Dienstleistung Cybercrime: Kriminelle nutzen Pandemie

Cybercrime und die dafür notwendige technologische Basis haben sich in den letzten Jahren immer mehr an einem Dienstleistungsmodell orientiert – die Corona-Pandemie hat dies durch die oft sehr schnell vorangetriebene Digitalisierung noch weiter verstärkt. Die Pandemie hat seit 2020 staatliche Stellen, Kritis-Sektoren, Wirtschaft und die Gesellschaft allgemein vor neue Herausforderungen gestellt. Im Zuge von Abstandsregeln und Homeoffice sind viele Tätigkeiten digitalisiert worden oder werden von anderen Orten aus durchgeführt als ursprünglich vorgesehen, wie die Zunahme von mobilen Arbeitsplätzen zeigt.

Doch nicht nur Staat, Institutionen, Privathaushalte und Wirtschaft mussten sich umstellen, auch Kriminelle haben ihr Handeln der neuen Situation anpasst. Hier ist eine weitere Verlagerung strafbarer Handlungen in Richtung Internet zu beobachten, um auf die veränderten Arbeitsbedingungen der vermeintlichen Opfer zu reagieren. Wie das BSI festgestellt hat, haben Täter etwa die Pandemie zunächst dazu genutzt, Sozial-Engineering-Angriffe mit Bezug zu Covid-19 verstärkt durchzuführen, um an persönliche Daten zu gelangen. Ferner standen auch die verschiedenen Kommunikationsmittel für Home-Schooling oder Videokonferenzen im Fadenkreuz der Angreifer. Die Daten des BKA zeigen, dass es seit 2018 eine stetige Zunahme an Fällen gegeben hat, also bereits vor der Pandemie, die aber für einen weiteren Schub sorgten, wohingegen die Aufklärungsquote eher stagniert.

Ein Trend, der sich gerade in Pandemiezeiten fortsetzt, sind Ransomware-Attacken, also der Versuch, Systeme zu infizieren und zu verschlüsseln und ein Lösegeld für die Freigabe der Daten zu erhalten. Dabei hat sich der Modus Operandi mittlerweile weg von reinen Erpressungen gegen Lösegeld hin zum sogenannten „Double Extortion“ verändert. Die Daten werden verschlüsselt, die Drohung besteht aber nicht (nur) in der Beibehaltung der Verschlüsselung oder Löschung der Daten im Falle einer Nichtzahlung, sondern in der Androhung, die verschlüsselten und abgeflossenen Daten zu veröffentlichen. Sollten sich die Betroffenen weigern zu zahlen, können die Daten durch die Täter immer noch potenziell zu Geld gemacht werden.

Das BSI hat festgestellt, dass die extra eingerichteten  „Leak“-Seiten, auf denen Daten von Unternehmen oder Behörden veröffentlicht werden, im Zeitraum von Juni 2020 bis Mai 2021 um etwa 360 % zugenommen haben. Bei diesen Angriffen ist eine Entwicklung zu beobachten, dass diese sich zunehmend gegen größere Unternehmen richten. Technisch gesehen könnte ein Grund sein, dass bei größeren Unternehmen sich die Kriminellen mehr Erfolg durch Massen-Emails mit Schadsoftware mehr Erfolg versprechen, als in kleineren, wo möglicherweise solche eher auffallen könnten. Aus finanzieller Hinsicht könnten größere Unternehmen lukrativer sein, da eine Veröffentlichung oder Löschung von Daten einen größeren wirtschaftlichen Schaden und Reputationsverlust in der Öffentlichkeit nach sich ziehen könnte. Die Unternehmen könnten also eher bereit sein, zu zahlen. „Die Gefahr ist sehr real und die Tatsache, dass immer wieder Schwachstellen auftauchen, die Cyberkriminelle zielgerichtet ausnutzen, birgt für Unternehmen das Risiko, dass nicht immer alle notwendigen Patches rechtzeitig zur Verfügung stehen“, erklärt Daniel Wolfinger vom Dezernat 47 – Cybercrime – des LKA Rheinland-Pfalz.

