Zusammenfassung
Ransomware-Angriffe, bei denen die Tatausführenden nicht nur die Systeme verschlüsseln, sondern sich zudem im Vorfeld der Taten in den Systemen der geschädigten Unternehmen bewegen, um die Kronjuwelen der Firmen zu finden und diese zu exfiltrieren, nehmen stark zu. Die Daten werden genutzt, um den Druck auf die Firmen durch die Drohung mit der Veröffentlichung der Daten zu erhöhen. Dazu werden kurzfristige Ultimaten gestellt und Lösegelder in Millionenhöhe gefordert. Der Autor beschreibt die polizeilichen Herausforderungen und bringt dabei seine Erfahrungen als Einsatzleiter des LKA NRW in Ermittlungslagen bei Advanced Persistent Threats und Polizeiführer in Cybererpressungs- sowie weiteren themenspezifischen Einsatzlagen ein. Er beleuchtet die gefahrenabwehrenden rechtlichen Möglichkeiten bis hin zu operativen Gefahrenabwehrmaßnahmen (Hack Back) und berücksichtigt dabei auch Fragen des Personals, der polizeilichen Organisation sowie der polizeilichen Informationsgewinnung und des Informationsaustausches unter Berücksichtigung der rechtlichen Rahmenbedingungen. Er beleuchtet zudem die Risiken, die sich für die Geschädigten aus einer Zahlung des geforderten Lösegeldes ergeben können und prüft Anpassungsmöglichkeiten.
Notes
- 1.
- 2.
Vormals Doppelpaymer (Abrams, 2021).
- 3.
In einigen Ländern auch als Sonderkommissionen (SoKo) bezeichnet.
- 4.
Deutsch auch als gemeinsame Ermittlungsgruppe GEG bezeichnet.
Literatur
Abrams, L. (2021). Bleeping Computer – Ransomware gang threatens to wipe decryption key if negotiator hired. https://www.bleepingcomputer.com/news/security/ransomware-gang-threatens-to-wipe-decryption-key-if-negotiator-hired/. Zugegriffen am 15.09.2021.
Alspach, K. (2021). Venture Beat – CrowdStrike survey says Microsoft customers „losing trust“; Microsoft calls report „self-serving“. https://venturebeat.com/2021/12/07/crowdstrike-survey-microsoft-customers-losing-trust-microsoft-calls-report-self-serving/. Zugegriffen am 07.12.2021.
Atug, M. a. (2021). It’s not over. Bulletproof Hosting and Botnetzkonference 2021. Königswinter.
Avantgarde Experts. (2020). JOB ENRICHMENT, JOB ENLARGEMENT & JOB ROTATION: PERSONALSTRATEGIEN IM CHECK. https://www.avantgarde-experts.de/de/magazin/job-enrichment/. Zugegriffen am 25.08.2021.
Beuth, P. (2021). Spiegel Netzwelt – Wo Kriminelle gehackte Firmenzugänge für zehn Dollar verkaufen. https://www.spiegel.de/netzwelt/web/access-broker-wo-kriminelle-gehackte-firmenzugaenge-fuer-zehn-dollar-verkaufen-a-64156fbf-844e-451a-bddd-382eefc55849. Zugegriffen am 20.11.2021.
Bitkom. (2021). Studie Wirtschaftsschutz 2021. Bitkom.
BKA. (2021). Infrastruktur der Emotet-Schadsoftware zerschlagen. https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2021/Presse2021/210127_pmEmotet.html. Zugegriffen am 29.12.2021.
BMI. (2021). Bundesministerium des Innern und für Heimat – Polizeiliche Kriminalstatistik – FAQ. https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/sicherheit/pks/pks-und-pmk.html#:~:text=Die%20PKS%20ist%20eine%20sogenannte,Zoll%20bearbeiteten%20Rauschgiftdelikte%2C%20abgebildet%20werden. Zugegriffen am 29.12.2021.
Brückner, A. (2021). police-it.net. https://police-it.net/category/polizeiliche-informationssysteme/polizeiliche-bund-laender-informationssysteme/piav-polizeilicher-informations-und-analyseverbund. Zugegriffen am 07.12.2021.
