42
LKA 543 Hamburg Cybercrime Aktuelle Phänomene und Handlungsempfehlungen der Polizei Hamburg
LKA 543Hamburg
Cybercrime
Aktuelle Phänomene undHandlungsempfehlungen
der Polizei Hamburg
LKA 543Hamburg
Agenda
22.05.2017 LKA 54 Cybercrime Hamburg 2
Vorstellung / Einleitung ins Thema CEO-Fraud / Mailkompromittierung Malware spez. Ransomware DDoS-Angriffe Weitere Angriffsfelder Incident Response / Polizei Fazit
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
LKA 54
22.05.2017 LKA 54 Cybercrime Hamburg 3
LKA 541
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
LKA 54
22.05.2017 LKA 54 Cybercrime Hamburg 4
LKA 542
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
LKA 54
22.05.2017 LKA 54 Cybercrime Hamburg 5
LKA 543
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Statistik
22.05.2017 LKA 54 Cybercrime Hamburg 6
Entwicklung von Cybercrime?
1779421114
26986 2665029155
3418037900
50254
59839 5949463959 64426
4992545793
0
10000
20000
30000
40000
50000
60000
70000
2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Statistik
22.05.2017 LKA 54 Cybercrime Hamburg 7
Entwicklung CEO-Fraud in Hamburg
39 9 11
14
84
0
10
20
30
40
50
60
70
80
90
2011 2012 2013 2014 2015 2016 (bis 01.11)
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Tätertypen
22.05.2017 LKA 54 Cybercrime Hamburg 8
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
CEO-Fraud
22.05.2017 LKA 54 Cybercrime Hamburg 9
Sehr geehrte Frau M.,
ich kann doch in einer streng vertraulichen Finanzangelegenheit auf Ihre Unterstützung zählen. UnserUnternehmen plant eine Expansion in den asiatischen Geschäftsraum und wird hierzu eine existierendeFirma übernehmen. Wie Sie sicher verstehen können, ist diese Transaktion streng geheim. Aus diesemGrunde und zu Dokumentationszwecken für die Bafin darf die gesamte Kommunikation mit mirausschließlich per Mail erfolgen.
Mit der Abwicklung wurde das Schweizer Notariat E. betraut. Der Rechtsanwalt und Notar Dr. E. wird sichmorgen telefonisch bei Ihnen bezüglich der Details melden.
Bitte bereiten Sie alles für eine entsprechende Auslandsüberweisung vor.
Ich weiß, dass ich mich auf Sie verlassen kann.
Mit freundlichen Grüßen
Dr. W., CEO
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Mail-Kompromittierung
22.05.2017 LKA 54 Cybercrime Hamburg 10
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Informationsbeschaffung
22.05.2017 LKA 54 Cybercrime Hamburg 11
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Maßnahmen
22.05.2017 LKA 54 Cybercrime Hamburg 12
Awarenessmaßnahmen bei den Mitarbeitern Betroffenen Personenkreis definieren (externe Dienstleister?) Art der Maßnahme (Persönliche Schulung, Warnzettel, Webschulung) Überprüfung der Durchführung und des Erfolgs der Maßnahmen Regelmäßige Wiederholung der Maßnahmen
Technische Möglichkeiten Mailserverkonfiguration optimieren
Überprüfung interne/externe Mail Bei externer Mail Überprüfung auf relevante Namen und Domains ggf. Marker [CEO-FRAUD] setzen
Signaturen
Klare Abläufe definieren Keine Überweisung auf neue Konten ohne Rückfrage auf zweitem Weg (nicht per
Mail!!!) Regeln durch Geschäftsführung
(z.B. Vieraugenprinzip, Stichwort für Überweisungen)
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Malware
22.05.2017 LKA 54 Cybercrime Hamburg 13
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Malware
22.05.2017 LKA 54 Cybercrime Hamburg 14
Ein Angestellter der Fa. L. erhält zunächst auf seinem privaten Smartphone eine Email mit einem Dateianhang, welchen er
nicht öffnen kann. Diese enthält einen Anhang mit der Bezeichnung Rechnung. Er loggt sich vom Firmenrechner aus in
seinem privaten Email-Konto ein und öffnet den Dateianhang, wodurch eine Schadsoftware auf dem Rechner installiert wird.
