Die Lage im Bereich der Cybercrime im engeren Sinn bleibt ernst und ist von einer professionellen Underground Economy sowie zunehmend von hacktivistischen Aktivitäten geprägt. Zentrale Phänomene sind Ransomware- und DDoS-Attacken, das Schadenpotenzial ist enorm. Phishing bleibt einer der zentralen Eintrittsvektoren. Den Entwicklungen setzt das Bundeskriminalamt eine mehrdimensionale Bekämpfungsstrategie entgegen.
Cybercrime ist eines der dynamischsten Kriminalitätsphänomene unserer Zeit – und in Deutschland leider an der Tagesordnung. Die wachsende Bedeutung des Phänomens spiegelt sich nicht nur in immer neuen Schlagzeilen über Ransomware oder DDoS-Attacken wider, auch in der Polizeilichen Kriminalstatistik (PKS) werden Jahr für Jahr mehr als 130 000 Fälle erfasst – allein innerhalb Deutschlands.
(…)
Cybercrime im engeren Sinne
Im Fokus der Abteilung Cybercrime des Bundeskriminalamtes stehen Delikte, die sich gegen das Internet und informationstechnische Systeme richten – sog. Cybercrime im engeren Sinne (CCieS). An dieser Stelle sollen drei Modi Operandi von herausragender Bedeutung beleuchtet werden: Ransomware, DDoS-Angriffe und illegale Handelsplattformen im Internet.
Ransomware
Ransomware bleibt eine zentrale Bedrohung und verursacht weiterhin erhebliche Schäden bei Unternehmen und Privatpersonen. Ransomware ist eine Form von Schadsoftware, die gezielt darauf ausgerichtet ist, Daten auf IT-Systemen zu verschlüsseln und damit unbrauchbar zu machen, um anschließend ein Lösegeld für die Entschlüsselung zu fordern.
Die Infektion mit Ransomware erfolgt meist über E-Mail-Anhänge, die als scheinbar harmlose Dokumente wie Rechnungen oder Lieferscheine getarnt sind, oder durch das Anklicken von Links in E-Mails, die auf präparierte Webseiten führen. Auch das Ausnutzen von Sicherheitslücken in veralteter Software oder Betriebssystemen ist ein häufiger Angriffsweg.
Eintrittsvektoren
Als häufigster Eintrittsvektor gelten Phishing-Nachrichten. Daneben können infizierte USB-Sticks, Downloads aus dem Internet oder kompromittierte Netzwerke als Einfallstor dienen. Nach dem erfolgreichen Eindringen in das System wird die Ransomware meist unbemerkt aktiv.
Sie beginnt, Dateien auf dem betroffenen Computer und häufig auch im gesamten Netzwerk zu verschlüsseln. Moderne Varianten sind in der Lage, sich lateral im Netzwerk auszubreiten, um möglichst viele Systeme und auch Back-ups zu kompromittieren. Teilweise werden dabei auch Daten ausgespäht und an die Angreifer übermittelt, um den Druck auf die Opfer zu erhöhen.
Verschlüsselung
Die Verschlüsselung erfolgt mit starken kryptografischen Verfahren, sodass eine Entschlüsselung ohne den passenden Schlüssel meist unmöglich ist. Nach Abschluss der Verschlüsselung erscheint auf dem Bildschirm eine Lösegeldforderung mit Anweisungen zur Zahlung, oft in Kryptowährungen.
Die Angreifer drohen, die Daten nur gegen Zahlung wieder freizugeben. In vielen Fällen wird zusätzlich mit der Veröffentlichung oder dem Verkauf sensibler Daten gedroht, sollte das Lösegeld nicht gezahlt werden. Die Höhe des geforderten Betrags richtet sich oft nach der Einschätzung der finanziellen Möglichkeiten des Opfers.
Warnung vor Lösegeldzahlung
Es wird ausdrücklich davor gewarnt, das geforderte Lösegeld zu zahlen, da selbst nach Zahlung keine Garantie besteht, dass die Daten tatsächlich entschlüsselt werden oder dass die Täter nicht erneut Forderungen stellen. Selbst bei Übermittlung eines Schlüssels zur Entsperrung ist mit Problemen bei der Entschlüsselung zu rechnen, da dies ein technisch anspruchsvoller Vorgang ist.
Zudem unterstützt eine Zahlung grundsätzlich kriminelle Strukturen und kann dazu führen, dass das Opfer als zahlungsbereit eingestuft und später erneut angegriffen wird. Ransomware unterscheidet sich von anderen Schadprogrammen durch die unmittelbare Monetarisierung des Angriffs. Während andere Angriffe auf den Diebstahl von Daten oder Zugangsdaten abzielen, steht bei Ransomware die direkte Erpressung im Vordergrund.
Aufgrund der häufig implizierten Betriebsausfälle und eines befürchteten Reputationsschadens kann der Druck so hoch werden, dass die Angriffe existenzbedrohend wirken. Im Falle eines Ransomware-Befalls sollte der betroffene Computer sofort vom Netz getrennt, Anzeige erstattet und keinesfalls das Lösegeld gezahlt werden.
(…)
Den vollständigen Beitrag lesen Sie im Deutschen Polizeiblatt 4.2025, S. 3 ff.