Brumaghin, E., Marshall, J., & Zobec, A. (2021). Talos Inteligence Blog – Vice Society leverages PrintNightmare in ransomware attacks. https://blog.talosintelligence.com/2021/08/vice-society-ransomware-printnightmare.html. Zugegriffen am 12.08.2021.
BSI. (2021a). BSI – Kritische Schwachstelle in Java-Bibliothek Log4j. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Webanwendungen/log4j/log4j_node.html. Zugegriffen am 13.12.2021.
BSI. (2021b). BSI – Kritische Schwachstellen in Exchange-Servern. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Server/Microsoft-Exchange_Schwachstelle/schwachstelle_exchange_server_node.html. Zugegriffen am 13.12.2021.
BSI. (2021c). Bundesamt für Sicherheit in der Informationstechnik. https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211202_Ransomware_Weihnachten.html. Zugegriffen am 23.12.2021.
BSI. (2021d). Dos- oder DDoS-Attacken. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/DoS-Denial-of-Service/dos-denial-of-service_node.html. Zugegriffen am 29.12.2021.
Bundeskriminalamt. (2021). Bundeslagebild Cybercrime 2020. Bundeskriminalamt.
Cimpanu, C. (2021a). The Record. https://therecord.media/conti-ransomware-group-adopts-log4shell-exploit/. Zugegriffen am 17.12.2021.
Cimpanu, C. (2021b). The Record – ALPHV (BlackCat) is the first professional ransomware gang to use Rust. https://therecord.media/alphv-blackcat-is-the-first-professional-ransomware-gang-to-use-rust/. Zugegriffen am 29.12.2021.
Crowdstrike. (2021). CrowdStrike Global security attitude survey. Crowdstrike.
Dahmen, U., & Krämer, N. (2018). Angriff aus der Dunkelheit: Cyberattacke auf das Lukaskrankenhaus Neuss. In M. Bartsch (Hrsg.), Cybersecurity Best Practices (S. 13–21). Springer Nature.
Darktracer. (2021). darktracer. https://platform.darktracer.com:4430/. Zugegriffen am 26.12.2021.
Domnick, A., Ebner, F., Fox, D., Gora, S., Hammer, V., Jendrian, K., … Völker, J. (2019). Informationssicherheit und Datenschutz: Handbuch für Praktiker und Begleitbuch zum T.I.S.P. DPunkt.GmbH.
dpa. (2021a). Eine Stadt im Visier der Hacker. Aachener Zeitung, 19.10.2021, S. 3.
dpa. (2021b). heise.de – Witten: Bei Cyberangriff erbeutete Daten im Darknet veröffentlicht. https://www.heise.de/news/Hacker-veroeffentlichen-Wittener-Daten-Buergermeister-warnt-6269952.html. Zugegriffen am 29.12.2021.
Europol. (2016). ‚Avalanche‘ network dismantled in international cyber operation. https://www.europol.europa.eu/media-press/newsroom/news/%E2%80%98avalanche%E2%80%99-network-dismantled-in-international-cyber-operation. Zugegriffen am 30.12.2021.
Europol. (2021). Joint Cybercrime Action TaskForce. https://www.europol.europa.eu/operations-services-and-innovation/services-support/joint-cybercrime-action-taskforce. Zugegriffen am 30.12.2021.
Eurpoäische Kommission. (2017). Entschließung des Rates zu einem Modell für eine Verinbarung über die Bildung einer gemeinsamen Ermittlungsgruppe (GEG). Amtsblatt der Europäischen Union – C 18. (A. f. Union, Ed.) Luxemburg.
Eurpopol. (2021). European Cybercroime Centre EC3. https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3. Zugegriffen am 30.12.2021.
FBI. (2021). FBI – Scams and Safety. https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/ransomware. Zugegriffen am 30.12.2021.
Fireeye. (2014). IT-Angriffe durch Nationalstaaten. https://www.fireeye.com/content/dam/fireeye-www/regional/de_DE/current-threats/pdfs/rpt-wwc.pdf. Zugegriffen am 30.12.2021.