Auch die Pandemie nutzen Cyberkriminelle aus, um hieraus ihren Nutzen zu ziehen. Firmen und Institutionen aus dem Gesundheitsbereich sind zunehmend Angriffen ausgesetzt, die die Notlagen während der pandemischen Peaks als quasi zusätzliches Druckmittel aufgreifen. Zu den Opfern solcher Angriffe zählten die Europäische Arzneimittelagentur (EMA), ein DDoS-Angriff auf das Covid-19-Impfportal des Bundeslandes Thüringen und ein Ransomware-Angriff auf einen deutschen Hersteller von Covid-19-Antigentests sowie Krankenhäuser – spektakulär war hier der Fall der Düsseldorfer Uniklinik im September 2020. Durch die Verschlüsselung verschiedener Systeme konnte die Notversorgung nicht mehr sichergestellt werden, sodass Patienten auf umliegende Krankenhäuser verteilt werden mussten.

Cybercrime und die notwendigen Prozesse und Technologien sind in den letzten Jahren immer mehr auch zu einem Wert an sich geworden, der immer häufiger als Dienstleistung in Anspruch genommen werden kann. Ähnlich wie in der Wirtschaft kommt es bei Cybercrime-as-a-Service (CCaaS) zu einer Arbeitsteilung einzelner Vorgänge und Strukturen. 2015 gingen britische Ermittler davon aus, dass vielleicht gerade mal 100 bis 200 Personen hinter dem Ökosystem Cybercrime-as-a-Service stecken könnten, die ihre Diente weltweit anbieten. Heute dürfte die Zahl deutlich höher ausfallen, da vielerorts sich entsprechend hochspezialisierte Gruppen herausgebildet haben.

Der Vorteil liegt für Täter vor allem drin, dass auch technisch weniger versierte Kriminelle in den Genuss maßgeschneiderter Angriffstools und -methoden gelangen können. Die Preise im Darknet für solche Dienstleistungen sind vergleichsweise zum möglichen Gewinn durchaus erschwinglich, wie das BKA exemplarisch festgehalten hat. So kostet ein Banking-Trojaner zwischen 1.000 und 10.000 US Dollar, Spam ist bereits für vier US Cent zu haben. Bestimmte Dienste lassen sich auch über Zeiträume hinweg mieten, wie das sogenannte „Bulletproof Hosting“, also das Anbieten von Servern, die gegen Ermittlungen ähnlich wie eine schusssichere Weste zumindest eine gewisse Resilienz bieten. So werden beispielsweise  behördliche Anfragen bewusst nur verzögert oder gar nicht beantwortet, um gegebenenfalls Zeit für den Aufbau alternativer Server herauszuschlagen. Wichtig ist für die Anbieter die Fähigkeit, im Bedarfsfall sofortigen Support anzubieten und auf die „Kundenwünsche“ einzugehen. Dafür kommunizieren ganze Teams über verschiedene Kanäle mit den Kunden, ähnlich wie bei legalen Software-Anbietern. Das aus Ransomware – anderen Angriffen erbeutete Geld, sei es durch Weiterverkauf von Daten oder Lösegeldzahlungen, fließt wieder in die Underground Economy und ermöglicht so die Finanzierung weiterer Malware oder deren Optimierung.

Wie weit Kriminelle beim Anbieten oder Konzeptionieren solcher Dienstleistungen gehen können, zeigt der des ehemaligen Nato-Bunkers in Rheinland-Pfalz, der gleich die Infrastruktur eines Rechenzentrums beinhaltete. Der Bunker war 2013 an die mittlerweile inhaftierten Betreiber verkauft worden, die daraufhin auf Teilen der zur Verfügung stehenden 5.500 Quadratmetern Nutzfläche über 400 Server für eine Darknet-Infrastruktur aufbauten. Die Betreiber warben damit, dass ihre per se nicht als illegal beworbenen Dienste physisch gegen alle Ausfälle, etwa durch Naturkatastrophen gesichert seien. Zudem sollen die Dienste und Server auch gegen das Eingreifen durch Dritte wie Ermittlungsbehörden abgesichert worden sein. Kein Vertrag war notwendig, Interessierte Nutzer blieben anonym und die Bezahlung erfolgte per Bitcoin, aber auch Überweisungen waren möglich.

