat mit dem Chef der Zentralen Ansprechstelle beim LKA gesprochen3. Ein Hamburg Cybercrime Report:



Hamburgs Experte in Sachen Cybercrime:
ZAC-Leiter Andreas Dondera
Foto: Privat
"Cybercrime werden wir nicht in den Griff kriegen", fasst der 50-jährige Andreas Dondera zusammen. Mehr als 10 Jahre ist der Hamburger Ermittler für Internetkriminalität, leitet seit 2 Jahren die Zentrale Ansprechstelle für Cyberkriminalität "ZAC". 9 Mitarbeiter hat die Abteilung, insgesamt ermitteln 46 Cybercrime-Spezialisten an Alster und Elbe, vor allem Informatiker und Forensiker und damit IT-Spezialisten. Die "ZAC" ist Teil der Hamburg Crime Scene Investigation für alles, was mit Daten zu tun hat. So kümmert man sich bei der "CSI ZAC" um Wirtschaftskriminalität und Kinderpornokriminalität im Internet, unterstützt aber auch Kollegen z. B. bei Drogen im Darknet.

Die Zentrale Ansprechstelle ist erster Kontakt für betroffene Unternehmen. Das Thema ist höchst sensibel: Niemand möchte, dass ihm Server und Desktops aus der Firma getragen werden, bei Mitarbeitern, Kunden und Partnern ein Makel aufkommt, die Daten seien nicht sicher. Latente Ängste spielen eine Rolle: Übernimmt die Polizei die Ermittlungen, könnten unangenehme Dinge zu Tage treten: Wie sieht es aus mit den Softwarelizenzen? Schaut sich die Kripo auch gleich mal die Steuerdaten an? Darum geht es nicht, versichert der IT-Profi und langjährige Dozent an der Hamburger Polizeiakademie.

"Kein Angriffsmedium im Unternehmen ist relevanter als E-Mail."

Andreas Dondera macht klar: In mehr als 80% aller Fälle seien Fehler von Mitarbeitern ursächlich für Cyberattacken. "Kein Angriffsmedium im Unternehmen ist relevanter als E-Mail", bringt es der frühere Streifenbeamte und Hundeführer auf den Punkt. Kriminelle nutzen gern vermeintliche E-Mails vom iPhone des Chefs, im Anhang lauern Trojaner und Co. Eines der aktuellen Themen krimineller Banden: Ransomware - Verschlüsselungstrojaner, mit der Zahlungen erpresst werden. 1.000 bis 10.000,- € Lösegeld sind ein Erfahrungswert, den der Polizist mit mehr als 35 Jahren IT-Background weitergeben kann. Das kann aber auch bis zu 100.000,- € hochgehen.
Sicherheit fängt bei Passwörtern an.
Illustration: Andreas Dondera

Neben Mitarbeitern sind IT-Anbieter eine der Schlüsselgruppen, um Cyberkriminalität eindämmern zu können. Wie ist die Qualität des eigenen IT-Dienstleisters? Wie gut ist die Wartung der IT-Systeme? Und wie sieht das Backupkonzept im Unternehmen aus? Bis heute gibt es keine einheitlichen Standards und Zertifizierungen. Genau hier beraten die Experten des Landeskriminalamtes, können auf mögliche Schwachstellen hinweisen und Tipps geben, ohne das Gesicht zu verlieren. Das gilt nicht zuletzt für das Thema Datendiebstahl durch ausscheidende Mitarbeiter - bis zur vorsätzlichen Beschädigung der Firmen-IT.

"Praktikanten sind total toll. Sie brauchen für alle Bereiche Zugangsberechtigungen."

"IT-Sicherheit muss von der Geschäftsführung aus anfangen", betont der unkonventionelle Kripo-Beamte. "Für IT-Sicherheit müssen Sie auch ein gewisses Know-how haben", ergänzt der Rahlstedter im Gespräch mit HANSEVALLEY. Und pointiert: "Praktikanten sind total toll! Sie brauchen irgendwann für alle Bereiche Zugangsberechtigungen." Damit macht er klar, dass der Angriff über Mitarbeiter besonders häufig passiert, Mitarbeiter, die von innen das Tor aufmachen. So wie beim infizierten Buchhaltungs-Update bei Beiersdorf in Kiew.


Grundprinzip von 350 verschiedenen Ransomware-Methoden:
"Geld her oder Du kriegt Deine Daten nicht wieder"
Illustration: Andreas Dondera
Neben Erpressung mit Trojanern (Ransomware) berichtet der Spezialist über weitere, nicht weniger gefährliche Methoden von Cyberkriminalität. Sogenannte APT-Angriffe (Advanced Persistant Threats) zielen auf ein längerfristiges Eindringen und Abhören von IT-Systemen ab. Das Gefährliche: Laut BSI vergehen zwischen dem Eindringen und dem Erkennen durch Abwehrsoftware mittlerweile 243 Tage, 8 Monate Geschäftstätigkeit, 8 Monate vertrauliche Datenübertragung. Nicht weniger gefährlich: Payment Diversion Fraud - die Umleitung von Zahlungsflüssen durch gefälschte Zahlungsanweisungen - trotz Plausibilitätsprüfung.

"Das Internet und die Möglichkeiten enden nicht an der Landesgrenze."