Von dem Rechner verbreitet sich die Verschlüsselungssoftware durch interne Netzwerkfreigaben auf dem gesamten
Serversystem des Unternehmens (ca. xx angeschlossene Server). Die betroffene Datenmenge hat einen Umfang von rund x,x
TB Daten.
Es kommt zum Totalausfall der Produktion wodurch pro Tag ein Schaden im hohen 6-stelligen Bereich anzunehmen ist.
Die genaue Schadenshöhe derzeit noch unklar, da die Systemwiederherstellung derzeit noch mit Problemen verbunden ist,
da Backupdateien von der Infektion betroffen sind.
Seitens des Unternehmens wurden zwei Zahlungen in Höhe von jeweils xxx,-Euro in Bitcoins vorgenommen. Daraufhin
konnte ein Encoder zur Entschlüsselung geladen werden.
Wann die Produktion wieder gestartet werden kann, ist momentan noch unklar.
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Maßnahmen
22.05.2017 LKA 54 Cybercrime Hamburg 15
Awarenessmaßnahmen bei den Mitarbeitern Problem „Gutgläubigkeit“ Problem „Vertrauen in die IT“
Regelmäßige Datensicherungen (Archivierung?)
Regelmäßiges Einspielen von Updates
Monitoring von Prozessen
Application Whitelisting
Antivirensoftware auf allen Systemen
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
DDoS
22.05.2017 LKA 54 Cybercrime Hamburg 16
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
DDoS
22.05.2017 LKA 54 Cybercrime Hamburg 17
Angriffsziel
Command &ControlServer
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
DDoS
22.05.2017 LKA 54 Cybercrime Hamburg 18
Hi!
If you dont pay 5 bitcoin until 1. february you will be hardly ddosed!Our attacks are super powerfull (Mirai botnet). And if you dont pay until 1. february ddos attack will start and priceto stop will double!We are not kidding and we will do small demo now on just one of your servers xxx.xx.xxx.xxx to show we areserious. It will not be strong, we dont want damage now we hope you cooperate, just small flood to show we arenot hoax.Pay and you are safe from us forever. Ignore, you go down longtime and price go up.OUR BITCOIN ADDRESS: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxDont reply, we will ignore!Pay and we will be notify you payed and you are safe.
Cheers!
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Maßnahmen
22.05.2017 LKA 54 Cybercrime Hamburg 19
Risikobewertung ggf. betroffene Geschäftsbereiche? Verluste (z.B. Onlineshops)
Kontaktaufnahme mit ISP
ggf. Beratung durch speziellen Anbieter
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Bitcoin
22.05.2017 LKA 54 Cybercrime Hamburg 20
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Weitere Angriffsfelder
22.05.2017 LKA 54 Cybercrime Hamburg 21
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Maßnahmen
22.05.2017 LKA 54 Cybercrime Hamburg 22
Informationsarmut Einschlägige Sicherheitsmaßnahmen Firewall Monitoring AV-Lösungen ggf. (H|N)IDS, ISMS
Rechtemanagement Awareness auch/gerade auf Führungsebene Regelungen bei Mitarbeiterwechsel
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Polizei
22.05.2017 LKA 54 Cybercrime Hamburg 23
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Ermittlungsmöglichkeiten
22.05.2017 LKA 54 Cybercrime Hamburg 24
CEO-Fraud E-Mailadresse? IP-Adresse aus Header? ggf. Rufnummer? ggf. Bankverbindung?
Ransomware / DDoS E-Mailadresse? IP-Adresse aus Header? Bitcoin-Adresse?