Fireeye. (2021). Ransomware – das Bevorzugte Tool für Cybererpressungen. https://www.fireeye.de/current-threats/what-is-cyber-security/ransomware.html. Zugegriffen am 30.12.2021.
Greiner, W. (2020). LANLine – Deutsche Unternehmen zahlen häufiger Lösegeld. https://www.lanline.de/it-security/deutsche-unternehmen-zahlen-haeufiger-loesegeld.252463.html. Zugegriffen am 30.12.2021.
Grillenmeyer, G. (2021). AD Security in Hybrid Systems. Bulletproof Hosting und Botnetkonferen 2021. Königswinter.
Hauptmann, W. (1995). Kriminalistische Handlungslehre. Aktuelle Methoden der Kriminaltechnik und Kriminalistik (S. 185–204). Bundeskriminalamt.
Huey, C., Liebenberg, D., Khodjibaev, A., & Korzhevin, D. (2021). Talos Intelligence Blog – Translated: Talos’ insights from the recently leaked Conti ransomware playbook. https://blog.talosintelligence.com/2021/09/Conti-leak-translation.html. Zugegriffen am 29.12.2021.
Krebs, B. (2021). KrebsOnSecurity – Try This One Weird Trick Russian Hackers Hate. https://krebsonsecurity.com/2021/05/try-this-one-weird-trick-russian-hackers-hate/. Zugegriffen am 30.12.2021.
Kunze, D. (2016). Kompetenzkataloge als Basis strategischer Personalentwicklung. In R. Ritsert & A. Vera (Hrsg.), Cybercrime, Digital Natives und demografischer Wandel: Herausforderungen für das Management der Polizei (S. 47–92). Verlag für Polizeiwissenschaft.
Kunze, D. (2018a). Basiskompetenzen im Bereich Cybercrime und digitale Spuren. In T. Gabriel-Rüdiger & S. Bayerl (Hrsg.), Digitale Polizeiarbeit (S. 161–181). Springer Nature.
Kunze, D. (2018b). Polizei – Klotz am Bein oder Partner in der Krise. In M. Bartsch (Hrsg.), Cybersecurity Best Practices (S. 73–81). Springer Nature.
Kunze, D. (2021). Cybercrime Investigation. Bulletproof Hosting und Botnetzkonference 2021. Königswinter.
Landespolizeipräsidium Baden-Württemberg. (2021). Polizei Baden-Württemberg – Cyberkriminalist. https://sonderlaufbahnen.polizei-bw.de/cyberkriminalist-in/. Zugegriffen am 30.12.2021.
Landesregierung NRW. (2015). Bekämpfung der Cyberkriminalität hat für die NRW-Polizei hohe Priorität. https://www.land.nrw/pressemitteilung/bekaempfung-der-cyberkriminalitaet-hat-fuer-die-nrw-polizei-hohe-prioritaet. Zugegriffen am 30.12.2021.
Leddy, B. (2021a). DarktraceBlog – „Double Extortion“-Ransomware. www.darktrace.com/de/blog/double-extortion-ransomware/. Zugegriffen am 30.12.2021.
Leddy, B. (2021b). DarktraceBlog – Die ersten Warnzeichen für Ransomware: Der Wettlauf gegen die Zeit. https://www.darktrace.com/de/blog/die-ersten-warnzeichen-fur-ransomware-der-wettlauf-gegen-die-zeit/. Zugegriffen am 30.12.2021.
LKA NRW. (2021). Antwort des LKA NRW auf Presseanfrage der Aachener Zeitung. Düsseldorf.
Löhr, H. (2021). 24/7-Einsatz in Cyberlagen. (D. Kunze, Interviewer).
Luber, S., & Schmitz, P. (2021). Security Insider – Was ist ein Command-and-Control Server? https://www.security-insider.de/was-ist-ein-command-and-control-server-a-1064742/. Zugegriffen am 30.12.2021.
