Boorberg Verlag

E-Crime - Moderne IT-Verbrechen

06.06.2005

IT-Verbrechen

Inzwischen wird immer klarer, dass IT-Verbrechen nun auch bei den ureigensten Aufgaben der Unternehmenssicherheit angekommen sind, nämlich der Abwehr von Industriespionage, Erpressung und anderen kriminellen Handlungen. Die Kreativität, durch digitale Taten Geld zu verdienen, hat gerade erst begonnen - hierzu die folgenden Beispiele:

Hehlerei

Während früher das geklaute Autoradio auf dem Flohmarkt mit dem Risiko angeboten wurde, dass das Diebesgut direkt entdeckt und der Hehler erkannt werden konnte, verstecken sich Hehler heute hinter Scheinnamen bei digitalen Autohäusern, wo das Diebesgut schwierig zu identifizieren ist und die Diebe deutlich aufwändiger zu ermitteln sind. Die Auktionshäuser haben die Kriminalitätsschwelle auf Grund scheinbarer Anonymität deutlich herabgesetzt.

Industriespionage

Von der Aufdeckung eines Industriespionagerings, die am 30.5.2005 bekannt wurde, waren europäische und vor allem israelische Unternehmen betroffen. Einige Unternehmen habe sich offensichtlich auch gegenseitig ausspioniert. Die technische Grundlage der Spionage war eine Software, die auf einer Werbe-CD gezielt verbreitet wurde. Bei Einlegen der CD startete die Software automatisch und begann, Bildschirmfotos - teilweise im Minutentakt - auf Rechnersysteme im Internet zu verschicken. Dort wurden die Daten gesammelt. Software, die persönliche Daten des Benutzers ohne dessen Wissen oder gar Zustimmung an Dritte sendet, wird als "Spyware" (für "Spy Software") bezeichnet.

Perimeterschutz

Worldpay bearbeit in mehr als 70 Ländern die Bezahlabwicklung von Kreditkarten u.a. für Visa, Mastercard und American Express. Am 4. Oktober 2004 wurde durch BBC-News bekannt, dass Worldpay seit mehreren Tagen ein Opfer von Angreifern aus dem Internet ist, die die Worldpay-Systeme mit Anfragen dermaßen geflutet haben, dass die Systeme ausfielen oder die Bezahltransaktionen nur noch sehr langsam funktionierten. Betroffen waren tausende von Händlern im Wochenend-Geschäft, darunter auch Vodafone und Sony Music Entertainment. Diese Angriffsform wird als "Denial of Service"-Attacke (DoS) bezeichnet.

Erpressung

Seit dem 26.5.2005 warnen Security-Spezialisten vor einer neuen Methode, mit der Internet-Kriminelle versuchen, zu Geld zu kommen. Die Hacker haben eine Software programmiert, die nach Ausführung einen befallenen PC durchsucht und dann verschiedene Dateien verschlüsselt. Für den Schlüssel, mit dem die verschlüsselten Dateien wieder dekodiert werden können, sollen die Opfer ein "Lösegeld" bezahlen. Die Software schreibt in jedem Ordner eine Textdatei mit Anweisungen, wie man dem Urheber 200 Dollar überweisen kann. Darauf, so wird versprochen, kann man per E-Mail einen Schlüssel verlangen. Diese Art der Software wird als "Trojanisches Pferd", kurz "Trojaner", bezeichnet und hat bei der Firma Panda den Namen "Trj.PGPCoder.A" bekommen. Der Vorgang wird vielfach als "Filenapping" (für "File Kidnapping") bezeichnet.

Betrug

2004 wurden zahlreiche betrügerische Online-Attacken auf Bankkunden verübt, von denen genossenschaftliche Banken, aber auch Privatbanken betroffen waren. Insbesondere stand die Deutsche Bank und die Postbank im Mittelpunkt der Attacken. Bei der "Phishing" (für "Password fishing") genannten Masche werden Bankkunden über E-Mail auf gefälschte angebliche Bank-Webseiten gelotst und dort aufgefordert, Kontonummern und geheime PIN- und TAN-Nummern für Kontozugang und Abwicklung von Transfers anzugeben.

Praxishinweise

Die Beispiele lehren: Informationssicherheit ist seitens des Managements ernst zu nehmen und die Sicherheitsstrukturen sind so zu modernisieren, dass sie den aktuellen und zukünftigen Herausforderungen gewachsen sind.
Um Sicherheit als lebenden Prozess im Unternehmen zu etablieren, muss die Unternehmensleitung die Verantwortung für berechtigte Sicherheitsbedürfnisse und Sicherheitsanforderungen übernehmen, unabhängig davon, ob diese aus dem eigenen Unternehmen oder von Interessenten, Kunden oder Partnern kommen. Das Management hat den Stellenwert der Informationssicherheit im Unternehmen festzulegen und die daraus folgenden Veränderungen vorzunehmen, die als Ergebnis die Implementierung eines Sicherheitsmanagementsystems zum Ziel haben.
In folgenden vier Schritten wird beschrieben, wie ein Sicherheitsmanagementsystem aufgebaut werden kann:
  1. Entwicklung einer Sicherheitspolitik, die den Sicherheits- und Geschäftszielen des Unternehmens gerecht wird;
  2. Etablierung einer Sicherheitsorganisation, die neben Personen- und Objektschutz auch IT- und Informationsschutz steuert und in übergeordnete Managementprozesse integriert ist;
  3. Implementierung von Kernprozessen der Sicherheit, die themenübergreifend arbeiten und ein einheitliches Vorgehen z.B. im Berechtigungs- oder Vorfallsmanagement sicherstellen sowie angemessene und wirksame Maßnahmen etablieren;
  4. Definition und Kommunikation von Sicherheitsstandards, die alle Organisations- und Zielgruppenanforderungen abdecken und damit geeignet sind, verstanden zu werden und so ein definiertes Sicherheitsniveau herzustellen ermöglichen.

Autor: Guido Gluschke

Anlass: IT-Kriminalität

Die Abwehr von Industriespionage, Erpressung und anderen kriminellen Handlungen im Netz ist auch Aufgabe der Unternehmenssicherheit. Der unberechtigte Zugriff auf Daten und Angriffsformen wie Filenapping und Phishing erfordern Sicherheitsorganisationen und -standards, die Organisation und Kommunikation im Unternehmen entsprechen müssen.

Sachbereich: D3 Fachspezifische Themen - IT-Sicherheit

Schlagwörter: IT, Spyware, Denial of Service-Attacke, Filenapping, Phishing


-