Viele Mythen über kriminelle Hacker und Cybercrime halten sich auch nach Jahren. Nicht immer sind die Fakten so stereotypisch und spektakulär, sodass sich die Fakten nur langsam durchsetzen. Die häufigsten Mythen wollen wir hier widerlegen.
Mythos: Alle Hacker sind Kriminelle
Viele Menschen verwenden den Begriff „Hacker“ synonym mit „Cyberkriminellen“, aber nicht alle Hacker haben böswillige Absichten. Es gibt auch „White-Hat-Hacker“, die Sicherheitslücken nach ethischen Standards aufdecken, um Unternehmen und Organisationen zu helfen. Darunter fallen Penetrationstester und Sicherheitsforscher.
Mythos: Angreifer müssen nur eine einzige Schwachstelle finden
Anhand der Cyber Kill Chain erkennt man, es reicht für Angreifer nicht, nur im ersten oder zweiten Schritt Erfolge zu haben. Jeder weitere Schritt muss erfolgreich sein. Und an jeder Stelle der Cyber Kill Chain kann der Angriff detektiert und unterbrochen werden. Die Angreifer müssen während ihrer laufenden Attacken immer wieder weitere Wege und Möglichkeiten suchen weiter voranzukommen.
Mythos: Kriminelle Hacker suchen sich ihre Opfer gezielt aus
Man unterscheidet bei Angriffen zwischen gezielten Attacken, bei denen Angreifer ihre Opfer geplant und gut vorbereitet attackieren, und solchen Attacken, die breitgefächert ablaufen und auf Masse setzen. Letzteres kennt man beispielsweise von Phishing-E-Mails, die unspezifisch sind und millionenfach versendet werden.
Gezielte Attacken sind seltener, dafür aber besser vorbereitet und ausgeführt. Gefährlich und bedrohlich sind beide Kategorien.
Mythos: Kriminelle Hacker sind technische versierte Einzelgänger
Auch durch stereotype Figuren in Hollywood-Filmen hält sich der Eindruck, der typische Hacker ist Einzelgänger, wohnt in einem dunklen Keller und sucht dort seine nächsten Opfer. Das ist längst überholt und vermutlich nur im Ausnahmefall annähernd richtig. Längst haben kriminelle Hacker die Vorteile von gemeinschaftlicher Arbeitsweise und professioneller Arbeitsteilung erkannt und nutzen sie. Man geht sogar davon aus, dass der Anteil von Frauen innerhalb der kriminellen Organisationen bei gut 30% liegt – das ist deutlich höher als in den IT-Abteilungen der „normalen“ Wirtschaft. Das zeigen auch Medienberichte, z.B. von BBC, die die Machenschaften von professionellen Scamming-Agenturen aufgedeckt haben.
Mythos: Kriminelle Hacker machen alles selbst
Dank der Crime-as-a-Service-Strukturen und der damit einhergehenden Arbeitsteilung konzentrieren sich kriminelle Banden auf deren Kernfähigkeiten. So gibt es z.B. spezialisierte Gruppen, die sich darauf konzentrieren Zugänge zu Unternehmen zu erlangen, um diese dann auf Schwarzmärkten zu verkaufen. Diese „Initial Access Broker“ investieren also Aufwände und suchen nach Möglichkeiten in jedes mögliche Unternehmen einzudringen, nutzen diese Zugänge aber nicht selbst aus. D.h. mittels Social Engineering (Phishing per Mail, aber auch telefonisch, per SMS oder über Karrierenetzwerke) oder über technische Schwachstellen erlangen sie Zugangsdaten und Zugangsmöglichkeiten von Mitarbeitern. Besonders kritisch wird es, wenn diese Kriminellen Zugangswege von Administratoren oder anderen Benutzern mit privilegierten Berechtigungen erlangen, diese Zugangsmöglichkeiten können auch VPN-Zugänge bedeuten.
Das bedeutet vor allem, dass die Initial Access Broker sich keine Gedanken machen müssen, ob und wie sie die Zugänge ausnutzen, denn es gibt genügend versierter Käufer, die solche Zugänge kaufen. Deshalb greifen solche Kriminellen alle möglichen verwundbaren Unternehmen an.
Dieses Geschäftsmodell der Initial Access Broker skaliert hervorragend. Unzureichende Sicherheitsmaßnahmen in Unternehmen erleichtern dieses Geschäftsmodell.
Die Bedrohungslage durch Cybercrime behandeln wir einem weiteren Blogeintrag.