Normalerweise ist der Betreiber eines Rechenzentrums oder der Provider nicht haftbar für gehostete Inhalte. Doch die Ermittler konnten die aktive Beteiligung an der Verschleierung von strafbaren Angeboten auf den Servern nachweisen. Nicht zuletzt, weil sie selbst eine Fake-Seite für illegales Glücksspiel aufsetzen und sich umfangreich über Maßnahmen zur Aufrechterhaltung der Anonymität aufklären ließen. Nachdem das LKA Rheinland-Pfalz bereits 2015 die Ermittlungen aufgrund von Hinweisen illegaler Angebote auf den Servern aufgenommen hatte, beendete ein Polizeieinsatz im September 2019 das Betreiben der Anlage und konfiszierte die Server, Datenträger, Mobiltelefone und Dokumente.

Die Ermittler erhielten über die Beschlagnahmung der Server umfangreiches Material zu den illegal gehosteten Angeboten, die in Folge über 150 weitere Festnahmen ermöglichten. Ferner setzten Forscher nach Ende des Rechenzentrums seine Server als „honeypot“ auf, indem sie den IP-Adressraum des ehemaligen Cyberbunker aufstellten, sodass sie die Anfragen an einen Teil der Server mit verfolgen konnten. Über 2.300 Anfragen konnten so über 14 Tage gesammelt werden, was belegt, dass das Interesse an den Dienstleistungen nach wie vor hoch gewesen ist. Infolge der Auswertungen der Daten ging 2021 auch eine der größten Darknet-Handelsplattformen, „Darkmarket“, vom Netz. Auf ihr wurden Waren und Güter von über 2.400 Verkäufern mit einem Umsatz von etwa 140 Milionen Euro gehandelt.

Die Betreibung eines eigenen Rechenzentrums um cyberkriminelle Aktivitäten zu fördern, zu unterhalten oder mindestens billigend in Kauf zu nehmen, ist sicher die Ausnahme. „Der Aufwand für den Aufbau einer solchen Infrastruktur, selbst wenn er sich finanziell lohnen sollte, ist sehr hoch. Man benötigt Personal vor Ort, die Server, das Gelände und Räumlichkeiten – einfach alles wie in einem legalen Rechenzentrum“, so Wolfinger. Die notwendig physische Präsenz erhöht zudem auch die Gefahr der Entdeckung einer solchen Anlage. Viel effizienter ist es, bestehende Server unter falschem Namen anzumieten oder zu „kapern“, indem im Hintergrund unentdeckt die eigenen Programme laufen, etwa zum Aufbau von Bot-Netze oder das Generieren von Kryptowährung wie Bitcoins (Mining).

Vorhandene Strukturen und Ressourcen lassen sich so bis zur Entdeckung gezielt für eigene Zwecke nutzen und erschweren die Strafverfolgung, denn häufig sind Betroffene sich der Übernahme von Systemen für kriminelle Zwecke nicht bewusst. Rechenzentren stellen die digitale Infrastruktur für Unternehmen und Behörden bereit und müssen sich damit immer stärker gegen Cyberattacken wappnen. Schäden durch Malware können solche eines Brandes inzwischen schnell übersteigen. Hier wird auch Künstliche Intelligenz beim Schutz vor Schadsoftware eine größere Rolle spielen (müssen), um die vielfältigen Bedrohungen in Schach zu halten. Natürlich darf auch die physische Sicherheit eines Rechenzentrums nicht vernachlässigt werden, gerade was den Zutritt berechtigter Personen angeht. Doch Cyberkriminelle scheuen in der Regel den direkten „Kontakt“, wenn es doch so viel einfacher scheint, sich aus der Ferne zu bedienen.