Cybercrime-as-a-Service ermöglicht weniger cyberaffinen Kriminellen raffinierte kriminelle Aktionen durchzuführen. Feststellbar ist eine Professionalisierung der Cybercrime-Lieferkette. Zunehmend geraten KMU ins Visier. Die Abwehr muss strategisch und proaktiv angegangen werden.
Die Hauptbedrohungsfaktoren im Cyberspace sind heute nicht mehr wie früher improvisierte Amateure, sondern strukturierte, motivierte und kompetente Organisationen, die mit erheblichen Ressourcen ausgestattet sind. Alarmierend ist, dass professionelle Cyberkriminelle damit begonnen haben, Werkzeuge und Dienstleistungen an weniger organisierte Einzelpersonen oder Banden im «as-a-Service»-Modell oder im Profitsharing-Modell zu verkaufen.
Dies ermöglicht es weniger cyberaffinen Kriminellen, im Cyberspace raffinierte kriminelle Aktionen durchzuführen. Feststellbar ist eine Professionalisierung in der Cybercrime-Lieferkette. Cyberkriminelle betreiben zum Beispiel ein multilinguales Helpdesk mit automatisiertem Ticketing. Bei Schadsoftware-Produkten wie Malware, Ransomware oder Spam-Kampagnen wird sogar eine Zufriedenheitsgarantie inklusive Bug Fixing geliefert.
Tatsächlich ist es vor allem die Leichtigkeit, mit der illegale Informationen, Produkte und Dienstleistungen auf dem Marktplatz des «Dark Web» gehandelt werden können, die den schnellen Erfolg (und damit das Wachstum) des Cybercrime-as-a-Service-Modells auslöste. Eine der angebotenen Ransomware Plattformen, dessen Zahlungsmodell auf Monats- und Jahresabonnementen basiert, ist beispielsweise «Ranion». Für 120.- US-Dollar im Monat ist man bereits mit dem günstigsten Abonnement dabei. Botnets werden grundsätzlich vermietet, um sie für den Versand von Spam-E-Mails oder für DDoS-Angriffe einzusetzen.
Das Dark Web ist der Enabler und Kryptowährungen sind die Finanzgrundlage. Eines der Hauptprobleme bei der Bekämpfung der Cyberkriminalität ist der transnationale Charakter, der sich zugunsten der Kriminellen und zu Ungunsten deren Bekämpfung auswirkt. Cyberkriminelle müssen sich an keine Gesetze oder Grenzen halten. Einnahmen aus der globalen Cyberkriminalität werden heute auf 600 Milliarden bis 1,5 Billionen Dollar pro Jahr geschätzt. Das erstaunt, wenn man weiss, dass die Ermittler den harten Kern der Cybercrime-as-a-Service-Ökonomie auf lediglich einige hundert Personen schätzen.
Wenn Menschen an lohnende Angriffsziele denken, meinen sie gewöhnlich grosse Unternehmen wie Yahoo, Facebook oder Marriott International. In der Realität nehmen die Cyberkriminellen mehr und mehr kleine Unternehmen ins Visier. Denn ein kleines Unternehmen kann es sich nicht leisten, für die Cybersicherheit so viel auszugeben wie ein Grossunternehmen.
Aufgrund von CaaS werden künftige Online-Angriffe schwieriger zu erkennen und zu verhindern sein. Es wird viel mehr davon geben, und es wird immer teurer, sie zu bereinigen.
Eine proaktive Verteidigung ist notwendig. Das Verständnis der eigenen Risiken ist ein notwendiger erster Schritt. Die Bewertungen der Informationssicherheit, beispielsweise durch eine Gap- resp. Schwachstellen-Analyse helfen, dieses Verständnis aufzubauen. Der nächste strategische Faktor, auf den sich Organisationen konzentrieren sollten, sind die Angriffstypen, welche die Akteure in ihrem Bedrohungsmodell bevorzugen, damit die Sicherheitsstrategie darauf angepasst werden kann. Eine solide Netzwerkabwehr und die Fähigkeit, kritische Systeme aus Backups wiederherzustellen, sind Schlüsselkomponenten jeder Verteidigungshaltung. Informationssicherheits-Managementsysteme, Ende-zu-Ende-Sicherheitsdispositive oder Managed Security Services bieten technisch und organisatorisch Schutz. Dennoch heisst es in erster Linie: Sensibilisieren und Schulen der Mitarbeitenden, denn der Faktor Mensch ist entscheidend bei der Cyberabwehr.
Dominique C. Brack ist Principle Security Consultant mit über 25 Jahren Erfahrung im Cyberriskmanagement und Informationssicherheitsbereich. Seine Spezialgebiete sind IT-Risikomanagement, Sicherheits- und Kontroll-Optimierung, IT-Governance und Compliance-Management. Herr Brack ist HarvardX Cyberrisk Dozent.