Ein großes Problem beim Thema ist, das IT-Sicherheit virtuell und damit nicht greifbar für Mitarbeiter und Geschäftführung ist. Hinzu kommt, dass heute globale Organisationen mit einer hohen kriminellen Energie am Werk sind und Angriffe massive finanzielle Folgen haben - von 35 Mio. € Ausfall bei Beiersdorf bis zu 111 Mio. € bei Reckitt Benckiser - auf Grund einer einzigen Attacke aus der Ukraine. Nicht weniger brisant ist das Internet als Grundlage für immer mehr Anwendungen, wie vernetzte Geräte und Maschine im Internet of Things (IoT). Die E-Mail, sie wurde nach Aussagen des Experten "sicherheitsfrei" entwickelt, dabei haben sich verschlüsselte Transportwege bis heute nicht flächendeckend durchgesetzt.


Heimlich, still und leise in den Datenleitungen:
Hacker, die es auf die Daten abgesehen haben.
Illustration: Andreas Dondera
War die Übermittlung von Nachrichten über das Internetprotokoll früher auf Grund geringeren Angriffspotenzials weniger kritisch, wurde mit Online-Shopping und ungesicherter Datenübertragungen die Sache richtig gefährlich. Mit Online-Banking ist der Datentransfer nicht mehr nur kritisch, sondern bedrohlich. Andreas Dondera gibt zu bedenken, dass für Angreifer immer mehr interessante Daten im Umlauf sind, z. B. über Mobile Apps und Online-Services. Dondera fasst zusammen: "Das Internet und die Möglichkeiten enden nicht an der Landesgrenze." Womit das Problem zwischen globalen Aktivitäten von Cyberkriminellen und förderalen Möglichkeiten von Kriminalämtern auf dem Tisch liegt.

"Man braucht keine Scheu haben, sich an uns zu wenden. Wir posaunen nichts nach draußen."

Mehr als 70 Vorträge hat der dreifache Familienvater im vergangenen Jahr gehalten, um Unternehmen Mut zu machen. Eine seiner wichtigsten Botschaften: Kein Polizist schleppt vor der Belegschaft Computer aus der Firma. Die IT-Abteilung behält uneingeschränkt die Hoheit über die Systeme. Befürchtete Einschränkungen gibt es bei Ermittlungen der LKA-Cybercrime-Experten nicht. 69% aller Industriebetriebe in Deutschland wurden laut IT-Branchenverband Bitkom bereits Opfer einer Cyberattakte. Nur 13% der Opfer haben im vergangenen Jahr Cybercrime angezeigt. Dabei werden 55% aller Betroffenen mehr als einmal Opfer. Auf Grund geringer Erfolgsquote sehen die meisten dennoch kaum einen Sinn, mit der Polizei zu sprechen.
Im Dialog mit Unternehmern und Mitarbeitern:
Die Ansprechpartner des LKA Hamburg.
Illustration: Andreas Dondera

Andreas Dondera widerspricht: Die Mitarbeiter des "CSI ZAC" haben höchste Expertise, im Schnitt mehr als 5 Jahre. Die Mitarbeiter seiner Abteilung seien up-to-date - bilden sich mehrheitlich auch privat weiter, z. B. in Forensik-Fragen. Mit öffentlichen Vorträgen und Schulungen in Hamburger Unternehmen bietet die "CSI ZAC" interessierten Unternehmen aktuelles Wissen und die Möglichkeit, sich aus erster Hand briefen zu lassen, welche Schritte sinnvoll sind, um die eigene Infrastruktur und die eigene Organisation vor Angriffen von Außen  aber auch von Innen zu schützen. Spätestens an diesem Punkt dürften aufmerksame Unternhmer und IT-Chefs aufhorchen.


Andreas Dondera: "Ich bin immer wieder überrascht, wie kreativ die sind."

Der nächste Angriff kommt bestimmt - und die traditionellen Hamburger Unternehmen in Handel und Logistik, Banken und Versicherungen, Dienstleistungen und Produktion sind nicht in Sicherheit. 


Die Hamburg Cybercrime Woche:

BSI-Präsident Arne Schönbohm spricht Klartext - im exklusiven Hamburg Cybercrime Interview, dass HANSEVALLEY im IT Executive Club Hamburg führen durfte:

HANSEPERSONALITY BSI-Präsident Arne Schönbohm: "Die Lage ist ernst!"


HANSECRIME: Cybercrime - das vermeintliche Risiko fürs Unternehmen!?
hh.hansevalley.de/2018/08/hansecrme-cybercrime-das-vermeintliche.html


 Hamburg Cybercrime Background: 

Zentrale Anprechstelle Cybercrime (ZAC)
Tel. 42 86 - 75 4 55, E-Mail zac@polizei.hamburg.de
www.polizei.hamburg/cybercrime/6714092/zentrale-ansprechstelle-cybercrime/

--

Bitkom - Industrie im Visier von Cyberkriminellen und Nachrichtendiensten:
www.bitkom.org/Presse/Presseinformation/Industrie-im-Visier-von-Cyberkriminellen-und-Nachrichtendiensten.html

BKA zu Internetkriminalität / Cybercrime:
www.bka.de/DE/UnsereAufgaben/Deliktsbereiche/Internetkriminalitaet/internetkriminalitaet_node.html

BSI Allianz für Cybersicherheit - Erste Schritte für mehr Cybersicherheit:
www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/ErsteSchritte/Erste_Schritte_node.html

DSiN Deutschland Sicher im Netz - Für Unternehmen:
https://www.sicher-im-netz.de/dsin-für-unternehmen

Telekom Security fordert Unternehmen zu mehr Cybersicherheit auf:
www.telekom.com/de/medien/medieninformationen/detail/telekom-security-fordert-unternehmen-zu-mehr-cybersicherheit-auf-517392