Verändern DDoS‐Verhaftungen (Distributed Denial of Service) wirklich die Verhaltensregeln bei Erpressungen?

Die starke Zunahme von Kontoübernahmen, DDoS‐Angriffen, Ransomware und unverblümten Cybererpressungen, die auf Einzelpersonen und Institutionen abzielten, stört nicht nur die Landschaft der Hackerangriffe, sondern wirft auch Fragen bezüglich unserer Verhaltensregeln auf. Wie sollen wir mit all dem umgehen, wenn wir genau wissen, dass die Angreifer sich nicht an dieselben Regeln halten wie wir?

Dieser Gedanke kam mir erstmals bei der kürzlichen Festnahme von Verdächtigen, die mit der DDoS‐Cybererpressergruppe DD4BC (Distributed Denial of Service for Bitcoin) in Zusammenhang standen. Obwohl die Verhaftungen den Cyberkriminellen einen Schlag versetzt haben, wurde schon am nächsten Tag eine neue Welle mit Ransomware in die Cloud losgetreten. Dies bedeutet, dass es, obwohl diese bestimmten Personen nicht mehr beteiligt waren, andere gab, die deren Plätze eiligst einnahmen und glaubten, dass die Belohnung (bezahlte „Lösegelder“) deutlich höher war, als das Risiko (gefasst zu werden).

Das zweite und meiner Meinung bedeutsamere Detail, das noch schwerer wiegt als der Austausch der „Spieler“, die in Ransomware‐ und damit zusammenhängenden Onlinedelikten verstrickt sind, ist die Beobachtung von Al Pascual, Leiter der Abteilung für Betrug und Sicherheitspraktiken bei Javelin Strategy & Research. Pascual behauptet nämlich, dass diese kürzlichen Verhaftungen DDoS‐Betrügern zwar deutlich klar machen, dass sie gefunden, verhaftet und strafrechtlich verfolgt werden können, es aber keine ausreichende Kooperation zwischen den Ländern gibt (und auch keine Auslieferungsabkommen). Diese Art Delikte in der virtuellen Welt zu stoppen ist schlicht unrealistisch, wenn man bedenkt, dass einige der Orte, von denen die Ransomware stammt, sich überwiegend außerhalb der Reichweite der Strafverfolgungsbehörden befinden.

Konventionelle und asymmetrische Bekämpfung

Es ist Pascuals Beobachtung, die die Verhaltensregeln unterstreicht, auf die ich vorhin angespielt habe.

Diese „Regeln“ beziehen sich vom Kontext her zwar auf Dinge wie Krieg – denken Sie nur einmal an die obligatorische Genfer Konvention oder daran, wie Amerika „intelligente“ Kampfmittel abwirft, um die Anzahl ziviler Opfer in Kriegszonen zu reduzieren. Wenn es aber darum geht, Erpresser wie die DD4BC zu stoppen, beziehen sie sich darauf, wie wir diese Kriminellen dauerhaft wahrnehmen und bekämpfen.

Die Wahrnehmung ist (und ich gehe davon aus, dass sie richtig ist), dass Kriminelle wie diese sich schneller und gewandter bewegen als unsere Sicherheitsprotokolle, weil sie schlicht die erforderlichen Tools kaufen und Informationen ganz einfach und bereitwillig weitergeben können. Cybererpresser sind eben nicht an geopolitische Grenzen, Unternehmensrichtlinien oder behördliche Vorschriften gebunden wie so viele, deren Ansatz für Sicherheitsmaßnahmen aus einer zweifelhaften Mischung aus Patches, Antivirusanwendungen und viel Daumendrücken besteht.

Ganz im Gegenteil: Sie kolludieren und konspirieren entsprechend den Verhaltensregeln miteinander, auf deren Basis sie ihren ersten DDoS‐Angriff gegen uns gestartet haben, nämlich im Untergrund der Cyberkriminellen, im dunklen Web und über Social Media. In der Zwischenzeit müssen sich viele Institutionen in der Wirtschaft und der gesamten Regierung auf den Austausch von Informationen verlassen, die nicht immer bereitwillig herausgegeben werden und schließlich zu den Daten und Erkenntnissen darüber führen, wie die Angreifer uns heutzutage attackieren (z. B. Zero‐Day‐Angriffe). Und auf die immer häufiger und heftiger werdenden DDoS‐Angriffe gehen sie schon gar nicht ein.

Das bedeutet, dass das „Playbook“, an das wir uns bisher gehalten haben, um herauszufinden, wie wir gegen diese Art von Bedrohungen vorgehen müssen, veraltet ist oder es bald sein wird.

Der Wert des Austauschs von Informationen

Wie können wir diese Arten von Bedrohungen also zukünftig angehen? Nun, wir können auf weitere Verhaftungen hoffen und uns eine einheitliche Richtlinie zurechtlegen, die von Unternehmen zu Unternehmen gleich ist und besagt, dass kein Lösegeld für unsere eigenen Daten bezahlt wird. Mittlerweile spricht jedoch viel für einen weitaus tiefer greifenden und konsistenteren Austausch von Informationen weltweit und über alle Sektoren hinweg. Die Schließung dieser Informationslücke ist der einzig sichere Weg, Schwachstellen im sprichwörtlichen „Sicherheitsdeich“ zu beheben und dessen nachhaltige Integrität zu bewahren.

Es ist völlig klar, dass das Internet schon seit Langem über die Firewalls, Grenzen, Vorschriften und sogar Sicherheitsmaßnahmen hinaus ist, die wir zu unserem eigenen Schutz und dem Schutz von Institutionen, auf die wir bauen und vertrauen, eingerichtet und erstellt haben. Das soll aber nicht heißen, dass wir die Flinte ins Korn werfen und weiter Ressourcen für Cybererpressungen und DDoS‐Angriffe aufwenden sollten. Wir sollten uns in unserem Entschluss bestärkt fühlen, mit internationalen und branchenübergreifenden Organisationen und Sicherheitsexperten zusammenzuarbeiten, um Informationen zusammenzutragen, die wir zum Schutz unseres Business benötigen.

Denken Sie daran, Konsequenzen – ob gute oder schlechte – beeinflussen unser Verhalten. Und ohne echte Konsequenzen werden sich die Verhaltensregeln niemals ändern.

Erfahren Sie mehr über RSA Fraud and Risk Intelligence und folgen Sie @RSAFraud

No Comments