Mahn, J. (2021). Heise – Exchange Server jetzt patchen: Angreifer suchen aktiv nach neuer Lücke. https://www.heise.de/news/Exchange-Server-jetzt-patchen-Angreifer-suchen-aktiv-nach-neuer-Luecke-6158190.html. Zugegriffen am 30.12.2021.
Ministerium der Justiz. (2018). Richtlinie über das Strafverfahren und das Bußgeldverfahren. BAnz AT 30.11.2018 B3. Berlin: Bundesdruckerei.
Ministerium des Innern, für Digitalisierung und Kommunen Baden-Württemberg. (2012). Struktur der Polizei Baden-Württemberg. https://www.blaulicht-bw.de/dl/2012_01_25_Eckpunkte_Struktur_der_Polizei_BW_2012_Web-Version.pdf. Zugegriffen am 30.12.2021.
Nordrhein-Westfalen, M. d. (2022). Recht. NRW. https://recht.nrw.de/lmi/owa/br_bes_detail?sg=0&menu=0&bes_id=5072&anw_nr=2&aufgehoben=N&det_id=465761. Zugegriffen am 30.12.2021.
Polizei NRW. (2021). Polizei NRW – freie Stellen in den Kreispolizeibehörden. https://polizei.nrw/artikel/freie-stellen-in-den-kreispolizeibehoerden. Zugegriffen am 28.12.2021.
Schmitt, M. N. (2020). Tallin manual 2.0 on international law applicable to cyber operations. Cambridge University Press.
Schützeneder, P. (2016). Anonymität von Kryptowährungen. https://epub.jku.at/obvulihs/download/pdf/1451125?originalFilename=true. Zugegriffen am 30.12.2021.
Schwartz, M. J. (2020). More Ransomware-as-a-Service Operations Seek Affiliates. https://www.databreachtoday.com/more-ransomware-as-a-service-operations-seek-affiliates-a-15378. Zugegriffen am 30.12.2021.
Singer, D. j. (2019). Dehumanisierung der Kriegsführung. Springer Nature.
Tegtmeyer, D. H., & Vahle, P. D. (2018). Polizeigesetzt Nordrhein-Westfalen. Richard Boorberg Verlag GmbH & Co. KG.
Tsai, O. (2021). Black Hat USA 2021. https://www.blackhat.com/us-21/briefings/schedule/index.html#proxylogon-is-just-the-tip-of-the-iceberg-a-new-attack-surface-on-microsoft-exchange-server-23442. Zugegriffen am 01.12.2021.
US Department of the Treasury. (2021). Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments.
Warren, E., & Ross, D. (2021). Ransom Disclosure Act.
Westernhagen, O. v. (2021). heise.de – Jetzt updaten: BSI warnt erneut vor kritischen Exchange Server-Lücken. https://www.heise.de/news/Jetzt-updaten-BSI-warnt-erneut-vor-kritischen-Exchange-Server-Luecken-6016430.html. Zugegriffen am 18.12.2021.
Zaib, B. (2021). Conti Ransomware versucht, Backups von Opfern zu löschen. https://www.cyclonis.com/de/conti-ransomware-versucht-backups-von-opfern-zu-loschen/. Zugegriffen am 18.12.2021.
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2022 Springer Fachmedien Wiesbaden GmbH, ein Teil von Springer Nature
About this entry
Cite this entry
Kunze, D. (2022). Bearbeitung von Cyberangriffen unter Berücksichtigung der polizeilichen Vorschriftenlage und fachliche, technische und rechtliche Determinanten erfolgreicher Cyberoperationen gegen angreifende Infrastrukturen und Tätergruppierungen (Hack Back). In: Rüdiger, TG., Bayerl, P.S. (eds) Handbuch Cyberkriminologie. Springer VS, Wiesbaden. https://doi.org/10.1007/978-3-658-35450-3_22-1
Download citation
DOI: https://doi.org/10.1007/978-3-658-35450-3_22-1
Received:
Accepted:
Published:
Publisher Name: Springer VS, Wiesbaden
Print ISBN: 978-3-658-35450-3
Online ISBN: 978-3-658-35450-3
eBook Packages: Social Science and Law (German Language)