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Gründe für Cybercrime
22.05.2017 LKA 54 Cybercrime Hamburg 25
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Ursachen für Erfolge der Täter
22.05.2017 LKA 54 Cybercrime Hamburg 26
IT-Sicherheit als Zustand betrachten Unzureichende Awarenessmaßnahmen Updates nicht eingespielt Kostenfaktor IT-Sicherheit Komplexität der Unternehmensstruktur Komplexität der Software Gewachsene Systeme Unzureichendes Rechtemanagement Unklare Abläufe bei Abgang von Mitarbeitern
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Incident Response
22.05.2017 LKA 54 Cybercrime Hamburg 27
Planen Sie den Sicherheitsvorfall bevor er passiert! Machen Sie eine Risikoanalyse! Verantwortliche(n) im Vorwege benennen! Woher bekommt man Bitcoins? Analyse des Angriffs (Kosten/Nutzen)? Polizei einschalten: ja / nein? Sicherung von Beweismitteln vs. Produktivität Umgang mit Medien / Presse ggf. Umgang mit Kunden usw.
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Ermittlungen 2025?
22.05.2017 LKA 54 Cybercrime Hamburg 28
Neue Kriminalitätsfelder Industrie 4.0 Smart Home weitere Verlagerung bestehender Kriminalität
Weniger Ermittlungsmöglichkeiten Verschlüsselung von Geräten Verschlüsselung von Kommunikation Verschlüsselung von Webseiten
Neue Rechtsgrundlagen?
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Ermittlungen 2025?
22.05.2017 LKA 54 Cybercrime Hamburg 29
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Wünsche
22.05.2017 LKA 54 Cybercrime Hamburg 30
Politik Ehrlicher Umgang mit dem Problem
Unternehmen Besseres Monitoring / Reaktionsschnelligkeit
Hersteller Höhere Qualität / langfristigen Support
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Kriminologie
22.05.2017 LKA 54 Cybercrime Hamburg 31
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Gewinne bei Cybercrime
22.05.2017 LKA 54 Cybercrime Hamburg 32
Straftat/Gewinn Ursache
CEO-Fraud UserMalware UserBetrug UserDDoS User
Stichwort: User-Prävention!
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Entwicklung 1987 - 2017
22.05.2017 LKA 54 Cybercrime Hamburg 33
Kommunikation 1987
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Entwicklung 1987 - 2017
22.05.2017 LKA 54 Cybercrime Hamburg 34
Kommunikation 2017
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Entwicklung 1987 - 2017
22.05.2017 LKA 54 Cybercrime Hamburg 35
Geld und Waren 1987
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Entwicklung 1987 - 2017
22.05.2017 LKA 54 Cybercrime Hamburg 36
Geld und Waren 2017
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Entwicklung 1987 - 2017
22.05.2017 LKA 54 Cybercrime Hamburg 37
Referat vorbereiten 1987
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Entwicklung 1987 - 2017
22.05.2017 LKA 54 Cybercrime Hamburg 38
Referat vorbereiten 2017
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Entwicklung 1987 - 2017
22.05.2017 LKA 54 Cybercrime Hamburg 39
Informatikpflichtstunden 1987(in Hamburg)
0
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Entwicklung 1987 - 2017
22.05.2017 LKA 54 Cybercrime Hamburg 40
Informatikpflichtstunden 2017(in Hamburg)
0zum Vergleich (Klasse 5-10): Theater: 76
Musik und Kunst je: 152, Sport: 684
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Bildung
22.05.2017 LKA 54 Cybercrime Hamburg 41
Die Medienerziehung, die Erziehung zurMedienmündigkeit und zu einem
vernünftigen Umgang mit Medien, mussin den Elternhäusern stattfinden.
Josef Kraus, Präsident Deutscher Lehrerverband,Interview in der Tagesschau vom 19.04.2017
LKA 543Hamburg
Vorstellung → Einleitung → CEO-Fraud → Malware → DDoS → weitere Gefahren → Vorfälle → Fazit
Fazit
22.05.2017 LKA 54 Cybercrime Hamburg 42
Es wird nicht besser!Vielen Dank für Ihre Aufmerksamkeit
Polizei HamburgLKA 543
Bruno-Georges-Platz 122297 Hamburg
Tel: +49(0)40 4286-75455Fax: +49(0)40 4279-99141
E-Mail: [email protected]
